CONCEPTUL DE AUDIT INTERN 3.1. Definirea auditului intern 3.2. Tipuri de audit intern 3.3.

Trsturile auditului intern 3.1. Definirea auditului intern De reinut! Scopul auditului intern este de a concura, alturi de alte funcii, la atingerea obiectivelor unei organizaii. Altfel spus, auditul intern trebuie s ajute organizaia s-i ating obiectivele. Observm c n enunul nostru am introdus un termen cheie: obiective. Asemenea fiecruia dintre noi, organizaiile i stabilesc obiective care vizeaz diferite orizonturi de timp: scurt, mediu i lung. Totodat, orice obiectiv, indiferent de orizontul de timp la care se refer, este supus unor evenimente care ar putea s pericliteze realizarea lor. Fcnd o paralel cu viaa noastr personal, s presupunem c ne stabilim ca obiectiv s obinem nota maxim la examenul de audit intern. Chiar dac am ntreprinde toate eforturile necesare pentru a ne atinge acest obiectiv, exist evenimente care, dac se produc, riscm s nu-1 putem realiza. S lum un exemplu: n ziua examenului starea de sntate nu ne permite concentrarea necesar pentru rezolvarea subiectelor de examen. Este un exemplu de risc inerent, ce nu poate fi complet eliminat, oricte precauii am ncerca s lum. n aceeai msur, atingerea obiectivului propus este pus n pericol dac nu studiem riguros noiunile cerute pentru examen. Diferena, de aceast dat, este conferit de faptul c prevenirea pericolului se afl sub controlul nostru: dac am lua msurile adecvate, de a studia consecvent i serios pentru examen, acest risc ar fi eliminat sau, cel puin, atenuat. De data acesta, am exemplificat un risc de control, adic un risc ce poate fi prevenit i atenuat, dac s-ar adopta msurile necesare pentru a-l controla. Asemenea nou, obiectivele stabilite de ctre organizaii sunt ameninate de riscuri. Iat c am introdus un nou termen cheie: riscul. Dar ce este riscul? Aa cum exemplificam mai sus, fr a prezenta n acest context o definire tiinific, deducem c riscul reprezint un set de circumstane sau evenimente care pun n pericol atingerea unor obiective. Atunci cnd analizm situaia unei organizaii trebuie s nelegem foarte bine circumstanele sau evenimentele care reprezint riscuri pentru ea. De ce? Pentru c aceste evenimente nu pot fi generalizate la nivelul tuturor organizaiilor. Spre exemplu, starea de rzboi ntr-o ar X este o circumstan ce genereaz riscuri pentru o societate rezident ce comercializeaz buturi rcoritoare n ara respectiv. Ins pentru un productor de armament, starea de rzboi reprezint un eveniment fericit" care-i genereaz ctiguri peste nivelul celor nregistrate pe timp de pace. Odat clarificate aceste aspecte, voi lansa o nou ntrebare: cine stabilete obiectivele la nivelul unei organizaii i, implicit, poart responsabilitatea atingerii lor? Aa cum noi, la nivel personal, ne stabilim propriile obiective n funcie de circumstane, presiuni care sunt exercitate asupra noastr sau la iniiativa proprie, n cadrul organizaiilor principalul vinovat" de stabilirea obiectivelor acestora este managementul.

Totodat, managementul trebuie s-i asume responsabilitatea pentru atingerea acestor obiective, chiar dac procesul se soldeaz cu un eec. Ce face managementul pentru a-i atinge obiectivele? Dei, de cele mai multe ori, se presupune c managerul n persoan este cel care identific riscurile, n realitate, aceast funcie este delegat unui departament cunoscut sub denumirea de Managementul Riscurilor". n mod ideal, funcia acestui departament nu trebuie s se suprapun cu funcia auditului intern. Managementul riscurilor are misiunea de a examina n permanen activitile organizaiei cu scopul de a identifica riscuri noi sau modul n care acestea au evoluat n timp. Totodat, departamentul de management al riscurilor elaboreaz i actualizeaz normele i procedurile organizaiei privitoare la controlul intern ce urmeaz a fi implementate. Printre activitile departamentului de management al riscurilor se numr edinele de analiz i evaluare a apetitului pentru risc, activiti de mare interes pentru auditul intern. In principiu, cele dou departamente din cadrul unei organizaii colaboreaz n realizarea misiunilor lor, dar nu se subordoneaz unul, celuilalt. Managementul unei organizaii trebuie s se asigure c, pentru a se proteja mpotriva riscurilor, i ia msuri de precauie (denumite de noi, msuri de control) prin instituirea controlului intern. Apoi, pentru a se asigura c msurile de control intern sunt suficiente, eficiente i eficace n prevenirea i atenuarea riscurilor care amenin obiectivele organizaiei, este necesar o funcie independent de monitorizare i evaluare continu a controlului intern. Pentru a evita confuziile, am simit nevoia de a delimita aici cele dou noiuni introduse: controlul intern, respectiv auditul intern. Fr pretenia de a lansa n acest context o definire tiinific a controlului intern, acesta reprezint un proces prin care riscurile sunt ameliorate. Punerea n aplicare a acestui proces necesit mecanisme, instrumente, politici i proceduri, oameni i sisteme. Spre exemplu, pentru a atenua/elimina riscul de nu ne gsi locuina devastat de hoi, fiecare dintre noi poate pune n aplicare o serie de msuri de precauie (de control) considerate fie individual, fie cumulat, n funcie de mentalitate, teama de risc, cultur, context social, posibiliti financiare etc. Printre aceste msuri se includ: asigurarea bunurilor deinute, instalarea unui sistem de alarm conectat sau nu la poliie sau o societate de paz i protecie, angajarea unui paznic, asigurarea prezenei permanente a unei persoane de ncredere la domiciliul nostru etc. Unii ar prefera adoptarea a dou-trei msuri, alii ar considera c una ar fi suficient, alii, dei recunosc riscul, nu ar adopta nici o msur, din lipsa posibilitilor financiare. Dintre toate categoriile enunate, cei mai expui riscului sunt ultimii, iar obiectivul lor - asigurarea securitii locuinei - poate fi sortit eecului. Asemenea nou, managementul unei organizaii dorete s se asigure c instituie mecanisme de control care s-i protejeze obiectivele stabilite de producerea riscurilor. La nivelul unei organizaii, exemple de msuri de control ar mai sus putea fi: angajarea unui paznic la intrarea n entitate, pentru a controla riscul; proteja accesului unor persoane nedorite; utilizarea statului de plat a salariilor, pentru a controla riscul de a plti salarii necuvenite sau calculate greit; instalarea unor sisteme de alarm mpotriva incendiilor, pentru a preveni i ameliora riscul de incendii, utilizarea sistemului contabil, pentru a preveni riscul de deturnare frauduloas a investiiei acionarilor, etc. Se poate observa cu uurin c un risc poate fi ameliorat prin mai multe msuri de control, dup cum o msur de control pentru a poate preveni sau ameliora mai multe riscuri. Din acest motiv,

controlul intern la nivelul unei organizaii este un sistem foarte complex. Evident c nu absolutizm: exist i societi mici care posed controale interne la un nivel minim. Adesea, persist confuzii legate de organizarea funciei de control intern la nivelul unei societi comerciale, deoarece controlul intern este confundat cu controlul preventiv, controlul de calitate a produselor, controlul financiar etc. Subliniem faptul c acestea sunt componente ale controlului intern, adic pri ale unui ntreg. Pentru a exista funcia de control intern, nu este obligatoriu s fie nfiinat un departament care sa-i poarte numele. Aa cum exemplificam mai sus, un portar ndeplinete o sarcin specific de control intern, dup cum i un contabil, prin responsabilitile sale, dei nelegate n mod expres de controlul intern, reprezint implicit o roti din cadrul acestui proces complex. Totodat, reamintim c, instituirea controlului intern nu implic adoptarea unei reete de succes universal valabile. In exemplul de mai sus, am punctat faptul c fiecare individ i alege dintr-o palet de msuri de control, cele pe care le consider a fi adecvate dorinelor i posibilitilor sale. La nivelul organizaiilor, managementul este asigurat, n cele mai multe cazuri, de o echip de oameni, fiecare dintre ei avnd percepii diferite asupra riscurilor. Astfel, controlul instituit ntr-o organizaie, reprezint adesea numitorul comun al echipei manageriale cu privire la obiectivele asumate i riscurile poteniale. Din acest motiv, modelele de organizare a controlului intern difer de la o societate comercial la alta. De reinut! Auditul intern nu reprezint acelai lucru cu controlul intern fie i numai dac am considera incompatibilitatea celor dou funcii: nu poi s monitorizezi i s evaluezi obiectiv i independent ceva ce ai face tu nsui. Prin intermediul auditului intern, managementul unei organizaii urmrete s se asigure c funcia de control intern instituit funcioneaz eficient, eficace i suficient pentru a ameliora sau elimina riscurile identificate. Altfel spus, auditul intern este cinele de paz" al managementului care vegheaz funcionarea controlului intern n cadrul organizaiei. Dac poate fi spus aa, auditul intern ar fi un control permanent al controlului intern". n ndeplinirea misiunii sale, auditul intern utilizeaz proceduri, tehnici, mecanisme, instrumente de monitorizare i evaluare asemntoare cu cele ntrebuinate de controlori. Scopul aplicrii lor ns este diferit. In anul 1999 IIA din SUA a emis o nou definiie a auditului intern, n urma unui studiu efectuat cu 800 de studeni, coordonat de auditorii din universitile australiene, astfel: De reinut! Auditul intern este o activitate independent i obiectiv, care d unei organizaii o asigurare n ceea ce privete gradul de control deinut asupra operaiunilor, o ndrum pentru a-i mbunti operaiunile i contribuie la adugarea unui plus de valoare. Auditul intern este o activitate independent i obiectiv, care d unei organizaii o asigurare n ceea ce privete gradul de control deinut asupra operaiunilor, o ndrum pentru a-i mbunti operaiunile i contribuie la adugarea unui plus de valoare. Auditul intern ajut aceast organizaie s-i ating obiectivele, evalund, printr-o abordare sistematic i metodic, procesele sale de management al riscurilor, de control i de conducere a ntreprinderii i fcnd propuneri pentru a le consolida eficacitatea.

Exist autori care consider c folosirea cuvntului activitate" pentru a defini auditul intern n locul termenului funcie" l situeaz pe responsabilul su pe o poziie subaltern, innd cont de faptul c o activitate este mai elementar dect o funcie. In lexiconul Le mots d'audit exist urmtoarea definiie a auditului :auditul intern este, n cadrul unei organizaii, o funcie - exercitat ntr-o manier independent i cu mandat - de evaluare a controlului intern. Acest demers specific concureaz cu bunul control asupra riscurilor de ctre responsabili. n Legea nr. 672/2002 privind auditul public intern din Romnia este adoptat definiia dat de IIA n anul 1999. Muli specialiti sunt de acord c aceast formulare mai poate fi reevaluat, dar n acest moment este satisfctoare i exhaustiv din punctul de vedere al coninutului. De reinut! Din definiia data de IIA auditului intern aprecia urmtoarele elemente care necesit lmuriri suplimentare: a) consilierea acordat managerului; b) ajutorul acordat salariailor fr a-i judeca; c) independena i obiectivitatea total a auditorilor. a) Consilierea acordat managerului Auditul intern reprezint o funcie de asisten a managerului, pentru a-i permite s-i administreze mai bine activitile. Componenta de asisten, de consiliere ataat auditului intern l distinge categoric de orice aciune de control sau inspecie i este unanim recunoscut ca avnd tendine de evoluie n continuare. Auditul intern este aproape de fiecare responsabil, precum agentul fiscal care consiliaz i rezolv problemele legate de impozite i taxe. Responsabilul, managerul este consiliat de auditorul intern pentru a gsi soluii la problemele sale ntr-o cu totul alt manier, n sensul c, prin deciziile luate de manager s se asigure un control mai bun al activitilor, programelor i aciunilor. Profesionalismul auditorului intern const n arta i maniera de a emite o judecat de valoare asupra instrumentelor i tehnicilor folosite, cum ar fi: reguli, proceduri, instruciuni, sisteme informatice, tipuri de organizare .a., care reprezint ansamblul activitilor de control utilizate de managerul instituiei sau responsabilul unui loc de munc, recunoscut de specialiti drept control intern. Rolul auditorului intern este acela de a-1 consilia pe manager n ceea ce privete abordrile practice ce se impun n urma analizelor i evalurilor, dar i de a oferi asigurri privind funcionalitatea sistemului de control intern. n consecin se accept unanim c auditorul intern consiliaz, asist, recomand, dar nu decide, activitatea de audit fiind un mijloc care s contribuie la mbuntirea controlului pe care fiecare manager l are asupra activitilor sale i asupra celor n coordonare, n vederea atingerii obiectivelor controlului intern. Pentru realizarea acestor atribuii, auditorul intern dispune de o serie de atuuri fa de management, i anume: standarde profesionale internaionale; buna practic recunoscut n domeniu, care i d autoritate tehnici i instrumente care-i garanteaz eficacitatea; independena de spirit, care i asigur autonomia n conceperea de ipoteze i formularea de recomandri; cercetarea i gndirea lui sunt detaate de constrngerile i

obligaiile unei activiti permanente de gestionare zilnic a unui serviciu. b) Ajutorul acordat salariailor fr a-i judeca Intr-o entitate n care auditul intern face parte din cultura organizaiei, acesta este acceptat cu interes, dar ntr-o entitate care se confrunt cu riscuri poteniale importante, cu absena conformitii cu reglementrile de baz, cu o eficacitate sczut i o fragilitate extern a acesteia, din cauza deturnrilor de fonduri, dispariiei activelor sau fraudei, este evident c managerul respectiv va fi judecat, apreciat, considerat n funcie de constatrile auditorului intern. Intr-un caz standard, misiunea de audit intern poate s evidenieze ineficacitate, redundan n sistem sau posibiliti de mbuntire a activitilor ori aciunilor, dar exist mai multe motive pentru care managementul nu trebuie s fie pus direct n discuie: Obiectivele auditului intern au n vedere un control asupra activitilor care s conduc la mbuntirea performanei existente, i nu la judecarea acestuia, aa cum specialistul n fiscalitate ajut la o mai bun aplicare a regimului fiscal. Chiar dac responsabilul este judecat n urma rapoartelor sale de audit, acesta nu este obiectivul auditului intern. Realizrile auditului intern nu trebuie puse n discuie de cel auditat, iar dac totui acest lucru este fcut, s se efectueze ntr-o manier pozitiv. Spre exemplu, este cazul unei insuficiene, unei nereguli importante descoperite de auditorul intern, care imediat o aduce la cunotina managerului, iar acesta o va soluiona fr ntrziere. n acest caz disfuncia semnalat prin raportul de audit intern a dus la o aciune corectiv, care a avut ca rezultat i aprecierea auditorului ca un responsabil dinamic i eficace. Responsabilitile auditorului intern trebuie s aib n vedere faptul c, adesea, analiza cauzelor unei nereguli scoate la iveal existena unor puncte slabe care i au originea n insuficiene asupra crora responsabilul nu are un bun control. Cu aceast ocazie se observ c soluiile trebuie s vin pe cale ierarhic sau chiar de la nivelul organizaiei, dac sunt probleme de dimensiune cultural, de formare profesional, de buget, de organizare, de natur informatic .a. Aceast situaie paradoxal adesea ntlnit stimuleaz personalul entitii auditate, care constat c auditorul intern confirm insuficienele semnalate i de acetia. Din prezentarea de mai sus rezult c n aceasta const consilierea concret i fr echivoc acordat managerului de ctre auditorii interni. c) Independena total a auditorilor interni Funcia de audit intern nu trebuie s suporte influene i presiuni care ar putea fi contrare obiectivelor fixate. Standardele profesionale de audit intern definesc principiul independenei sub dou aspecte: independena compartimentului n cadrul organizaiei, de aceea el trebuie s funcioneze subordonat celui mai nalt nivel ierarhic; independena auditorilor interni, ceea ce le va asigura obiectivitatea n activitatea pe care o vor desfura. Independena auditorilor interni trebuie s aib la baz eliminarea practicii de suprancrcare a auditorilor cu lucrri care nu ar trebui s le revin lor, spre exemplu: definirea de reguli i proceduri de lucru, exercitare aciunilor de evaluare i supervizare

a salariailor chiar i temporar, participarea la elaborarea sistemelor informatice, activitatea de organizare, aciuni de control financiar propriu-zis sau inspecii .a. Fenomenul cel mai grav care rezult de aici este c auditorii aflai n aceast situaie nu mai pot audita domeniul respectiv, deoarece i-au pierdut independena i obiectivitatea. Dac apar asemenea cazuri, mai ales la entiti mici i mijlocii, cnd din motive structurale suntem obligai s ncredinm auditorilor asemenea aciuni, se impune s evalum riscurile i consecinele inevitabile n timp. Lipsa de Independena i de obiectivitate sunt abateri de la funcia de audit intern, care duneaz eficacitii i rigorii muncii de audit. Spre exemplu, trebuie s avem n vedere c nu putem fii medic i pacient n acelai timp, fr s stabilim un diagnostic cel puin subiectiv Respectarea standardului privind independena presupune unele reguli: auditul intern nu trebuie s aib n subordine vreun serviciu operaional; auditorul intern trebuie s poat avea acces n orice moment la persoanele de la toate nivelurile ierarhice la bunuri, la informaii, la sistemele electronice de calcul; recomandrile pe care le formuleaz trebuie s nu constituie n nici un caz msuri obligatorii pentru management. Organizarea funciei de audit intern n subordinea nivelului ierarhic celui mai nalt nu este suficient; mai trebuie ca fiecare, n cadrul activitii sale, s poat da dovad de obiectivitate, acesta fiind de altfel unul dintre principiile fundamentale ale codului deontologic. A fi obiectiv nseamn s realizezi o apreciere n total neutralitate, nseamn a nu avea idei preconcepute, ci o atitudine imparial. De aceea standardele profesionale consider c obiectivitatea este afectat i atunci cnd auditorul auditeaz o entitate, o activitate sau un program a crui responsabilitate i-a asumat-o n cursul timpului. Realiznd c idealul absolut nu va fi atins nici n audit, vorbim despre riscul de audit, un risc rezidual dup trecerea auditorului intern. Obiectivitatea rmne scopul care trebuie atins, fiecare avnd datoria s fac tot posibilul pentru a se apropia ct mai mult de acest deziderat. Independena i obiectivitatea sunt deseori contestate, mai ales de ctre auditorii interni care nu neleg aceast independen atunci cnd se afl ntr-o structur ierarhic. In realitate, independena auditorului intern este supus unei duble limitri auditorul intern, ca orice responsabil din organizaie, trebuie s se conformeze strategiei i politicii direciei generale; auditorul intern trebuie s fie independent n exercitarea funciei sale, dar respectnd standardele de audit intern. Aceasta este o limitare deontologic, dar nensoit de sanciune, i de aceea auditorul intern trebuie s-i impun n mod contient respectarea standardelor profesionale. Din aceast succint prezentare rezult c, n materie de independen, nu sunt suficiente nici ataarea structurii de audit la cel mai nalt nivel ierarhic i nici urmrirea realizrii obiectivitii. Practica n domeniu ne arat c adevrata independen a auditorului intern o constituie profesionalismul su, deoarece, dac este un profesionist, va descoperi disfuncii importante, va face recomandri pertinente i se va implica n viaa organizaiei prin mbuntirea performanelor acesteia. De reinut! Auditul intern furnizeaz managementului unei organizaii o opinie independent

si obiectiv cu privire la faptul c riscurile cu care se confrunt organizaia sunt sau nu ameliorate la un nivel acceptabil prin controlul intern1. Definiia prezentat necesit cteva precizri suplimentare referitoare la termenii subliniai. n primul rnd, ne vom opri atenia asupra termenului furnizeaz". Auditorii interni ofer asigurarea lor ntr-o manier formal, de cele mai multe ori, n contextul unui raport al auditorului intern. Astfel, termenul enunat trebuie perceput n acest sens. Comunicare verbal a asigurrii nu este exclus dar, mai ales n condiiile reglementrilor i practicilor romneti, ea trebuie oficializat printr-un document. Sintagma opinie independent i obiectiv" face trimitere la esena profesiei de auditor intern: etica profesional. Concluziile - opinia auditorilor interni privind monitorizarea i evaluarea controlului intern nu ar avea credibilitate dac obiectivitatea i independena lor ar fi afectate. Pentru moment, vom sublinia faptul c independena auditului intern impune stabilirea unei ierarhii n cadrul organizaiei, astfel nct, departamentul de audit s fie subordonat exclusiv consiliului de administraie, mai exact, comitetului de audit. Totodat, independena auditorului intern este respectat atta vreme ct managementul organizaiei nu interfereaz n maniera de realizare a misiunilor de audit, respectiv nu comand" opinia auditorilor In ceea ce privete obiectivitatea, este evident faptul c neutralitatea auditorilor fa de problemele examinate este crucial pentru a garanta o opinie nepartinic. Revenind la definiia de mai sus, auditorii interni raporteaz dac riscurile sunt sau nu ameliorate prin controlul intern. Concluziile auditorilor sunt formalizate ntr-un raport indiferent de rezultatele misiunii lor, completate cu recomandri de mbuntire a controlului, n cazul n care riscurile nu sunt controlate satisfctor. Noiunea de ameliorare a riscului, utilizat i anterior n acest capitol, face trimitere la caracterul general al riscului. Riscul are dou trsturi caracteristice: probabilitatea producerii riscului i efectele producerii riscului. Mai rar, exist situaii n care, prin msuri corective, riscurile sunt eliminate. Dar, n cele mai multe cazuri, riscurile nu pot fi eliminate, ci cel mult, n cazul producerii, prin msurile adoptate pot fi ameliorate efectele lor sau pot fi prevenite. De exemplu, riscul de a plti o amend de circulaie poate fi eliminat prin impunerea respectrii stricte a regulilor de circulaie. Pe de alt parte, riscul de cutremur nu poate fi eliminat deoarece, att probabilitatea, ct i efectele producerii unui astfel de risc sunt incerte. Cel mult se poate adopta o msur de asigurare mpotriva cutremurelor, astfel nct, dac riscul se produce, asigurarea ncasat s diminueze pierderile suferite (ameliorarea efectelor riscului). Altfel spus, auditul intern pleac de la premisa c, n cele mai multe cazuri, datorit limitelor inerente, controlul intern nu poate elimina riscurile, dar le poate ameliora. Exist autori care utilizeaz ca echivalent pentru riscuri ameliorate sintagma riscuri controlate. Nu este greit utilizarea interschimbabil a termenilor de mai sus atta vreme ct nu se face confuzia cu aciunea de verificare sau examinare a unui risc. In fine, ultima referin subliniat n definiia lui Griffits - nivel acceptabil - pune n lumin aspectul cel mai interesant, provocator i dificil care caracterizeaz activitatea unui auditor intern. Nivelul acceptabil al riscului trebuie neles prin prisma managementului. Altfel spus, managementul trebuie s decid dac riscurile sunt ameliorate la un nivel dorit de el. De ce? Dac ne reamintim faptul c managementul stabilete obiectivele, identific riscurile i-i asum att meritele pentru succese, ct i
1

D. Griffiths, Risk based internal auditing, an introduction,2006

vinovia pentru eecuri, devine firesc ca riscurile s fie ameliorate la un nivel pe care el l consider rezonabil. Astfel, n misiunea de evaluare a controlului intern i a efectelor pe care deficienele acestuia le are asupra riscurilor i, implicit, asupra obiectivelor organizaiei, auditorul intern va folosi drept criteriu de referin apetitul pentru risc al managementului. Acest apetit pentru risc al managementului trebuie evaluat ntr-o manier continu. De ce? Pentru c, el depinde de o mulime de factori care evolueaz n timp: vrst, cultur, mentalitate, educaie, mediul economic i social, stare psihic, sex, progres tehnologic etc. La rndul lor, riscurile evolueaz n timp, iar percepia oamenilor se schimb corespunztor. Pe de alt parte, ceea ce poate fi considerat drept un risc acceptabil pentru un individ, poate fi inacceptabil pentru altul. Iar, pentru a cunoate ce nseamn pentru manageri un nivel acceptabil al riscului X, auditorii interni sunt nevoii s colaboreze cu departamentul de management al riscurilor n acest sens. Sarcina auditorilor se complic atunci cnd organizaia nu dispune de funcia de management al riscurilor, astfel c auditorii interni sunt nevoii s aplice tehnicile specifice de evaluare a apetitului pentru risc al conducerii. De aici decurge i dificultatea misiunii auditorilr interni: deseori este dificil s determini apetitul pentru risc al unui individ, cu att mai mult al unei echipe formate din n" indivizi. Asupra tehnicilor utilizate de auditori n scopul evalurii apetitului pentru risc al managementului vom reveni cu detalii ntr-unui din capitolele acestei lucrri.