MINISTERUL FINANELOR PUBLICE

UNITATEA CENTRAL DE ARMONIZARE PENTRU

AUDITUL PUBLIC INTERN

NDRUMAR

EVALUAREA RISCURILOR
N PREGTIREA I REALIZAREA
MISIUNILOR DE AUDIT PUBLIC INTERN

Bucureti
2014
 MINISTERUL FINANELOR PUBLICE
UNITATEA CENTRAL DE ARMONIZARE PENTRU
AUDITUL PUBLIC INTERN

NDRUMAR

EVALUAREA RISCURILOR
n pregtirea i realizarea misiunilor de audit
public intern

ELABORAT:

UNITATEA CENTRAL DE ARMONIZARE PENTRU AUDITUL

PUBLIC INTERN
BIROUL PENTRU STRATEGIE I METODOLOGIE GENERAL

ndrumarul Evaluarea riscurilor n pregtirea i realizarea misiunilor de audit public intern

este elaborat n conformitate cu prevederile art. 8 din Legea nr. 672/2002 privind auditul public
intern, republicat, cu modificrile ulterioare.
Prezentul ndrumar constituie un model care poate fi luat n considerare de ctre
compartimentele de audit intern din cadrul entitilor publice pentru evaluarea riscurilor n
scopul selectrii activitilor/aciunilor n auditare.

Bucureti
2014

5
Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

Cuprins

Denumirea Pag.
1. Introducere 3
2. Componentele riscului 4
3. Tipuri de riscuri 4
4. Clasificarea riscurilor 5
5. Cadrul general de gestionare a riscurilor 6
6. Evaluarea riscurilor de ctre auditul intern 8
7. Evaluarea riscurilor pentru elaborarea Programului misiunii de audit public 10
intern

2
 Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

1. Introducere

Cadrul ndrumarul privind evaluarea riscurilor n planificarea i realizarea misiunilor de

general audit public intern reprezint un document n care este descris un model practic de
evaluare a riscurilor n scopul selectrii activitilor/aciunilor n auditare n cadrul
etapei Pregtirea misiunii de audit intern.
ndrumarul i propune s reliefeze activitile derulate de conducerea entitii n
vederea gestionrii riscurilor, precum i activitile derulate de auditorii interni cu
scopul evalurii riscurilor n vederea selectrii activitilor/aciunilor n auditare.
n coninutul ndrumarului sunt dezvoltate aspecte referitoare la identificarea,
evaluarea i tratarea riscurilor de ctre conducerea entitii, precum i procedurile
derulate de auditori n vederea evalurii riscurilor i ierahizrii acestora n funcie de
nivelul lor, fiind prezentate i modul de ntocmire a documentelor specifice
procedurilor de audit.
Baza de ndrumarul a fost elaborat n baza prevederilor art. 8, lit. c) din Legea nr. 672/2002
elaborare privind auditul public intern, republicat, cu modificrile ulterioare i pct. 3.7.4.2.
din Normele generale privind exercitarea activitii de audit public intern aprobate
prin H.G. nr. 1086/2013. Prezentul ndrumar reprezint o continuare a eforturilor
UCAAPI pentru completarea instrumentelor de audit puse la dispoziia auditorilor
interni din sectorul public.
Obiectiv Obiectivul principal al ndrumarului este acela de a oferi un instrument de lucru util
pentru auditorii interni, care s i sprijine n evaluarea riscurilor specifice obiectivelor
misiunilor de audit public intern i selectarea activitilor/aciunilor n auditare.
Rolul Activitatea de audit intern n entitile publice este asigurat de compartimentele de
auditului audit intern care reprezint structuri funcionale organizate n subordinea direct a
intern n conductorului entitii publice.
procesul de n exercitarea responsabilitilor, compartimentele de audit public intern au ca
gestioanre a principal atribuie efectuarea de misiuni de audit public intern n cadrul crora
riscurilor evalueaz dac sistemele de management financiar i control ale entitii publice
sunt transparente i conforme cu normele de legalitate, regularitate, economicitate,
eficien i eficacitate.
Pentru a-i atinge aceste obiective, auditul public intern procedeaz la evaluarea
riscurilor asociate activitilor/aciunilor auditabile, stabilirea riscurilor ridicate sau
necontrolate n mod suficient de entitate i planificarea i realizarea de testri n
aceste zone n vederea identificrii controalelor interne care nu exist sau exist dar
nu funcioneaz n mod corespunztor, precum i formularea de recomandri n
vederea corectrii acestor deficiene i/sau mbuntirii activitilor/aciunilor.

2. Componentele riscului

3
 Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

Conceptul de n practica entitilor publice din ara noastr definiia riscului acceptat i adoptat
risc este urmtoarea1: riscul reprezint o problem (situaie, eveniment etc.) care nu a
aprut nc, dar care poate apare n viitor, caz n care obinerea rezultatelor
prealabil fixate este ameninata sau potenat.
Componente ) Probabilitatea este o msur a incertitudinii i poate fi apreciat prin
probabilitate mare, medie sau mic. Evaluarea probabilitii de materializare a
riscului nseamn determinarea anselor de manifestare a acestuia. Probabilitatea
mare exist atunci cnd riscul nu este controlat, iar manifestarea lui nu poate fi
prevenit de entitatea public. Probabilitatea medie presupune c la nivelul
entitii sunt implementate msuri de control intern, ns manifestarea riscului nu
poate fi prevenit n totalitate. Probabilitatea mic poate fi atribuit unui risc n
condiiile n care acesta este bine gestionat de entitate, respectiv controalele interne
implementate menin riscul n nivelele acceptate.
) Impactul riscului reprezint consecina negativ asupra rezultatelor
(obiectivelor) ateptate n cazul n care riscul se materializeaz. Impactul riscului
poate fi apreciat prin impact ridicat, impact mediu i impact sczut. Impactul
ridicat, presupune c materializarea riscului implic un nivel ridicat de gravitate.
Impactul mediu, implic un nivel moderat de pericol pentru entitate. Impactul
sczut presupune o gravitate redus n cazul n care riscul se manifest.

3. Tipuri de riscuri

Riscurile Riscul inerent este riscul care exist n mod normal n orice activitate desfurat i
inerente este definit ca fiind riscul existent nainte de aplicarea unor msuri de control
intern n vederea reducerii atenurii lui2. Astfel, se consider c riscul inerent
reprezint posibilitatea de apariie a unor erori sau neregulariti n ceea ce privete
managementul i situaiile financiare, nainte de impactul eficacitii msurilor de
control intern.
Riscurile Riscurile reziduale reprezint expunerea cauzat de un anumit risc dup ce au
reziduale fost luate msuri de atenuare a lui. Msurile de atenuare a riscurilor aparin
controlului intern. Din aceast cauz riscul rezidual este o msur a eficacitii
controlului intern, fapt pentru care unele ri au nlocuit termenul de risc rezidual
cu cel de risc de control3. Astfel, riscul rezidual este considerat ca fiind riscul
care rmne dup implementarea msurilor de control intern. Aplicarea msurilor
de control intern trebuie s aib ca efect limitarea riscului inerent la un nivel care
s fie acceptat de entitatea public. Riscurile reziduale se monitorizeaz i se
urmresc dac se menin la niveluri acceptate.

1
Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,
2007, site: www.finante.ro
2
Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,
2007, site: www.finante.ro
3
Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,
2007, site: www.finante.ro
4
 Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

Riscurile reziduale mai sunt cunoscute i ca fiind vulnerabilitatea sau expunerea

entitii, respectiv riscul care rmne dup ce s-au implementat msuri de control n
vederea diminurii riscului inerent. Aceste riscuri nu sunt supuse de entitatea
public procedurii de evaluare i tratare, ns sunt inute sub observaie, urmrindu-
se dac acestea se schimb, i modific nivelul sau structura i astfel devin
necontrolate.
Riscurile inerente i riscurile reziduale sunt considerate ca fiind dou ipostaze ale
aceluiai risc. Astfel, riscurile inerente exist nainte de introducerea instrumentelor
de control intern, iar riscurile reziduale exist dup introducerea instrumentelor de
control intern. Totui, dac instrumentele de control intern sunt implementate la un
moment dat, n raport cu un anumit risc, au drept consecin o expunere la risc mai
mare fa de limitele de tolerabilitate, riscul rezidual fiind considerat risc inerent.
Riscul de Riscul de control, reprezint probabilitatea ca sistemul de control s nu funcioneze
control i astfel s nu poat mpiedica sau corecta disfunciile existente, respectiv riscul ca
sistemul de control intern al entitii s nu reueasc s mpiedice sau s detecteze
la timp erorile, neregularitile sau frauda. Aceste riscuri pot aprea n soldul unui
cont sau ntr-o categorie de tranzacii i pot fi semnificative n mod individual sau
cumulate cu alte informaii. Riscurile de control reprezint nereguli i erori care nu
sunt descoperite cu ocazia controlului.
Riscul de Riscul de nedetectare, reprezint riscul ca un anumit eveniment sau ameninare s
nedectare nu poat fi identificat i gestionat, respectiv riscul ca testrile efectuate de auditul
intern s nu detecteze eventualele erori sau neregulariti semnificative. Aceste
riscuri sunt excluse n mod involuntar de ctre entitate, deoarece nu are cunotin
despre existena lor. Totui, entitatea public are responsabilitatea de a monitoriza
activitile ataate obiectivelor i de a urmri existena i a altor riscuri, n special
n contextul n care modul de realizare a activitilor se schimb, ceea ce poate
genera apariia de noi riscuri.

4. Clasificarea riscurilor

Clasificarea n Riscuri strategice, au legtur direct cu strategia de dezvoltare a entitii publice

funcie de i sunt asociate obiectivelor strategice;
natura
operaiilor pe Riscuri organizaionale, sunt asociate procesului organizaional, realizrii
care le activitilor i procedurilor operaionale;
genereaz Riscuri financiare, sunt determinate de schimbarea dobnzilor, inflaie, asigurri,
taxe i impozite, politici protecioniste, politici regionale, nevoia de reducere a
pierderilor;
Riscuri generale, au legtur direct cu domeniile de activitate ale entitii i sunt
asociate obiectivelor generale;
Riscuri generate de schimbri, sunt determinate de schimbrile legislative, etica
profesional, nivelul de cultur i pregtire al personalului, nevoile i necesitile
personalului, ct i de fluctuaia personalului;
Riscuri operaionale, au legtur direct cu compartimentele funcionale ale
5
 Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

entitii i sunt asociate obiectivelor specifice definite la nivelul acestor

compartimente.
Riscurile operaionale, sunt definite pe baza relaiei cauz eveniment efect i a
controalelor existente n cadrul unui eveniment, n scopul prevenirii apariiei
acestuia. Pentru ca riscul operaional s fie unul minimizat i controlat se impune
ca sistemul de control intern/managerial s fie adaptat naturii i complexitii
activitilor desfurate i s asigure cel puin delegarea de competenta i
responsabilitate, separarea funciilor, protejarea activelor i funcia de audit intern.
Gestionarea eficient a riscurilor presupune asigurarea echilibrului ntre riscul
rezidual existent i nivelul riscului pe care entitatea public este pregtita s-l
tolereze. Ignorarea anumitor situaii, conduce la existena unor riscuri necontrolate,
care pot afecta nerealizarea obiectivelor.

5. Cadrul general de gestionare a riscurilor

Conceptul Modelul cadru de administrare al riscurilor adoptat n sistemul public din ara
de management noastr este cel definit de COSO, model recunoscut ca un element cheie pentru o
al riscurilor bun guvernan. COSO definete managementul riscului ca fiind procesul
efectuat de consiliul de administraie, conducere i alte persoane, aplicat n
stabilirea strategiei i n ntreaga organizaie, destinat s identifice evenimentele
poteniale care pot afecta entitatea i s gestioneze riscul n limitele apetitului la
risc pentru a furniza o asigurare rezonabil privind atingerea obiectivelor
organizaiei.
Cadrul integrat de managementul riscurilor, definit de COSO gestioneaz riscul
n limita apetitului de risc, ceea ce presupune c riscurile inerente sunt evaluate
i tratate, prin implementarea de dispozitive de control cu ajutorul crora se
acioneaz asupra impactului i probabilitii de manifestare a riscurilor, astfel
nct acestea devin riscuri reziduale.
n acelai timp, necesitatea implementrii unui proces de gestionare a riscurilor
este determinat i de faptul c riscul exist pretutindeni, n orice mprejurare i
aciune i nu poate fi eliminat. n aceste condiii, riscul trebuie minimizat,
respectiv meninut n limitele acceptate de entitatea public.
Managementul riscurilor la nivelul entitilor publice a fost creat pe conceptul de
control intern, ns, accentul a fost pus n mod deosebit pe modul de administrare
a riscurilor, respectiv ncorporarea conceptelor de baz cu privire la controlul
intern n cadrul procesului de gestionare a riscurilor.
Sistemul de control intern/managerial adoptat n sistemul public din ara
noastr, potrivit cadrului de reglementare n vigoare4, care cuprinde i obligaia
de a gestiona riscurile, este construit i adaptat pe sistemul COSO. n aceste

4
OMFP nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele de management i control intern
la entitile publice i pentru dezvoltarea sistemelor de control managerial, republicat.
6
 Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

condiii implementarea Standardului de control intern Managementul

riscurilor, respect sistemul de management al riscului definit de COSO.
Managementul riscurilor reprezint un proces structurat, consistent i continuu
n ntreaga organizaie n vederea identificrii, evalurii i aprecierii riscurilor,
stabilirii responsabilitilor, luarea de msuri de atenuare sau anticipare a
acestora, revizuirea periodic i monitorizarea progresului5, care garanteaz
sigurana i integritatea financiar a entiti publice.
Responsabilitile Pentru implementarea sistemului de management al riscurilor la nivelul entitii
Conducerii publice trebuie s existe un cadru favorabil reprezentat de personal cu experien,
entitii structur funcional echilibrat, atribuii i responsabiliti adecvate,
infrastructur tehnic.
Conducerea este responsabil de implementarea sistemului de administrare a
riscurilor, astfel nct riscurile s fie identificate, evaluate i tratate n vederea
reducerii nivelului de expunere i meninerea acestora la nivele acceptate. Aceasta
trebuie s conceap i s implementeze un sistem de management al riscurilor
axat pe identificarea, evaluarea i tratarea riscurilor care amenin realizarea
obiectivelor stabilite, la toate nivelurile organizaionale, respectiv strategic,
general, specific i individual. Garantarea realizrii obiectivelor presupune
stabilirea i implementarea de dispozitive de control adecvate i suficiente, astfel
nct riscurile asociate obiectivelor s fie controlate i meninute n limitele
acceptate.
Managementul riscului este integrat n sistemele i metodele de lucru ale entitii
publice i este n responsabilitatea conducerii care trebuie s armonizeze structura
organizaional, personalul, procesele i infrastructura pentru a implementa
strategia i a menine un bun control asupra riscurilor.
Gestionarea riscurilor este responsabilitatea major a conducerii entitii publice
care trebuie s asigure, punerea n practic i buna funcionare a proceselor de
management al riscurilor pentru realizarea obiectivelor. Auditul intern are rolul de
a examina i evalua procesele de managementul riscurilor puse n practic de
conducere i de a urmri dac acestea sunt suficiente i eficace, garantnd
realizarea obiectivelor.
Responsabilitile Potrivit Standardelor internaionale de audit intern rolul auditorilor interni este
auditului intern de a asista conducerea i comitetul de audit. n acest scop, trebuie ca ei s
examineze i s evalueze procesele de management al riscurilor adoptate de
conducere, s verifice dac acestea sunt suficiente i eficace, s emit rapoarte i
recomandri n vederea mbuntirii lor. Conducerea i consiliul sunt
responsabile de procesul de management al riscurilor i de control din
organizaia lor. Totui, auditorii pot, n cadrul unei misiuni de consiliere s ajute
organizaia s identifice, s evalueze i s implementeze un dispozitiv de
management al riscurilor i al controalelor care s permit stpnirea acestor
riscuri.

5
Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,
2007, site: www.finante.ro
7
 Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

Evaluarea procesului de management al riscurilor n cadrul organizaiei i

raportarea acestor evaluri fac parte din obiecitvele prioritare ale auditului.
Trebuie fcut distincia ntre evaluarea proceselor de management al riscurilor
i analiza riscurilor pe care auditorii trebuie s o realizeze pentru a-i planifica
activitile 6.
Astfel, se constat c auditul intern are un rol activ, de asigurare i consiliere a
conducerii entitii publice, n procesul de implementare i gestionare a riscurilor,
ns, pentru a evita ca responsabilitatea s le fie atribuit, trebuie s obin de la
conducere confirmarea c aceasta asigur procesul de identificare, atenuare i
monitorizare a riscurilor, asumndu-i responsabilitatea n acest sens.

6. Evaluarea riscurilor de ctre auditul intern

Reglementrile naionale n domeniu7 stabilesc c implementarea managementului riscurilor

reprezint responsabilitatea major a conducerii entitii publice, iar evaluarea funcionalitii este n
sarcina auditului intern.
n accepiunea general, auditorul intern are rol activ n implementarea procesului de gestionare
al riscurilor, prin furnizarea de asigurare i acordare de consiliere.
Auditorii interni, dei au rol activ n implementarea i gestionarea dispozitivelor de control al
riscurilor i aplicarea proceselor de management al riscurilor, acetia nu trebuie s i asume
responsabiliti n procesul de management al riscurilor.
n aceste condiii, se constat c, rolul auditului intern n procesul de management al riscurilor
este din ce n ce mai complex, urmare tendinei de recunoatere a managementului riscurilor ca un
sistem-cheie din cadrul entitilor publice.
n procesul de evaluare a riscurilor auditorii interni se pot ntlni cu dou situaii. Astfel,
situaia cnd nu exist implementat un proces de management al riscurilor n entitatea public auditorii
interni formuleaz recomandri conducerii entitii n vederea organizrii acestui proces. n situaia n
care exist implementat un proces de management al riscurilor, auditorii interni procedeaz la
evaluarea modului n care riscurile sunt gestionate i formuleaz recomandri pentru mbuntirea
procesului.
Auditul intern ajut entitatea public, oferind asigurarea c sistemul de management al
riscurilor este adecvat i suficient pentru protejarea fondurilor i a patrimoniului public i buna
gestionare a acestora. De asemenea, contribuie la identificarea i evaluarea riscurilor semnificative i
fundamenteaz recomandri pentru mbuntirea acestui sistem.
Lund n considerare faptul c, managementul entitii publice i personalul realizeaz
activitile de gestionare a riscurilor cu scopul de a identifica, evalua, gestiona i controla toate tipurile
de evenimente sau situaii care pot afecta activitile acesteia, rolul auditului intern difer n funcie de
nivelul de gestionare a riscurilor, astfel:
a) dac evaluarea riscurilor este realizat nainte ca riscul s se materializeze, rolul auditului
intern este a urmri suficiena i eficacitatea controlului intern pentru, a evita producerea
evenimentului;
b) dac evaluarea riscurilor este realizat dup ce riscul s-a materializat, rolul auditului

6
Standard 2110 (MPA) Managementul riscurilor, Norme profesionale ale auditului intern, Ministerul Finanelor Publice,
Programul UE-PHARE Dezvoltarea procedurilor de audit i de control intern, Bucureti, 2004
7
OMFP nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele de management i control intern
la entitile publice i pentru dezvoltarea sistemelor de control managerial, republicat.
8
 Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

intern este de a stabili cauzele care au condus la manifestarea riscului i de a propune msuri de
control intern n vederea eliminrii acestora i pentur a asigura continuitatea activitilor
organizaiei.
Evaluarea riscurilor de ctre auditul intern presupune identificarea i analiza riscurilor relevante
pentru atingerea obiectivelor i furnizarea unei asigurrii rezonabile cu privire la gradul n care
obiectivele pot fi atinse.
Asigurarea furnizat de auditul intern cu ocazia evalurii procesului de management al
riscurilor presupune urmtoarele:
a) asigurarea asupra eficacitii procesului de management al riscurilor;
b) asigurarea c riscurile sunt evaluate n mod corect;
c) asigurarea asupra riscurilor-cheie.
Cunoaterea riscurilor i a nivelului acceptat al expunerii la risc contribuie la o analiz i
fundamentare mult mai realist a deciziilor manageriale.
n procesul de evaluare a managementului riscurilor auditorii interni urmresc:
a) identificarea i evaluarea riscurilor ce decurg din strategiile i activitile derulate de
entitile publice;
b) existena limitelor riscurilor acceptate de ctre conducerea entitii publice;
c) aplicarea msurilor de reducere sau atenuare a riscurilor, n funcie de limitele stabilite i
considerate acceptabile la nivelul entitii publice;
d) monitorizarea periodic a riscurilor pentru evaluarea evoluiei acestora;
e) furnizarea de rapoarte privind evaluarea i controlul riscurilor conducerii entitii.
Obiectivul auditului intern este de a oferi asigurarea c sistemul de management al riscurilor
este adecvat i suficient pentru a proteja bunurile, reputaia i activitile organizaiei, de a ajuta la
identificarea i evaluarea riscurilor semnificative.
Practica auditului intern n evaluarea procesului de management al riscurilor urmrete
evaluarea procedurilor aplicate de conducerea entitii n implementarea procesului, prin planificarea i
realizarea de testri pentru fiecare risc identificat i gestionat. n baza rezultatelor obinute se
furnizeaz o opinie cu privire la eficacitatea controalelor interne care asigur limitarea riscurilor i
meninerea lor n limite acceptabile.
n procesul de evaluare a riscurilor auditorii interni trebuie s dispun de dovezi suficiente i
probante pentru a se asigura c procesul de gestionare a riscurilor, realizat de conducerea entitii
publice, este unul relevant i corespunztor. n acest sens, trebuie s ia n considerare urmtoarele:
a) analiza i examinarea documentelor de referin privind metodele aplicate de management
pentru gestionarea riscurilor i urmrirea dac acestea se bazeaz pe bunele practici;
b) analiza i documentarea cu privire la sectorul de activitate al entitii, privind evoluia i
tendinele viitoare, n vederea determinrii procedurilor de control utilizate i a riscurilor care ar putea
afecta entitatea;
c) examinarea procedurilor entitii, a expunerii la risc i a acceptrii riscurilor;
d) examinarea rapoartelor anterioare cu privire la evaluarea riscurilor, ntocmite de auditorii
interni i externi;
e) organizarea de ntlniri de lucru cu managementul entitii pentru a nelege obiectivele
stabilite, riscurile asociate obiectivelor i msurile de control luate;
f) evaluarea procesului de monitorizare, comunicare i atenuare a riscurilor i activitilor de
control intern;
n condiiile n care conducerea entitii publice a acceptat un nivel de risc necorelat cu strategia i
procedurile entitii, sau nivelul este considerat inacceptabil pentru entitate, auditul intern are

9
 Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

responsabilitatea de a face referire la normele privind acceptarea riscurilor i formuleaz propuneri n

vederea tratrii corespunztoare a riscului.
Evaluarea riscurilor de ctre auditul intern este efectuat n perioada de planificare a misiunii de
audit intern i se concretizeaz n elaborarea Planului multianual/anual de audit public intern, iar n
etapa de pregtire i realizare a misiunii de audit public intern n elaborarea Programului misiunii de
audit public intern.

7. Evaluarea riscurilor pentru elaborarea Programului misiunii de audit public intern

Evaluarea riscurilor are la baz probabilitatea de apariie i impactul riscului.

Procesul de evaluare a riscurilor, efectuat de auditorii interni, presupune parcurgerea
urmtoarelor faze: (1) identificarea activitilor/operaiilor, respectiv a obiectelor auditabile; (2)
identificarea riscurilor asociate activitilor/operaiilor; (3) evaluarea riscurilor; (4) determinarea
punctajului total al riscului.
A. Identificarea activitilor/operaiilor auditabile, se realizeaz prin detalierea activitilor
n operaii succesive, prin descrierea procesului, de la iniierea i pn la realizarea lui. Stabilirea
obiectelor auditabile, n practic, se realizeaz prin analiza cadrului legislativ, respectiv: organigrama,
R.O.F.-ul, normele metodologice de aplicare a cadrului normativ care reglementeaz activitatea, fiele
posturilor, procedurile, circuitul documentelor, pista de audit, diagrama de circulaie, decizii, circulare,
instruciuni i altele, n vederea identificrii tuturor operaiilor componente ale activitilor auditate.
B. Identificarea riscurilor asociate activitilor/operaiilor se face prin evaluarea operaiilor
auditabile identificate, determinarea controalelor interne ateptate i, n funcie de aceasta, determinarea
riscurilor.
Identificarea riscurilor presupune identificarea tuturor evenimentelor, interne i externe, care
pot afecta pozitiv sau negativ realizarea activitilor auditabile. Identificarea ricurilor presupune
urmtoarele:
a) identificarea iniiala a riscurilor, caracteristic entitilor care nu i-au identificat anterior
riscurile;
b) identificarea riscurilor n condiiile n care entitile publice au implementat un proces de
managementul riscurilor.
n faza de identificare a riscurilor pot aprea situaii n funcie de care riscurile vor fi sau nu
cuprinse n auditare, astfel :
- operaii la care controalele interne sunt stabilite i funcioneaz, caz n care riscurile sunt
minime, fiind posibil chiar s nu fie avute n vedere la analiz ;
- operaii la care controalele interne sunt stabilite, dar nu funcioneaz, caz n care riscurile
prezint importan i trebuie luate n analiz ;
- operaii la care controalele interne nu sunt stabilite, dar funcioneaz, caz n care se
recomand formalizarea lor prin proceduri de lucru ;
- operaii la care controalele interne nu sunt stabilite i nici nu funcioneaz, caz n care
riscurile sunt majore i vor fi avute n vedere, n mod obligatoriu, n analiza riscurilor.
Auditul intern folosete pentru identificarea riscului o serie de metode de audit cum sunt:
chestionare, liste cu ntrebri, metode de analiza cantitative i calitative, precum i tehnici de audit:
intervievarea responsabililor, grupurile focus, comparaii, grupri sau verificri.

10
 Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

C. Evaluarea riscurilor are n vedere componentele riscului, probabilitatea de apariie,

respectiv condiiile care-l favorizeaz i impactul riscului, respectiv consecina n cazul materializrii
riscului.
Obiectivele principale ale acestei faze const n a cuantifica probabilitile de apariie i
mrimea pierderilor produse de factorii de risc. Rezultatele sunt msurate pe baza unei matrice de
analiz a riscurilor.
n aceast etap se evalueaz importana riscurilor identificate, care trebuie s graviteze n
jurul componentelor de probabilitate i impact. Majoritatea riscurilor se preteaz la o diagnosticare
numeric, n special riscurile financiare sau cu conotaii financiare, dar exist i riscuri a cror
evaluare se realizeaz din perspectiv subiectiv, spre exemplu riscul de imagine, riscul de reputaie,
riscul de brand .a.
n procesul de evaluare a riscurilor, auditul intern realizeaz o analiz a riscurilor semnificative
din cadrul entitii asociate obiectivelor stabilite, face o apreciere a capacitii sistemului de control
intern/managerial de a preveni manifestarea riscurilor i stabilete riscurile semnificative i
necontrolate n mod adecvat de ctre entitate.
Evaluarea riscurilor depinde de probabilitatea de apariie a acestora si de gravitatea
consecinelor n cazul manifestrii riscului, respectiv impactul riscului i utilizeaz ca instrumente
criteriile de apreciere a riscurilor. Aceste criterii trebuie s acopere obiectivele, n cadrul crora riscul
a fost asociat, din punct de vedere al conformitii i performanei.
Procesul de evaluare a riscurilor cuprinde att evaluarea riscurilor inerente, existente nainte de
implementarea msurilor de control, ct i riscurile reziduale, rezultate dup implementarea msurilor
de control.
Evaluarea riscurilor se realizeaz prin aprecierea probabilitii de materializare a riscurilor i
aprecierea impactului riscului n situaia materializrii acestuia i clasarea acestora pe trei nivele.
a. Aprecierea probabilitii, reprezint un element calitativ i se realizeaz prin evaluarea
posibilitii de apariie a riscurilor, prin luarea n considerare a factorilor de inciden calitativi specifici
contextului n care sunt definite i realizate obiectivele. Aceasta se poate exprima pe o scal valoric,
pe trei niveluri astfel: probabilitate mic, probabilitate medie i probabilitate mare. Un model de
apreciere a probabilitii se prezint dup cum urmeaz:

PROBABILITATE Dac
Modificri rare ale cadrului normativ, peste 3 ani
Complexitate redus a activitilor i aciunilor
MIC Personal experimentat (experien de cel puin 5 ani)
(1) Obiectivele i intele nu sunt modificate
Informaii fiabile, adecvate i actualizate
Procese bine concepute, formalizate i conduse
Riscul nu s-a manifestat anterior
Cadrul normativ este relativ nou sau a cunoscut modificri semnificative
Complexitate medie a activitilor i aciunilor
MEDIE Nivel mediu de ncadrare i experien a personalului (experien sub 3
(2) ani)
Modificri rare ale obiectivelor i intelor
Informaii existente din mai multe surse, dar insuficiente
Riscul s-a manifestat rareori n trecut

11
 Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

Modificri foarte dese ale cadrului normativ

Complexitate ridicat a activitilor i aciunilor
MARE
Personal neexperimentat i nou ncadrat (experin sub un an)
(3)
Modificri frecvente ale obiectivelor i intelor
Procese slab concepute i conduse
Informaii insuficiente i neactualizate

Not: Criterile menionate anterior au caracter orientativ, este recomandat ca la nivelul

fiecrei entiti s fie identificate i stabilite criterii specifice pe baza crora s se aprecize
probabilitatea de apariie a riscurilor.

Informaiile colectate trebuie sintetizate cu ajutorul unor instrumente de lucru

formalizate la nivelul compartimentului de audit public intern, care s reflecte activitatea
desfurat. Un exemplu de document de lucru este prezentat n continuare.

12
 Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

Compartimentul Audit PREGTIREA MISIUNII DE AUDIT

Public Intern Analiza riscurilor Data: ..
Domeniul/activitatea auditat: Achiziii publice
Denumire misiune: Performana sistemului de achiziii publice al entitii
Document redactat de: Ionescu Viorel/Georgescu Ioana
Supervizat de: Popescu Gabriel

FOAIE DE LUCRU NR. 1

DETERMINAREA PROBABILITII RISCURILOR

Nr. Probabilit
Obiective Activiti/Aciuni Riscurile identificate
crt. ate (P)

Adecvarea Asigurarea concordanei ntre Realizarea obiectivelor nu asigur

politicii de politica de achiziii i obiective
achiziii
Dezvoltarea politicii de achiziii n
1. funcie de necesitile actuale i
viitoare
Implementarea politicii de achiziii
asigur eficiena activitilor
...........................
Elaborarea Fundamentarea necesarului de
programului de achiziii n corelaie cu necesitatea
achiziii real
Programul de achiziii este
2. exhaustiv i relevant pentru
nevoile existente
...........................
implementarea politicii entitii n 1
domeniu
Atribuirea contractelor fr respectarea
criteriilor de calitate i pre 2
Interoperativitate redus a sistemului
informatic existent la nivelul entitii 3
...............................
Supradimensionarea nevoilor
2
Divizarea contractelor
3
...............................

Eficiena i Asigurarea unei achiziii de calitate Procesul de atribuire a contractelor

3
eficacitatea la costuri minime ale pieei limiteaz competiia
gestiunii Respectarea condiiilor tehnice i Clauze contractuale favorabile
achiziiilor financiare stabilite prin contractele furnizorului 2
de achiziii
3. Derularea contractelor de achiziii Realizarea achiziiilor fr corelarea lor
1
cu necesitile i stocurile existente
Pli n avans, nenregistrarea plilor
2
efectuate
........................... ...............................

Auditori interni,

b. Aprecierea impactului, reprezint un element cantitativ i se realizeaz prin evaluarea

efectelor riscului, n cazul n care acesta s-ar materializa, prin luarea n considerare a factorilor
cantitativi specifici naturii financiare a contextului de realizare a obiectivelor. Aceasta se poate exprima
pe o scal valoric, pe trei niveluri, astfel: impact sczut, impact moderat i impact ridicat. Un model

13
 Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

de apreciere a impactului se prezint dup cum urmeaz:

IMPACT Dac
Nu exist pierderi de active (financiare, angajai, materiale).
SCZUT Afectarea imaginii entitii este redus.
(1) Costurile de funcionare nu sunt afectate.
Calitatea serviciilor furnizate nu este afectat.
Nu exist ntreruperi n activitate etc.
Pierderi de active (financiare, angajai, materiale) sunt reduse.
MODERAT Afectarea imaginii entitii este moderat.
(2) Creterea costurile de funcionare este moderat.
Calitatea serviciilor furnizate este afectat n mic msur.
Exist mici ntreruperi n activitate etc.
Pierderi semnificative de active (financiare, angajai, materiale).
RIDICAT Imaginea entitii este afectat n mod semnificativ.
(3) Costuri ridicate de funcionare.
Calitatea serviciilor furnizate este afectat semnificativ.
ntreruperi semnificative n activitate etc.

Informaiile colectate trebuie sintetizate cu ajutorul unor instrumente de lucru

formalizate la nivelul compartimentului de audit public intern, care s reflecte activitatea
desfurat. Un exemplu de document de lucru este prezentat n continuare.

14
 Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

Compartimentul Audit PREGTIREA MISIUNII DE

Public Intern AUDIT
Data:
Analiza riscurilor
Domeniul/activitatea auditat: Achiziii publice
Denumire misiune: Performana sistemului de achiziii publice al entitii
Document redactat de: Ionescu Viorel/Georgescu Ioana
Supervizat de: Popescu Gabriel
FOAIE DE LUCRU NR. 2
DETERMINAREA IMPACTULUI RISCURILOR

Nr. Impact
Obiective Activiti/Aciuni Riscurile identificate
crt. (I)

1. Adecvarea Asigurarea concordanei ntre politica de Realizarea obiectivelor nu

politicii de achiziii i obiective asigur implementarea politicii 2
achiziii entitii n domeniu
Dezvoltarea politicii de achiziii n Atribuirea contractelor fr
funcie de necesitile actuale i viitoare respectarea criteriilor de calitate 2
i pre
Implementarea politicii de achiziii Interoperativitate redus a
asigur eficiena activitilor sistemului informatic existent la 2
nivelul entitii
........................... ...............................
2. Elaborarea Fundamentarea necesarului de achiziii Supradimensionarea nevoilor
2
programului n corelaie cu necesitatea real
de achiziii Programul de achiziii este exhaustiv i Divizarea contractelor
3
relevant pentru nevoile existente
........................... ...............................

3. Eficiena i Asigurarea unei achiziii de calitate la Procesul de atribuire a

eficacitatea costuri minime ale pieei contractelor limiteaz 2
gestiunii competiia
achiziiilor Respectarea condiiilor tehnice i Clauze contractuale favorabile
financiare stabilite prin contractele de furnizorului 2
achiziii
Derularea contractelor de achiziii Realizarea achiziiilor fr
corelarea lor cu necesitile i 2
stocurile existente
Pli n avans, nenregistrarea
2
plilor efectuate
........................... ...............................

Auditori interni,

D. Determinarea punctajului total al riscului. Punctajului total al riscului se stabilete ca

produs dintre probabilitatea i impactul riscului, conform formulei:

15
 Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

PT= P x I , unde: PT = punctajul total al riscului

P = probabilitate
I = impact

Pentru stabilirea punctajului total al riscului se folosete urmtoarea matrice:

Probabilitate

Mare (3) 3 6 9

2 4 6
Medie (2)

1 2 3
Mic (1)

Sczut (1) Moderat (2) Ridicat (3) Impact

n funcie de rezultatele obinute n urma procesului de msurare a riscului, proces aplicat

pentru toate riscurile cu care organizaia se confrunt i care afecteaz realizarea obiectivelor, se
procedeaz la ncadrarea acestora n: riscuri mari, riscuri medii i riscuri mici, astfel:
pentru PT = 1 sau 2, riscul este mic, tolerabil i nu necesit msuri de control
pentru PT = 3 sau 4, riscul este mediu, tolerarea este ridicat i necesit msuri de control
pe termen mediu/ lung
pentru PT = 6 sau 9, riscul este ridicat, intolerabil, necesit msuri de control urgente

Informaiile colectate se sintetizeaz cu ajutorul documentului ,,Stabilirea

punctajului total al riscurilor i ierarhizarea riscurilor prevzut de HG. nr. 1086/2013 pentru
aprobarea Normelor generale privind exercitarea activitii de audit public intern.

16
 Ministerul NDRUMAR UCAAPI
Finanelor Evaluarea riscurilor n pregtirea i realizarea
Publice 2014
misiunilor de audit public intern

Model - Evaluarea riscurilor

Compartimentul Audit PREGTIREA MISIUNII DE AUDIT
Public Intern Analiza riscurilor Data: ..
Domeniul/activitatea auditat: Achiziii publice
Denumire misiune: Performana sistemului de achiziii publice al entitii
Document redactat de: Ionescu Viorel/Georgescu Ioana
Supervizat de: Popescu Gabriel

STABILIREA PUNCTAJULUI TOTAL AL RISCURILOR I IERARHIZAREA

RISCURILOR
Criterii de analiza a
Puncta- Ierarhiza-
Nr. riscurilui
Obiective Activiti/Aciuni Riscurile identificate jul total rea
crt. Probabilitate Impact
(PT) riscurilor
(P) (I)
Adecvarea Asigurarea concordanei Realizarea obiectivelor
politicii de ntre politica de achiziii nu asigur
1 2 2 Mic
achiziii i obiective implementarea politicii
entitii n domeniu
Dezvoltarea politicii de Atribuirea contractelor
achiziii n funcie de fr respectarea
criteriilor de calitate i 2 2 4 Mediu
1. necesitile actuale i
viitoare pre
Implementarea politicii de Interoperativitate redus
achiziii asigur eficiena a sistemului informatic
3 2 6 Mare
activitilor existent la nivelul
entitii
........................... ...............................
Elaborarea Fundamentarea Supradimensionarea
programului necesarului de achiziii n nevoilor
2 2 4 Mediu
de achiziii corelaie cu necesitatea
real
2. Programul de achiziii Divizarea contractelor
este exhaustiv i relevant 3 3 9 Mare
pentru nevoile existente
........................... ...............................
Eficiena i Asigurarea unei achiziii Procesul de atribuire a
eficacitatea de calitate la costuri contractelor limiteaz 3 2 6 Ridicat
gestiunii minime ale pieei competiia
3. achiziiilor Respectarea condiiilor Clauze contractuale
tehnice i financiare favorabile furnizorului
2 2 4 Mediu
stabilite prin contractele
de achiziii
Derularea contractelor de Realizarea achiziiilor
achiziii fr corelarea lor cu
1 2 2 Mic
necesitile i stocurile
existente
Pli n avans,
nenregistrarea plilor 2 2 4 Mediu
efectuate
........................... ...............................

Auditori interni, Supervizor,

17