ANALIZA RISCURILOR PENTRU NTOCMIREA PROGRAMULUI DE AUDIT

Un bun control asupra activitilor, atingerea obiectivelor, nseamn nainte de toate administrarea riscurilor. ntr-adevr orice entitate este supus riscurilor: riscuri proprii funcionrii organizaiei nsei i riscuri specifice fiecrei activiti. n scopul evitrii riscurilor inacceptabile, ntreprinderea, organizaia creeaz dispozitive de control intern, dispozitive calculate dac este posibil ct mai corect, tolernd riscurile acceptabile. Identificarea obiectelor auditabile Obiectul auditabil Obiectul auditabil reprezint activitatea elementar a domeniului auditat, ale crei caracteristici pot fi definite teoretic i comparate cu realitatea practic. Etapele identificrii obiectelor auditabile Identificarea obiectelor auditabile se realizeaz n 3 etape: a) detalierea fiecrei activiti n operaii succesive descriind procesul de la realizarea acestei activiti pn la nregistrarea ei (circuitul auditului); b) definirea pentru fiecare operaiune n parte a condiiilor pe care trebuie s le ndeplineasc din punct de vedere al controalelor specifice i al riscurilor aferente (ce trebuie s fie evitate); c) determinarea modalitilor de funcionare necesare pentru ca entitatea s ating obiectivul i s elimine riscul. Lista centralizatoare a obiectelor auditabile Lista centralizatoare a obiectelor auditabile, definite sub aspectele caracteristicilor specifice i ale riscurilor asociate, constituie suportul analizei riscurilor. Analiza riscurilor Analiza preliminar presupune i identificarea i analizarea riscurilor. Definiie Riscul reprezint orice eveniment, aciune, situaie sau comportament cu impact nefavorabil asupra capacitii entitii de a realiza obiectivele. Riscul este un ansamblu de mprejurri care ar putea avea consecine negative asupra unei entiti i ale cror control intern i audit au ca misiune tocmai asigurarea unui bun control asupra acestora pe ct posibil. Principalele categorii de riscuri a) Riscuri de organizare, cum ar fi: neformalizarea procedurilor; lipsa unor responsabiliti precise; insuficienta organizare a resurselor umane; documentaia insuficient, neactualizat; b) Riscuri operaionale, cum ar fi: nenregistrarea n evidenele contabile; arhivare

necorespunztoare a documentelor justificative; lipsa unui control asupra operaiilor cu risc ridicat; c) Riscuri financiare, cum ar fi: pli nesecurizate, nedetectarea operaiilor cu risc financiar; d) Alte riscuri, cum ar fi cele generate de schimbrile legislative, structurale, manageriale. Componentele riscului Componentele riscului sunt: a. probabilitatea de apariie; b. nivelul impactului, apreciat prin gravitatea consecinelor i durata acestora. Obiectivul analizei riscurilor este de a direciona resursele auditului ctre domeniile cu risc ridicat, lundu-se n considerare riscurile inerente, riscurile de control i auditurile anterioare/iregularitile (neregulile) raportate. Prile din program identificate ca fiind cu nivel ridicat de risc, trebuie introduse cu prioritate n planul de audit iar selectarea operaiunilor trebuie facut alegnd metoda de eantionare cea mai potrivit. Dac se efectueaz o eantionare n timpul derulrii unui program, la finalul programului trebuie extins eantionarea pentru a se asigura o acoperire adecvat i pentru a se ndeplini cerinele de reprezentativitate ale eantionului. Analiza riscurilor efectuat periodic trebuie s in cont de rezultatele verificrilor anterioare. Scopul analizei riscurilor Analiza riscului reprezint o etap major n procesul de audit intern, care are drept scop: a) s identifice pericolele din entitatea/structura auditat; b) s identifice dac controalele interne sau procedurile entitii/structurii auditate pot preveni, elimina sau minimiza pericolele; c) s evalueze structura/evoluia controlului intern al entitatii/structurii auditate. Fazele analizei riscurilor Fazele analizei riscurilor sunt urmtoarele : a) analiza activitii entitii/structurii auditate; b) identificarea i evaluarea riscurilor inerente, respectiv a riscurilor de eroare semnificativ a activitilor entitii/structurii auditate, cu inciden asupra operaiilor financiare; c) verificarea existenei controalelor interne, a procedurilor de control intern, precum i evaluarea acestora; d) evaluarea punctelor slabe, cuantificarea i mprirea lor pe clase de risc.

Auditorii interni trebuie s integreze n procesul de identificare i evaluare a riscurilor semnificative i pe cele depistate n cursul altor misiuni. Msurarea riscurilor Pentru realizarea msurrii riscurilor se utilizeaz drept instrumente de msurare, criteriile de apreciere. Fiecare risc este msurat prin prisma probabilitii, consecinelor (impactului) i controalelor interne existente. De cele mai multe ori impactul este evaluat n termeni finaciari. Cel mai adesea pentru evaluarea riscurilor se utilizeaz matricea pe trei nivele. Nu exist un standard absolut pentru matricea riscurilor. Scale analitice mai detaliate pot fi utilizate mai ales dac o evaluare cantitativ clar poate fi aplicat unui anumit risc. Nu valoarea absolut a riscului evaluat este important, ci mai degrab dac riscul este sau nu perceput ca tolerabil sau ct de mult deviaz de la nivelul tolerabil.
Probabilitate Nivel 3 = mare Nivel 2 = medie Nivel 1 = mic Consecine (impact) Nivel 3 = ridicat Nivel 2 = moderat Nivel 1 = sczut Control intern Nivel 3 = corespunztor Nivel 2 = mediu Nivel 1 = cu lipsuri grave

Probabilitatea de apariie a riscului variaz de la imposibilitate la certitudine i este exprimat pe o scal de valori pe trei nivele: - probabilitate mic; - probabilitate medie; - probabilitate mare. Criteriile utilizate pentru msurarea probabilitii de apariie a riscului sunt: a) Aprecierea vulnerabilitii entitii; Pentru a efectua aprecierea vulnerabilitii, auditorul va examina toi factorii cu inciden asupra vulnerabilitii domeniului auditabil, cum ar fi: - resursele umane; - complexitatea operaiilor; - mijloacele tehnice existente.

Vulnerabilitatea se exprim pe trei nivele:

Vulnerabilitatea este Vulnerabilitate mare (Nivel 3) Vulnerabilitate (Nivel 2) Vulnerabilitate (Nivel 1) medie redus Cnd Acest punctaj va fi acordat n cazul n care resursele umane nu ar fi suficiente, complexitatea operaiunilor ar fi ridicat i mijloacele tehnice existente necesare desfurrii activitii sunt insuficiente. Acest punctaj va fi acordat n cazul n care resursele umane nu ar fi suficiente, ori complexitatea operaiunilor ar fi ridicat, ori mijloacele tehnice existente necesare desfurrii activitii sunt insuficiente; Acest punctaj va fi acordat n cazul n care resursele umane ar fi suficiente, complexitatea operaiunilor ar fi redus, iar mijloacele tehnice existente necesare desfurrii activitii sunt suficiente;

b) Aprecierea controlului intern Aprecierea controlului intern se face pe baza unei analize a calitii controlului intern al entitii auditate, pe trei nivele: - control intern corespunztor; - control intern de nivel mediu; - control intern cu lipsuri grave. Ghidul de evaluare al controlului intern Controlul intern este cu lipsuri grave (Nivel 3) Dac conducerea i/sau personalul demonstreaz o atitudine necooperant i nepstoare cu privire la conformitate, pstrarea dosarelor, sau reviziile externe; auditurile anterioare sau studiile preliminare au descoperit probleme deosebite, iar conducerea nu a luat msuri de remediere i nu a rspuns satisfctor la recomandrile auditului; analiza dezvluie c nu sunt n funciune tehnici de control adecvate i suficiente; procedurile de control intern lipsesc sau nu sunt utilizate. conducerea i personalul demonstreaz o atitudine cooperant cu privire la conformitate, pstrarea dosarelor i reviziilor externe; auditurile anterioare sau studiile preliminare au descoperit anumite probleme, dar conducerea a luat msuri de remediere i a rspuns satisfctor la recomandrile auditului; analiza arat c sunt n funciune tehnici de control insuficiente conducerea i personalul demonstreaz o atitudine constructiv, existnd preocuparea de a anticipa i nltura problemele; auditurile anterioare i studiile preliminare nu au descoperit probleme semnificative; analiza arat c sunt n funciune tehnici de control intern eficiente; procedurile sunt bine susinute de documente

de nivel mediu (Nivel 2)

corespunztor (Nivel 1)

Nivelul impactului reprezint efectele riscului n cazul producerii sale i se poate exprima pe o scar valoric pe trei nivele:

- impact sczut; - impact moderat; - impact ridicat. Metoda - model de analiz a riscurilor Prezenta lucrare exemplific efectuarea analizei riscurilor prin parcurgerea urmtorilor pai, pornind de la obiectivele structurii auditate: a) identificarea (listarea) operaiilor/activitilor auditabile, respectiv a obiectelor auditabile. n aceast faz se analizeaz i se identific activitile/operaiile precum i interdependenele existente ntre acestea, fixndu-se perimetrul de analiz. b) identificarea ameninrilor, riscurilor inerente, asociate acestor operaiuni/activiti i determinarea eventualului impact financiar al acestora; c) stabilirea criteriilor de apreciere a riscului. Se recomand utilizarea urmtoarelor criterii: - aprecierea controlului intern, - aprecierea cantitativ, - aprecierea calitativ; d) stabilirea nivelului riscului pentru fiecare criteriu, prin utilizarea unei scri de valori pe trei nivele, astfel: d1) pentru aprecierea controlului intern: - control intern CORESPUNZTOR - nivel 1; - control intern de nivel MEDIU - nivel 2; - control intern CU LIPSURI GRAVE - nivel 3; d2) pentru aprecierea cantitativ: - impact financiar slab - nivel 1; - impact financiar potrivit - nivel 2; - impact financiar puternic - nivel 3; d3) pentru aprecierea calitativ: - vulnerabilitate redus - nivel 1; - vulnerabilitate medie - nivel 2; - vulnerabilitate mare - nivel 3. e) stabilirea punctajului total al criteriului utilizat (T). Se atribuie un factor de greutate i un nivel de risc fiecrui criteriu. Produsul acestor doi factori d punctajul pentru criteriul respectiv iar suma punctajelor pentru o anumit operaie/activitate auditabil conduce la determinarea punctajului total al riscului operaiei/activitii respective. Punctajul total al riscului se obine utiliznd formula:

n T=

i=1

Pi x Ni

Unde: Pi = ponderea riscului pentru fiecare criteriu; Ni = nivelul riscurilor pentru fiecare criteriu utilizat; f) clasarea riscurilor, pe baza punctajelor totale obinute anterior, n: risc mare, risc mediu, risc mic; g) ierarhizarea operaiunilor/activitilor ce urmeaz a fi auditate, respectiv elaborarea Tabelului puncte tari i puncte slabe. Tabelul puncte tari - puncte slabe prezint sintetic rezultatul evalurii fiecrei activiti/operaiuni/teme analizate i permite ierarhizarea riscurilor n scopul orientrii activitii de audit public intern, respectiv stabilirea tematicii n detaliu. Tabelul prezint n partea stng rezultatele analizei riscurilor (domeniile/obiectele auditabile, obiectivele specifice, riscuri, indicatori i indici), iar n partea dreapt opinia i comentariile auditorului intern. Tabelul puncte tari - puncte slabe conine i informaiile din lista centralizatoare a obiectelor auditabile. La tabelul Puncte tari i puncte slabe semnificaia T = punct tare, va fi stabilit n funcie de aprecierea riscului. Dac auditorii apreciaz c vulnerabilitatea i impactul sunt relativ sczute iar controlul intern asigur meninerea riscului la un prag acceptabil, se constituie un punct tare. Semnificaia S = punct slab, va fi stabilit n funcie de scorul final al riscului. Dac auditorii apreciaz c vulnerabilitatea i impactul sunt relativ ridicate iar controlul intern nu asigur meninerea riscului la un prag acceptabil, se constituie un punct slab. Gradul de ncredere reprezint msura ncrederii auditorului n informaiile colectate n etapa de pre audit. Astfel, dei aceste informaii pot conduce la o concluzie preliminar c exist un punct tare sau un punct slab, experiena auditorului sau analiza altor factori n afara vulnerabilitii, impactului i controlului intern pot conduce la un grad de ncredere sczut cu privire la faptul dac aspectul analizat constituie ntr-adevr un punct tare sau un punct slab. Ori de cte ori auditorul exprim un grad de ncredere sczut n punctul tare sau slab analizat, este obligatorie proiectarea de teste care s asigure verificarea concluziilor etapei de analiz a riscurilor. Din punct de vedere formal, rubrica grad de ncredere din cadrul tabelului puncte tari i puncte slabe va fi completat cu meniunile sczut sau ridicat.

Dup etapa interveniei la faa locului, auditorii vor revedea rezultatele iniiale din tabelul puncte tari i puncte slabe n corelaie cu rezultatul testelor aplicate i cu meniunile din fiele de identificare i analiz a problemelor, identificnd cauzele care au condus ca un element considerat, pe baza datelor iniiale, ca fiind un punct tare, s constituie, n final, un punct slab.

BIBLIOGRAFIE: Renard, Jacques, Teoria i pactica auditului intern, Ediia a IV-a. http://www.mie.ro/_documente/audit/manual_audit_phare.pdf