Embed Size (px)
Citation preview
MISIUNEA DE AUDIT
Tema 8
Etapele misiunii de audit
Etapa de pregătire (activităţile iniţiale + planificarea
preliminară) Deschide misiunea de audit, necesită din partea auditorilor o
capacitate serioasă de lectură, de atenţie şi de ucenicie. Auditorul trebuie să dovedească calităţi de sinteză şi de
imaginaţie. Această etapă se poate defini ca perioada în timpul căreia se vor efectua toate lucrările pregătitoare înainte de a trece la acţiune. A) Ordinul de misiuneB) Etapa de familiarizare care presupune observare şi ascultareC) Identificarea riscurilor care presupune:
indentificarea semnalelor divizarea semnalelor, a faptelor, a fenomenelor
D) Definirea obiectivelor.
Acest ordin întruneşte următoarele aspecte:
specifică domeniul de aplicare a auditului prin titlul său; indică locul unde va fi efectuat auditul; oferă informaţii privind componenţa echipei de audit, numele
auditorilor, precum şi şeful echipei de audit desemnat; oferă informaţii succinte privind nivelul de raportare în realizarea
misiunii de audit, inclusiv desemnarea persoanei responsabile, căreia va raporta echipa de auditori cu privire la aspectele profesionale şi tehnice;
specifică datele concrete de prezentare a versiunii preliminare şi finale ale raportului de audit;
precizează rolurile şi responsabilităţile auditorilor şi conducerii SCFR pe parcursul misiunii.
Tehnicile şi sursele de informaţii utilizate la planificarea
preliminarăTehnicile utilizate Documente/informaţii
relevanteAlte materiale de
evaluare
a) intervievarea angajaţi-lor entităţii/entităţilor care urmează a fi audi-tate;
b) intervievarea părţilor cointeresate (persoane-lor afectate de operaţi-unile entităţii), spre exemplu utilizatorii produselor entităţii;
c) observaţii/examinări la faţa locului;
d) analiza rapoartelor şi altor documente pregă-tite pentru conducerea entităţii auditate;
e) proceduri analitice;f) elaborarea diagramelor
proceselor (pista de audit);
g) verificare integrală efectuată cu scopul de a preciza dacă procesul funcţionează în confor-mitate cu modul descris;
h) elaborarea chestionare-lor de control intern
a) documentele existente despre operaţiunile şi obiectivele entităţii;
b) statutul entităţii/entită-ţilor auditate;
c) acte normative şi legis-lative relevante dome-niului auditat;
d) organigrama entităţii publice;
e) informaţii privind activitatea entităţii, bilanţuri, etc.;
f) evenimente, proiecte şi planuri specifice;
g) rapoarte preliminare;h) rapoarte interne de acti-
vitate – rapoarte exis-tente despre activitatea entităţii, date statistice şi indicatori, rapoarte privind dificultăţile sau incidentele;
i) informaţii externe, pre-cum sînt articolele din ziare, rapoartele pub-lice
a) rapoarte de audit intern din cadrul misiunilor precedente, realizate la entitatea auditată;
b) rapoarte de audit intern din cadrul misiunilor precedente, realizate în domenii sau sisteme similare;
c) rapoarte de audit exter-ne;
d) evaluări externe (pro-grame internaţionale,
consultanţi);a) rapoarte de inspecţie;b) evaluări interne (efectu-
ate de către sau din nu-mele entităţii)
Etapa de realizare
Apelează mult mai mult la capacităţile de observaţie, dialog şi comunicare, Prima obligaţie a auditorului este să se facă acceptat, iar criteriul unei integrări reuşite constă în a se face cerut. în acest stadiu se apelează cel mai mult la capacităţile de analiză şi la simţul de deducţie al auditorului.
Programul de lucru al misiunii de audit conţine:
titlul misiunii de audit; persoanele care au elaborat şi au aprobat programul; datele de începere şi finalizare a misiunii de audit; activităţile esenţiale necesare pentru atingerea obiectivelor de audit,
care sînt grupate în mod corespunzător sub formă de etape principale ale misiunii de audit – planificarea, lucrul în teren, raportarea şi gestionarea;
datele planificate de începere şi finalizare a fiecărei activităţi; numărul de zile alocat pentru fiecare membru al echipei, inclusiv şeful
echipei, pentru fiecare activitate în parte; numărul total de zile ale auditorilor alocate pentru fiecare activitate; numărul total de zile ale auditorilor alocate pentru întreaga misiune; referinţe către programe de testare detaliate şi alte documente de
lucru care rezumă activitatea solicitată. Spre exemplu, alocarea sarcinilor membrilor echipei pentru a documenta/evalua un sistem de control intern.
Obiectivele operaţionale ale sistemului auditat
Scopul documentării obiectivelor operaţionale ale sistemului auditat este de a asigura faptul că nu există dezacorduri cu conducerea entităţii auditate în privinţa obiectivelor activităţilor sau sistemului supus auditului.
Auditorul descrie obiectivele operaţionale ale sistemului auditat, care sînt bine chibzuite, utilizînd analiza „SMART”. Obiectivele operaţionale reflectă următoarele aspecte:
sînt Specifice, adică sînt formulate clar şi simplu, fără nici o posibilă alternativă de interpretare greșită;
sînt Măsurabile, adică este necesar să se cunoască cînd obiectivul a fost atins;
sînt în Acord, adică în acord cu clientul; sînt Realiste, adică sînt posibile de atins; sînt planificate în Timp.
Pe parcursul etapei de lucru în teren auditorii utilizează următoarele metode de audit:
interviuri; analiza documentaţiei; verificarea anumitor calcule sau etape; contrapunerea documentelor, informaţiilor, bazelor
de date, rapoartelor, etc.; confirmări la faţa locului ce ţin de sisteme TI,
protecţia activelor, protecţia sănătăţii şi siguranţă, etc.;
analiza sistemelor automatizate (programelor informatice).
Etapa de încheiere
Necesită o mare capacitate de sinteză şi o anumită aptitudine de redactare, chiar dacă dialogul nu lipseşte din această ultimă etapă. Auditorul îşi va elabora şi prezenta produsul – raportul de audit.
Rapoartele de audit intern trebuie să deţină următoarele şapte trăsături:
corectitudine – rapoartele sînt justificate şi reflectate corect în baza faptelor;
claritate – rapoartele sînt scrise succint şi clar. Raportul va fi complet şi nu va necesita interpretare sau comentarii verbale pentru a clarifica lacunele;
obiectivitate – constatările şi recomandările sînt obiective şi măsurabile în măsura posibilă, ceea ce ajută la identificarea importanţei subiectelor abordate;
concizie – rapoartele se referă la subiect şi au legătură cu domeniul de aplicare a auditului, ceea ce nu înseamnă că ele sînt succinte;
imparţialitate – rapoartele menţin un echilibru diplomatic în ceea ce priveşte punctele vulnerabile ale entităţilor auditate. Accentul se pune asupra îmbunătăţirilor viitoare, nu pe critica nejustificată a oamenilor sau evenimentelor din trecut;
oportunitate – raportul este emis în timp oportun la finalizarea misiunii; remediere – se face referire la persoanele, activităţile, modalitatea şi
perioada de timp necesare pentru acţiuni de remediere.
O constatare bună de audit are cinci caracteristici, ea întruneşte:
situaţia – indică ce nu a mers bine; criteriile – precizează în baza căror
standarde sau criterii s-a ajuns la această concluzie;
efectul – indică ce efect a avut constatarea; cauza – precizează de ce s-a întîmplat aşa; recomandările – indică ce trebuie să se
facă.
Constatările se axează asupra unor astfel de elemente ca:
caracterul adecvat al procedurilor de control intern; măsura în care vor fi efectuate activităţile de control intern; măsura în care funcţionarea controlului intern contribuie la
realizarea obiectivelor controlului; măsura în care resursele sînt suficiente pentru executarea
funcţiilor; distribuirea resurselor în comparaţie cu priorităţile (acoperirea
riscurilor principale, celor mai semnificative domenii); utilizarea eficientă a resurselor (spre exemplu, suprapunerile,
excesul de control, controlul inutil); abilitatea sistemului actual de a reacţiona la modificările viitoare
(volum de lucru sporit, modificări în cadrul normativ, servicii noi sau extinse etc.).
Situaţia generală a constatărilor poate fi prezentată sub formă de matrice
CONSTATĂRI
CONFORMITATE
mare
mediu
mic
mare
5G
medie mică
8R
2; 3; 10; 15R
IMPACT
6; 14R
7; 9; 11G
12; 13; 16G
1; 4; 17V
VV
Structura raportului de audit
Rapoartele de audit sînt prezentate în format şi structură standard, după cum este stabilit de către conducătorul unităţii de audit intern, şi trebuie să includă următoarele elemente:
sumarul executiv al raportului de audit; introducerea, care să cuprindă domeniul de aplicare şi perioada
auditului; contextul administrativ, inclusiv descrierea obiectivelor
operaţionale ale procesului/activităţii auditate pentru a înţelege constatările şi recomandările de audit;
constatările de audit; recomandările de audit; concluziile şi opiniile generale, dacă este cazul; răspunsul conducerii la raportul de audit final; anexe cu informaţii justificative.
Punctele de reper la alocarea resurselor pentru cele patru elemente principale ale misiunii de audit ar fi:
planificarea - constituie 30% din volumul de lucru;
lucrul în teren – constituie 50% din volumul de lucru;
întocmirea raportului de audit – constituie 10% din volumul de lucru;
gestionarea – constituie 10% din volumul de lucru
Definiţie "Riscul este ameninţarea ca un eveniment sau o acţiune să aibă
un impact defavorabil asupra capacităţii instituţiei de a-şi îndeplini cu succes obiectivele".
"Riscul este un ansamblu de împrejurări care ar putea avea consecinţe negative asupra unei entităţi şi ale căror control intern şi audit au ca misiune tocmai asigurarea unui bun control asupra acestora pe cât posibil". Multitudinea de definiţii este datorată faptului că importanţa riscului rezultă din alăturarea a doi factori şi că aceştia nu sunt întotdeauna înţeleşi aşa cum trebuie
- gravitatea pe care o evităm prin dezvoltarea unei politici de protecţie,
- probabilitatea pe care o evităm prin dezvoltarea unei politici de prevenire
Factorii generali, utilizaţi în procesul de evaluare a riscurilor
Metodologie posibilă de evaluare a riscurilorElementul Descrierea Scorul
A. Materialitate
Sistemul are o pondere de mai puţin de 1% în bugetul anual 0
Sistemul are o pondere de 5-10% în bugetul anual 2
Sistemul are o pondere de 25-50% în bugetul anual 3
Sistemul are o pondere de peste 75% în bugetul anual 5
B. Mediul de control / vulnerabilitatea
Sistem bine controlat, cu un risc scăzut de fraude sau erori 0
Sistem relativ bine controlat, cu anumit risc de fraude sau erori
3
Sistem controlat ineficient cu riscuri înalte de fraude sau erori
5
C. Sensibilitatea
Sistemul are contacte minime cu mediul extern 0
Sînt posibile anumite complicaţii cu mediul extern, dacă sistemul nu este eficace
3
Probleme majore de ordin juridic, dacă sistemul nu este eficace
5
D. Preocupările conducerii
Sistem cu un rol redus în activitatea entităţii, care are un impact mic asupra realizării obiectivelor entităţii
0
Sistem cu un rol major în activitatea entităţii în trecutul apropiat, ce implică anumite preocupări pentru conducere din cauza eşecurilor repetate
5
Ponderea factorilor
Elementul Ponderea
A. Materialitatea 3
B. Mediul de control/vulnerabilitatea 2
C. Sensibilitatea 2
D. Preocupările conducerii 4
Scorurile şi ponderile sînt combinate într-o formulă, care poate fi utilizată pentru calcularea indicelui riscului. Spre exemplu:
Indicele riscului = (A x 3) + (B x 2) + (C x 2) + (D x 4)
Această formulă se aplică pentru a calcula indicele riscului pentru fiecare sistem. După aceasta, sistemele se clasifică în sisteme cu riscuri înalte, medii sau reduse în baza matricei.
Matricea categoriei riscului
Indicele riscului Categoria riscului
Peste 49 Înalt
30-49 Mediu
Mai puţin de 30 Redus
Determinarea frecvenţei misiunilor de audit
Riscurile, ce au impact asupra entităţii, vor reprezenta o anumită formă de ierarhie în funcţie de impactul lor asupra instituţiei. Un astfel de model precizează faptul că riscurile există la patru niveluri:
Strategice – riscuri aferente scopului fundamental şi existenţei continue a entităţii. Spre exemplu, lipsa unor responsabilităţi precise, riscuri legate de implementarea şi operarea programelor TI, probleme de recrutare şi menţinere a personalului cu aptitudini şi calificări corespunzătoare, etc.,
Financiare/de performanţă/de mediu - riscuri aferente obiectivelor de nivel înalt pentru care entitatea este răspunzătoare sau în legătură cu mediul în care ea activează. Spre exemplu, riscuri generate de întîrzieri la plată, efectuarea de plăţi automate nesecurizate, procesul de coordonare şi comunicare slab dezvoltat, etc.;
Operaţionale – riscuri aferente activităţii operaţionale specifice a entităţii, necesare pentru atingerea obiectivelor sale. Majoritatea entităţilor au mai multe activităţi operaţionale. Spre exemplu, neînregistrarea în evidenţa contabilă a anumitor operaţiuni, arhivarea necorespunzătoare a documentelor justificative, lipsa funcţiei de supervizare, etc.;
De conformitate – riscurile aferente implementării sistemelor administrative, stabilite de către organizaţie pentru a-şi îndeplini obiectivele operaţionale. Spre exemplu, aplicarea neadecvată a legilor, regulamentelor şi procedurilor existente,
Ierarhia riscurilor în cadrul organizaţiilor Decizii bune
Instrucţiuni bune
Modul în care auditul intern tratează diferite niveluri de riscPlanificare strategică şi
anuală
Planificarea tuturor
misiunilor
Misiuni de audit pentru a evalua
controlul intern
Misiuni de consiliere
Raportare
Analiza evenimen-telor potenţiale afe-rente obiectivelor entităţii;
Evaluarea riscurilor inerente de nivel înalt (strategice, financiare /de performanţă/de mediu şi operaţiona-le);
Stabilirea domenii-lor prioritare (misi-unile viitoare de au-dit) pentru examinare în baza riscurilor ine-rente şi cunoştinţelor despre eficacitatea controlului intern (riscuri de conformi-tate) din analizele precedente;
Determinarea obiectivelor de audit
Examinarea eveni-mentelor potenţiale aferente obiective-lor de audit;
Evaluarea riscurilor inerente în legătură cu obiectivele de audit (riscuri opera-ţionale) şi cunoştin-ţele despre eficaci-tatea controlului intern (riscuri de conformitate);
Selectarea domenii-lor pentru analiză în scopul îndeplinirii obiectivelor de audit
Examinarea eveni-mentelor potenţiale aferente obiectivelor de control ale sistemu-lui;
Evaluarea riscurilor inerente ale obiective-lor de control (riscuri operaţionale şi de con-formitate);
Identificarea şi selec-tarea controlului intern ce urmează a fi exami-nat;
Testarea controlului preconizat;
Determinarea nivelului riscului rezidual
Examinarea in-formaţiilor obţi-nute despre ris-curile inerente şi reziduale;
Introducerea re-zultatelor în vii-toarea strategie de audit;
Anunţarea con-ducerii cu privi-re la riscurile inacceptabil de înalte identifica-te
Raportarea constatărilor şi concluziilor la nivel de riscuri reziduale;
Oferirea reco-mandărilor privind moda-litatea de abor-dare a nivelu-rilor inaccepta-bile de riscuri reziduale
Riscurile care trebuie identificate sînt riscurile , care ar apărea dacă controlul preconizat nu ar exista sau nu ar funcţiona
eficient.
Auditorii interni identifică riscurile, utilizînd următoarele categorii ca îndrumare:
Riscuri organizaţionale
Riscuri financiare
Riscuri operaţionale
Riscuri de deteriorare a reputaţiei
Riscuri organizaţionale:
divizarea inadecvată a sarcinilor - spre exemplu, între persoanele responsabile de autorizarea tranzacţiilor şi cele responsabile de înregistrarea tranzacţiilor în evidenţa contabilă sau efectuarea plăţilor. Atribuirea unei persoane atît a responsabilităţilor de autorizare, cît şi a celor de procesare reprezintă principala cauză a activităţilor frauduloase;
delegare inadecvată şi stabilirea unui nivel de delegare necorespunzător - autoritatea delegată poate fi neclară sau imposibilă, iar nivelul de delegare poate fi prea înalt sau prea jos pentru un control eficient şi efectiv;
rolurile şi responsabilităţile neclare sau suprapuse - contribuie la dublarea ineficientă a sarcinilor sau lasă fără acoperire anumite domenii importante;
aranjamente inadecvate de raportare şi comunicare, astfel încît conducătorii nu pot gestiona corespunzător rezultatele pentru atingerea obiectivelor;
obiectivele sistemului şi ale controlului, care sînt neclare în mod inerent sau dificil de măsurat, astfel încît conducătorii şi personalul nu pot determina clar activităţile necesare pentru atingerea lor;
organizarea ineficientă a procesului.
Riscuri financiare:
pierderea veniturilor din cauza sistemelor ineficiente de recunoaştere a veniturilor şi aranjamente bancare nepotrivite;
deteriorarea sau pierderea activelor, inclusiv a numerarului, din cauza unei securităţi scăzute;
cheltuieli frauduloase; preţuri exagerate pentru bunuri din cauza corupţiei sau a unor
practici de achiziţii ineficiente; luarea unor decizii inadecvate cu privire la investiţiile capitale; fonduri insuficiente în buget şi distribuirea inadecvată a lor; pierderi din cauza fluctuaţiei cursului valutar.
Riscuri operaţionale:
obiective operaţionale nerealizate; întreruperea funcţionării sau incapacitatea de a presta serviciile; informaţii nesigure sau insuficiente, în baza cărora nu pot fi luate
decizii operaţionale fiabile; nerespectarea cerinţelor legislative sau normative; incapacitatea de a proteja informaţiile secrete despre activităţile
operaţionale; daune aduse mediului înconjurător, poluare; imposibilitatea de a implementa tehnologii noi, inovaţii; imposibilitatea de a îmbunătăţi calitatea serviciilor; practici frauduloase şi corupte;
Riscuri de deteriorare a reputaţiei:
deteriorarea reputaţiei în faţa publicului; deteriorarea reputaţiei în faţa furnizorilor şi
principalilor părţi cointeresate; deteriorarea reputaţiei pe plan internaţional.
![GHUPSSD contrôle audit.ppt [Enregistrement automatique]](https://img.dokumen.tips/doc/110x75/58ee27dc1a28abe4468b4677/ghupssd-controle-auditppt-enregistrement-automatique.jpg)
