|
|
|
EVALUAREA RISCURILOR DE AUDIT
Evaluarea riscurilor este parte a procesului operational si trebuie sa identifice si sa analizeze factorii interni si externi care ar putea afecta in mod negativ obiectivele organizatiei.
Factorii interni pot fi, de exemplu, natura activitatilor entitatii, calificare personalului, schimbari majore in organizare sau randamentul angajatilor, iar factorii externi pot fi: variatia conditiilor economice, legislative sau schimbarile intervenite in tehnologie.
Evaluarile riscurilor trebuie sa acopere toata gama de riscuri din cadrul entitatii, de aceea trebuie lucrat la toate nivelele ierarhice, mai ales la cele inalte.
Procesul de evaluare trebuie sa descopere riscurile masurabile si riscurile nemasurabile, cum ar fi cele operationale, si sa le selectioneze pe cele controlabile.
Managementul, prin activitatile de control prestabilite, identifica riscurile si le analizeaza evolutia acestora la nivelul organizatiei. Departamentul de audit intern, fiind o structura independenta, reia analiza riscurilor stabilite de management in vederea evaluarii sistemului de control intern.Auditorii interni trebuie sa raporteze rezultatele activitatii lor managementului general si orice slabiciune semnificativa descoperita pe parcursul desfasurarii auditului. Cu toate acestea, auditorii se confrunta cu propriul lor risc: riscul de audit. Ei trebuie sa considere riscul de audit la nivel individual, cont bilantier sau clasa de tranzactii. Aceasta considerare ii ajuta in conturarea ariei auditului si in stabilirea procedurilor de audit.
Evaluarea riscurilor este o preocupare atat a auditorilor interni, pe care o realizeaza in conformitate cu standardele lor profesionale, cat si a controlului intern, in vederea oferirii unor servicii performante pentru management. Spre exemplu: daca este o recesiune in Romania, va creste riscul neincasarii taxelor si impozitelor si in consecinta trebuie sa se reduca cheltuielile pentru a ne incadra in bugete pana la sfarsitul anului.
Abordarea riscurilor trebuie sa aiba in vedere ca acestea comporta trei componente si anume:
riscul inerent, care este riscul ca o eroare materiala sa se produca;
riscul de control, care este riscul ca sistemul de control intern al entitatii sa nu impiedice sau sa corecteze respectivele erori;
riscul de nedetectare, care este riscul ca o eroare materiala ramasa sa nu fie depistata, nici de auditori, motiv pentru care se mai numeste si riscul de audit.
asupra entitatii/organizatiei si pot fi riscuri interne sau externe, masurabile sau nemasurabile.
Riscurile de control sunt strans legate de mediul de control si de activitatile de control implementate si trebuie astfel concepute incat sa aduca riscurile la nivele acceptabile. In general, deficientele constatate in sistemul de control intern reprezinta riscuri de control.
Riscurile de audit sunt riscuri reziduale care mai pot apare dupa monitorizarea riscurilor de catre auditorii interni.
Riscul de audit reprezinta posibilitatea de a fi formulate recomandari si concluzii asupra entitatii auditate, eronate, in mod material, sau neconforme cu realitatea.
In practica, sa nu uitam, auditorii interni evalueaza si monitorizeaza riscurile semnificative privind entitatea auditata prin compararea propriei liste de riscuri cu riscurile controlului intern. Faptul ca nu analizeaza toate riscurile nu inseamna ca accepta slabiciunile minore.
Fiecare organizatie are nevoie de mai multe elemente pentru instituirea unui sistem de control intern eficient, si anume:
existenta unui mediu de control, respectiv: oamenii, competenta profesionala, integritatea si valorile lor;
evaluarea riscurilor si o urmarire adecvata a evolutiei acestora, motiv pentru care trebuie stiut unde se gasesc acestea in organizatie;
odata stiute riscurile, apare necesitatea activitatilor de control care sa le elimina sau sa le diminueze impactul.
Pentru o buna evaluare a riscurilor este nevoie sa cunoastem entitatea, activitatile auditabile, riscurile asociate si activitatile de control intern care functioneaza.
Evaluarea riscurilor este o problema permanenta deoarece conditiile se schimba mereu, apar noi reglementari, apar oameni noi, apar obiective de actualitate si toate aceste schimbari modifica in permanenta geografia riscurilor, careniciodata nu poate fi definitivata.
Evaluarea riscurilor inseamna identificarea si analizarea riscurilor relevante in indeplinirea obiectivelor, pentru a cunoaste modul in care trebuie sa fie administrate. Deoarece, conditiile economice, umane si de reglementare sunt intr-o continua schimbare, controlul intern trebuie sa identifice si sa se ocupe de riscurile speciale, asociate schimbarii.Analiza riscurilor nu reprezinta o stiinta exacta. Prin stabilirea activitatilor de control se urmareste ca riscurile ridicate sa devina medii sau scazute, pana la o eventuala disparitie ulterioara. Oricum riscurile trebuie sa "evolueze" in jos.
Analiza/evaluarea riscurilor este o etapa importanta in activitatea desfasurata de auditori si se efectueaza pentru:
elaborarea planului de audit;
elaborarea programului de audit.
Activitatea de evaluare a riscurilor este o componenta esentiala a managementului si ea trebuie realizata constant, cel putin odata pe an, pentru identificarea tuturor riscurilor si cuprinde urmatoarele faze:
a) Identificarea elementelor/obiectelor auditabile care presupune un demers structurat plecand de la general la detaliu, asa cum rezulta din Figura nr. 10 - Stabilirea obiectelor auditabile;
b) Stabilirea riscurilor pentru fiecare obiect auditabil pe baza analizei operatiilor in functie de anumite criterii concepute anticipat si efectuarea unor calcule de ierarhizare si clasare a acestora;
c) Masurarea riscurilor care va fi functie de probabilitatea aparitiei riscurilor si de impactul si durata consecintelor evenimentului.
Masurarea riscurilor se realizeaza prin trei metode:
Metoda probabilitatilor care presupune urmatori pasi:
permite masurarea riscului major in raport cu ansamblul riscurilor;
evaluarea pierderilor probabile plecand de la instrumente statistice si de la o abordare istorica;
evaluarea directa a pierderilor anuale;
constatari si extrapolari, cu corecturi daca este necesar.
Metoda factorilor de risc, care se identifica in prealabil plecand de la o clasificare pe categorii de riscuri, pe care o vom utiliza cu predilectie in prezenta lucrare.
Metoda matricelor de apreciere, plecand de la criteriile de apreciere si ponderile riscului privind:
Impactul financiar I - 35%
Probabilitatea de aparitie P- 20%
Nivelul controlului intern CI - 45%
d) Clasificarea riscurilor se realizeaza, in practica, de asemenea prin trei metode, si anume:
Metoda de clasificare absoluta in ordinea importantei scorului total stabilit in exemplul anterior, valori ale riscului exprimate in procente sau printr-o medie, conform tabelului de mai jos:
DOMENIU
SCOR
RISC
Achizitii
2,20
Mare
Prestari servicii
1,90
Mare
Financiar-contabil
1,80
Mare
IT
1,65
Mediu
Resurse umane
1,35
Mic
Metoda clasificarii relative utilizand o scara de valori determinata in prealabil, spre exemplu: scazut, mediu, ridicat.
Metoda clasificarii matriciale in functie de diverse combinatii posibile. In acest sens, se aleg criterii diverse aplicabile domeniilor care vor fi evaluate, tot pe o scala cu trei nivele: slab, moderat si grav.
e) Stabilirea controlului intern se realizeaza prin completarea tabelului realizat in exemplul de mai sus cu activitatile de control si constatarea daca acestea sunt implementate sau nu in practica, conform modelului:
f) Ierarhizarea riscurilor se materializeaza intr-un tabel cu riscurile din situatia de mai sus, care neavand implementate activitatile de control potrivite, vor fi catalogate cu risc mare si mediu si ca atare se vor regasi in tabelul prezentat in continuare:
Domeniu
Obiective
Riscuri
Evaluare
1.Resurse umane
Intocmirea documentelor pentru angajare
- inscrierea incompleta sau eronata a datelor
Mare
2. Financiar
Calculul salariilor si intocmirea statului de plata
- neactualizarea procedurilor cu modificarile legislative
- actualizarea incorecta a programului de salarii
Mediu
Mare
3. Contabilitate
Lipsa procedurilor scrise pentru inscrierea in contabilitate
Mediu
g) Clasarea riscurilor
Fazele parcurse in etapa de evaluare a riscurilor, prezentate mai sus, ne ajuta sa clasam riscurile in functie de gravitatea lor si aceasta la randul ei ne va permite sa realizam o prioritizare a riscurilor pentru planul anual al activitatii de audit intern sau pentru programul de desfasurare a misiunii de audit intern, in sensul de a avea in vedere activitatile cu riscurile cele mai ridicate.Evaluarea riscurilor pentru Programul de audit intern este o etapa cu o importanta majora in desfasurarea misiunilor de audit intern. De aceea, pentru realizarea corecta si eficienta a acestei etape se impune sa fie implicati auditorii interni cu experienta, care cunosc bine entitatea auditata si metodologia de evaluare a riscurilor.
Realizarea unei evaluari a riscurilor competente si pertinente va conduce la stabilirea corecta a obiectelor auditabile, pe domeniile auditabile, ceea ce va reprezenta baza pentru asigurarea formularii concluziilor privind functionalitatea/nefunctionalitatea sistemului de control intern din cadrul organizatiei.
Concluziile auditorilor interni obtinute in urma recomandarilor stabilite prin interventia la fata locului si intocmirea documentelor de lucru cerute de specificul derularii misiunii de audit intern, se vor materializa ulterior in etapa de raportare cand la concluziile finale ale Raportului de audit intern este recomandat sa se ataseze grile/scale de evaluare pe fiecare obiectiv auditat in cadrul misiunii.
