Activitatea de audit intern este o activitate planificat, proces care se realizeaz pe baza analizei riscurilor asociate activitilor i este menit s adauge valoare entitii auditate. Auditorul trebuie s planifice auditul ntr-o manier care s asigure c misiunea va fi ndeplinit n condiii de economicitate, eficien, eficacitate i a termenul convenit. Planificarea auditului const n construirea unei strategii generale, dar i ,i unor abordri detaliate cu privire la natura, durata i gradul preconizat de cuprindere al auditului. Activitatea de planificare a auditului comport urmtoarele caracteristici: raionalitatea. Procesul de planificare i rezultatele acestuia permit auditorului evaluarea logic a ndeplinirii sarcinilor, precum i stabilirea de obiective clare anticiparea. Procesul de planificare permite dimensionarea sarcinilor n timp, astfel nc!t prioritile s fie mai clar scoase n eviden coordonarea. Planificarea permite coordonarea, de ctre instituiile de audit, at!t a politicilor de audit, cu auditurile realizate efectiv, c!t i a activitilor desfurate de ali auditori sau e"peri. Activitatea de plani ficare depinde de mrimea entitii auditate, comple"itatea auditului, e"periena auditorului i gradul de cunoatere a activitii entitii. 6.2. Sistemul de planificare a activitilor de audit intern Planificarea activitii de audi intern se realizeaz pe trei niveluri: -planificarea strategic pe termen lung - are n vedere activitatea de evaluare a funciei auditului intern a structurilor din subordine care i-au organizat compartimente de audit intern, o dat la cinci ani, conform cadrului normativ al auditului intern - planificarea strategic pe termen mediu - are n vedere faptul c, conform legii, toate activitile auditabile trebuie s fie auditate cel puin o dat la trei ani. n funcie de importana unei activiti n cadrul entitii, de pericolul producerii unor evenimente sau c#iar pagube, ca i de gradul de apariie i importan a riscului, aceasta poate fi cuprins n auditare - planificarea anual - cuprinde misiunile ce se vor realiza pe parcursul anului viitor in!nd cont de bugetul de timp disponibil n cadrul planului i de resursele alocate anual. $iecare misiune de audit va cuprinde obiectivele, identificarea activitilor adiacente, orele lucrate, personalul i planificarea orar pentru activitile i departamentele entitii publice supuse e"aminrii. %ealizarea activitii de planificare presupune determinarea domeniilor ma&ore ale auditului. ' planificare incorect sau incomplet conduce la pierderea unor activiti purttoare de riscuri. Practica impune selectarea cu atenie a activitilor din domeniile auditabile cu risc crescut pe baza analizei riscurilor asociate acestor activiti. Tipologia riscurilor i criteriile de evaluare a riscurilor trebuie s fie reprezentativ i s ne asigure pstrarea unei viziuni generale asupra ansamblului. %iscurile ma&ore, de regul, se concentreaz spre v!rful organizaiei, aa cum rezult din figura ((, i de aceea este recomandat s ncepem activitatea de planificare de sus, n &os. Pornind de &os n sus, vom constata c unele activiti le vom repeta de mai multe ori. )otui nu e"ist o soluie garantat. Intuiia i experiena auditorilor interni rmn un element cu pondere n activitatea de planificare. *mportant este s ne planificm auditurile pentru riscurile ma&ore, iar pe cele minore, n mai mic msur sau deloc. onsiderm c! orice planificare am face! nu trebuie s uitm departamentele de IT i ac"iziii publice! care sunt n general purttoare de riscuri. +in practic rezult c este necesar s ne #otr!m dac integrm activiti *) i ac#iziii la toate domeniile auditate sau le auditm separat. Abordarea planificrii auditului pe baza proceselor este bun pentru c ne spune ce se nt!mpl de la nceputul p!n la sf!ritul respectivului proces. Aceast abordare implic auditarea compartimentelor de *), resurse umane, financiar-contabilitate, ac#iziii, v!nzri i n consecin presupune utilizarea unui timp mai mare, deci realizarea unor audituri complexe. ,tandardele de audit intern recomand c, pentru realizarea planificrii, trebuie s discutm cu managementul. #anagerul entitii publice este responsabil de planificarea activitii de audit intern i trebuie s aprobe planul de audit intern, dar aceasta nu nseamn c-l poate influena pe auditorul intern n vederea eliminrii unui domeniu sau a unui departament cuprins n plan. Practicienii recomand auditorilor s- consulte i pe oamenii din organizaie care au o viziune global asupra activitilor i pot sesiza riscuri care altfel ar scpa, in!nd cont de faptul c ei sunt acolo &os, pe teren, implicai, iar noi i c#iar managerii suntem mai mult la birou. ' dat stabilite riscurile, se procedeaz la ierar#izarea lor pe nevoile de sarcini, i pentru aceasta se pleac de la obiectivele entitii spre a se a&unge la intele ce trebuie atinse. +ac volumul activitilor auditabile pentru un an este foarte mare, cutm s vedem c!t putem pstra n plan pentru auditare n acel an, av!nd n vedere i informaiile de care avem nevoie i modul cum le putem procura. n acest caz se impune s constituim o nou list cu activitile auditabile n funcie de informaiile disponibile i de cei mai buni indicatori pe domenii de activitate. .a planificarea activitilor auditabile n anul viitor trebuie s acordm prioritate activitilor cu valoare adugat mare, ale cror rezultate vor fi relevante pentru cei auditai, deoarece aceasta produce un efect favorabil asupra auditorilor interni. Planurile anuale de audit intern trebuie s fie adaptate n cursul exerciiului ori de cte ori se modific !!geografia$ riscurilor din cadrul entitii i, de asemenea, trebuie s aib o rezerv pentru evenimente deosebite sau neprevzute /concedii medicale ale auditorului intern, spre e"emplu, n medie, cinci zile pe an0 i timp pentru acordarea de consultan managementului 1n plan de audit intern bun este acel plan care a fost testat n situaii critice, c!nd intervine o criz, deoarece n situaii normale totul decurge '2. %pre exemplu! ne aflm n ultima zi de elaborare i aprobare a planului, i proiectul planului de audit intern nu este gata, iar eful structurii de audit intern sau cel care l ntocmete lipsete din entitate ntrebarea fireasc este: exist o procedur pentru asemenea situaii sau trebuie s discutm cu oamenii i s vedem ce se ntmpl& 3vident, se va elabora o procedur i pentru aceast situaie special. *n activitatea de planificare tot ce uitm nu se mai poate prinde i rm!ne pentru o perioad ulterioar, n cadrul celor trei ani stabilii prin lege. Planificarea activitii de audit intern trebuie s aib n vedere i zilele de pregtire profesional ale auditului, stabilite conform legii, i zilele de concediu de odi#n. Apoi, n afara obiectivelor obligatorii, se stabilesc bugetul de timp al auditorilor i bugetul financiar aferent activitilor planificate. 1n plan de audit este bine apreciat c!nd 456 din bugetul de timp este afectat pentru activiti de audit intern. 7etoda de elaborare a bugetului este ca pentru fiecare obiectiv s calculm de ce avem nevoie i apoi, prin nsumare i cu serviciile aferente, s stabilim valoarea noastr. %aportarea trebuie s se fac av!nd n vedere scopurile stabilite, modalitile utilizate i rezultatele ateptate. 8onform standardelor 9A /:555, :5(50, eful auditului intern trebuie s realizeze o planificare bazat pe riscuri pentru a stabili prioritile n acord cu obiectivele organizaiei. Programul misiunilor de audit intern trebuie! la rndul su! s se bazeze pe o evaluare a riscurilor realizat cel puin o dat pe an i s in cont de punctul de vedere al managementului general. n situaiile n care avem propuneri de realizare i a unei misiuni de consiliere, eful structurii de audit intern, nainte de a o accepta, trebuie s ia n calcul n ce msur aceasta poate aduce un plus de valoare i contribuie la mbuntirea managementului riscurilor n funcionarea organizaiei. 7isiunile de consiliere care au fost acceptate trebuie s fie integrate n planul de audit intern anual, care va fi transmis apoi managerului general pentru aprobare. 6.3. Reglementri noi n evaluarea riscurilor n vederea planificrii auditului anual 'biectivul managementului riscurilor l reprezint optimizarea alocrii resurselor de audit printr-o nelegere cuprinztoare a universului domeniului de audit i a riscurilor asociate cu fiecare element al acestuia. 'unele practici internaionale! adoptate de **A, ncep!nd cu elaborarea Planului de audit pentru anul ())*! recomand un model de audit al riscului pentru a cuantifica nivelul de risc al fiecrei uniti de audit, n vederea programrii auditurilor conform prioritilor stabilite. Aceasta reprezint o desprire de practicile trecute, care se bazau mai puin pe &udecata formal a riscului i mai mult pe perioada scurs de la ultimul audit. +ltimul model de analiz a riscului! recomandat de II, din %+, n ())*! se bazeaz pe ase factori de risc! i anume- .I - onstatrile anterioare ale auditului/ .( - %ensibilitatea sistemului! aa cum este perceput/ .* - #ediul de control/ .0 - ncrederea n managementul operaional/ .1 - %c"imbrile de oameni sau de sisteme/ .2 - omplexitatea. $iecare element din universul de audit va fi cuantificat dup aceti ase factori, folos&nd o scar numeric de la ( la ;, unde: - ( nseamn 3probabil c nu prezint probleme$/ - : nseamn 3posibil o problem$/ - ; nseamn 3probabil o problem $. %ezultatele acestor< analize sunt totalizate i apoi multiplicate cu un ! factor de vrst$ a auditului, cum ar fi: - (556, dac un audit similar a fost fcut n ultimele :- de luni - (:=6, dac auditul a fost fcut n urm cu :=-;> de luni - (=56, dac auditul a fost fcut n urm cu ;4->5 de luni - :556, dac auditul este mai vec#i de >5 de luni. ?ivelurile rezultatelor se vor ntinde pe o pla& de valori cuprins ntre > i ;>, care, dup nc#eierea acestui proces de notare, vor fi grupate n patru categorii, n funcie de factorul de risc prezentat, astfel: -stratul de (56 de sus reprezint nivelul de risc ma"im -stratul de ;56 reprezint nivelul de risc sensibil -stratul de -56 reprezint nivelul de risc moderat -ultimul strat de :56 reprezint nivelul de risc sczut. 8adrul pentru planul anual de audit intern este apoi construit din mostre din cele patru straturi, folosind urmtoarele inte: -entitile de audit considerate de risc mare vor fi auditate n proporie de (556 -stratul de risc sensibil va fi auditat n proporie de =56 -o mostr de :=6 va fi auditat din stratul de risc moderat -stratul de risc sczut va fi auditat select!nd elemente n proporie de (56. @rupurile de risc mai sczut sunt eantionate pentru a vedea dac procesul de notare funcioneaz i confirm c nivelurile de risc sunt n mod corespunztor clasificate. n timp ce modelul de risc recomandat de **A din ,1A n :55; nc necesit &udeci, nivelurile individuale sunt documentate i pot fi analizate critic i polemizate. 7odelul, de asemenea, promoveaz definirea uniform a universului de audit al fiecrui segment. Astfel riscurile de audit pe fiecare compartiment al entitii publice pot fi comparate cu cele de la celelalte compartimente pe o baz obiectiv. Aceasta va g#ida folosirea i repartizarea geografic a personalului. +efinirea universului de audit este prima cerin prealabil a ierar#izrii riscurilor. Aceast determinare a domeniului auditului va fi bazat pe cunoaterea planului strategic al organizaiei i activitilor acesteia i pe discuiile cu responsabilul compartimentului de resurse umane. #odelul de evaluare a riscurilor recomand liniile directoare de stabilire a criteriilor de ierar"izare a riscurilor! care sunt: i0 constatrile anterioare ale auditului - sunt un indicator al disciplinei de control intern. Problemele apar deseori datorit deficienelor semnificative ale controlului, modificrilor /a&ustrilor0 importante, unui numr de constatri mai mare dec!t normal, iar constatrile repetitive nu sunt fi"e. +impotriv, lipsa de constatri i corectarea periodic a constatrilor anterioare indic o disciplin a controlului ii0 sensibilitatea - reprezint evaluarea riscurilor inerente, asociate cu entitile evaluate. Aceasta este o evaluare a ceea ce ar putea produce nereguli n viitor i a reaciei asociate, care poate fi conectat, din punctul de vedere al riscului, cu pierderea sau descompletarea activelor, cu erorile nedetectate, cu datoriile nerecunoscute sau necuantificate e"act sau cu riscul de publicitate advers, obligaii legale etc. 8uantificarea sensibilitii va trebui s in seama i de mrimea entitii analizate, de e"punerea potenial i de probabilitate iii0 mediul de control - reprezint politicile colective, procedurile, regulile obinuite, msurile de protecie fizic a patrimoniului i personalul folosit n acest scop. 3seniale pentru un mediu favorabil de control sunt tonul de la v!rf, aderena la politicile i procedurile cuprinse n documente, sisteme sigure, prompta detectare i corectare a erorilor, dotarea adecvat cu personal i asigurarea unui numr /de personal0 inut sub control. +impotriv, lipsa de supraveg#ere, ratele mari de eroare, lipsa de documentare, cantitile mari de munc nenormat, insuficient gestionat, un mare numr de personal i operaiuni nereglementate sunt simptome ale unui mediu slab de control iv0 relaii bune! atmosfer destins cu managementul executiv -reflect ncrederea conductorilor auditului n managementul direct responsabil de unitatea auditat i implicarea managementului n controlul intern. Atmosfera desc#is are la baz factori cum ar fi colaborarea n auditurile anterioare, e"periena managementului n domeniu i percepiile privind calitatea i nivelul de dotare cu personal v0 sc"imbri ale oamenilor sau sistemelor. Practica indic faptul c sc#imbrile au impact asupra controalelor interne i raportrilor financiare. ,c#imbri apar de obicei pentru a avea efect pe termen lung, dar adeseori sc#imbrile pe termen scurt necesit o mai mare atenie din partea auditului. ,c#imbrile cuprind reorganizri, modificri ale ciclurilor de afaceri, creteri rapide, noi linii de produse, noi sisteme, ac#iziii i v!nzri ale unor pri din firm /capital0, noi reglementri sau legi i fluctuaia personalului. 1nitile de audit mai puin afectate de sc#imbri vor fi mai puin auditate vi0 complexitatea. Acest factor de risc reprezint potenialul pentru a comite erori sau inadecvri care ar putea trece neobservate /nedetectate0 din cauza comple"itii mediului. 8uantificarea i nivelul comple"itii vor depinde de mai muli factori. 3"tinderea automatizrii, calculaii comple"e, activiti interdependente, numr mare de produse sau servicii, orizontul de timp al estimrilor, dependena de un ter, cererile clienilor, timpii de procesare, legile i reglementrile aplicabile i muli ali factori, unii dintre ei necunoscui, influeneaz &udecile despre comple"itatea unui anumit audit. Perfecionarea modelului de cuantificare a riscurilor rm!ne o prioritate permanent a funciei auditului intern. 'biectivele auditorilor interni constau n alocarea de resurse de audit ntr-o manier optim, ctre auditurile cu cel mai mare risc, pentru AnsntoireaB activitilor /subactivitilor0 entitii, iar economisirea de resurse pe baza analizei riscurilor trebuie s rm!n o prioritate. 6.3. Metodologia de evaluare a riscurilor pentru ntocmirea planului de audit intern ?ormele generale de aplicare a auditului public intern conin o metodologie comun pentru evaluarea riscurilor, at!t pentru procedura de ntocmire a planului de audit public intern, c!t i pentru derularea unei misiuni de audit n faza de elaborare a programului de audit, i presupun parcurgerea urmtoarelor etape: a. identificarea activitilor auditabile b. identificarea riscurilor inerente asociate activitilor c. stabilirea factorilor de analiz! a riscurilor i a nivelurilor de apre ciere a acestora d. stabilirea nivelului riscului pe criteriile de apreciere e. determinarea puncta&ului total al riscului f. clasarea activitilor pe baza analizei riscurilor g. ierar#izarea activitilor care urmeaz a fi auditate #..elaborarea tematicii n detaliu a activitilor auditabile i.elaborarea planului de audit intern anual. a) Identificarea activitilor auditabile se realizeaz pe baza analizei actului de nfiinare, organigramei, %'$-ului, deciziilor de organizare a eventualelor noi activiti .a. Cn practic, n unele situaii se nt!lnesc activiti necuprinse n organigram sau n %'$, i n aceste cazuri auditorii interni trebuie s le aib n vedere la ntocmirea listei activitilor auditabile. b) Identificarea riscurilor inerente asociate activitilor 3valuarea riscurilor trebuie s aib n vedere gestionarea sc#imbrii: oamenii se sc#imb, metodele se sc#imb, organizrile i politicile se sc#imb i ca atare i riscurile se sc#imb. 3valuarea riscului nseamn identificarea i analiza riscurilor relevante n ndeplinirea obiectivelor, pentru a cunoate modul n care acestea trebuie s fie administrate. 3valuarea riscului este o parte a procesului operaional i trebuie s identifice i s evalueze factorii interni i e"terni care ar putea afecta obiectivele organizaiei. $actorii interni i e"terni trebuie s fie luai n considerare ntr-o abordare a evalurii riscului. $actorii interni sunt, de e"emplu, natura activitilor entitii, calificarea personalului, sc#imbrile ma&ore n organizare sau randamentul anga&ailor. $actorii e"terni pot fi variaia condiiilor economice, sc#imbarea cadrului legislativ, factorul politic sau sc#imbrile intervenite n te#nologie. *dentificarea riscurilor asociate activitilor trebuie s in seama de formele de control intern, respectiv de e"istena i funcionalitatea procedurilor. Dtiind c pentru orice activitate se elaboreaz o procedur de lucru care va conine i controalele interne, dac aceasta lipsete, activitatea prezint riscuri potenial mai mari dec!t cele pentru care sunt elaborate proceduri. Aceasta se bazeaz pe faptul c personalul de e"ecuie, neav!nd o procedur unitar, va nelege foarte greu activitatea i implicit realizarea ei n practic. c) Stabilirea factorilor de analiz a riscurilor i a nivelurilor de apreciere a acestora se realizeaz in!nd cont de recomandrile din ?ormele generale pentru utilizarea factorilor privind aprecierea controlului intern! aprecierea cantitativ i aprecierea calitativ! la care mai putem aduga i ali factori specifici activitii. ,pre e"emplu, propunem pentru domeniul financiar-contabil s utilizm i factorii: modificri legislative i vec"imea personalului. 7enionm c pentru stabilirea ponderii riscului se au n vedere importana i greutatea factorului de risc n cadrul activitii respective i, de asemenea, faptul c suma ponderilor factorilor de risc trebuie s fie (55. n funcie de criteriile alese, stabilim urmtoarele ponderi: Aprecierea controlului intern. -56 Aprecierea cantitativ.............:=6 Aprecierea calitativ...............:56 7odificri legislative...............(56 Eec#imea personalului...............=6. .actorul de risc este elementul utilizat pentru a identifica probabilitatea ca evenimentele s aib un efect negativ asupra unei activiti auditabile. 4ivelul factorului de apreciere a riscului reprezint modificarea produs de efectul riscului asupra domeniului auditabil. d) Stabilirea nivelului riscului pe criteriile de apreciere se realizeaz prin aplicarea la fiecare factor de analiz a riscurilor a unui nivel de apreciere. e) Determinarea punctajului total se realizeaz prin aplicarea ponderii nivelului de apreciere fiecrui factor de risc pe niveluri de risc n vederea stabilirii puncta&ului total, pe baza formulei Pt F Pi " ?i, unde: P t - puncta& total Pi - ponderea riscurilor pentru fiecare factor ?& - nivelul riscului pentru fiecare factor utilizat. Precizm c la stabilirea ponderii riscului se au n vedere importana i greutatea factorilor de risc n cadrul domeniului respectiv. +e asemenea, suma ponderilor factorilor de risc trebuie s fie de (556 pe fiecare activitate. f) Clasarea activitilor pe baza analizei riscurilor se realizeaz pe baza puncta&elor totale obinute anterior, stabilite n ordinea efectului produs asupra domeniului auditabil i departa&ate pe o scar cu trei niveluri: mari, medii i mici. 3tapa se concretizeaz n ntocmirea situaiei lasarea activitilor! care conine activitile identificate din cadrul domeniului financiar-contabil, n funcie de riscuri Auditorii vor prelua din lista de clasare a activitilor i riscurilor activitile care prezint risc mare i, pe c!t posibil, pe cele cu risc mediu, n funcie de importana lor. Activitile cu riscuri mici se in n supraveg#ere i vor fi prinse n plan, obligatoriu, cel puin o dat la trei ani. g) Ierarhizarea activitilor care urmeaz a fi auditate se realizeaz pe baza situaiei anterioare, in!nd cont i de numrul personalului, timpul disponibil, alte activiti care se desfoar n cadrul structurii de audit intern i n mod special de analiza riscurilor identificate la celelalte domenii din cadrul entitii. 3tapa se concretizeaz n elaborarea situaiei punctelor tari i punctelor slabe! document care prezint sintetic rezultatul evalurii fiecrei activiti n scopul elaborrii planului de audit intern. +ocumentul conine i o opinie referitoare la nivelul impactului riscurilor activitilor asupra domeniului auditabil i gradului de ncredere privind funcionalitatea activitii n cadrul domeniului h) Elaborarea tematicii n detaliu a activitilor auditabile )ematica de detaliu se realizeaz pe baza ,ituaiei punctelor tari i punctelor slabe, ntocmite n etapa anterioar, i cuprinde misiunile de audit intern ce vor face parte din planul pentru viitor. i) Elaborarea planului de audit intern anual Pentru elaborarea planului de audit intern anual este necesar s determinm pentru fiecare obiectiv perioada auditat, fondul de timp necesar pentru realizarea misiunilor i numrul auditorilor implicai. 3tapa se concretizeaz n elaborarea Planului de audit intern pe anul ())0! conform modelului. Planul de audit ntocmit de departamentul de audit intem pe baza analizei riscurilor se supune aprobrii conducerii entitii. 1lterior, n funcie de necesiti, poate fi actualizat, dar tot pe baza analizei riscurilor i cu aprobarea conducerii entitii prezentat n continuare pentru domeniul financiar-contabil