You are on page 1of 18

MINISTERUL FINANELOR PUBLICE

UNITATEA CENTRAL DE ARMONIZARE PENTRU


AUDITUL PUBLIC INTERN






NDRUMAR



EVALUAREA RISCURILOR
N PREGTIREA I REALIZAREA
MISIUNILOR DE AUDIT PUBLIC INTERN











Bucureti
2014


5

MINISTERUL FINANELOR PUBLICE
UNITATEA CENTRAL DE ARMONIZARE PENTRU
AUDITUL PUBLIC INTERN



NDRUMAR

EVALUAREA RISCURILOR
n pregtirea i realizarea misiunilor de audit
public intern


ELABORAT:
UNITATEA CENTRAL DE ARMONIZARE PENTRU AUDITUL
PUBLIC INTERN
BIROUL PENTRU STRATEGIE I METODOLOGIE GENERAL



ndrumarul Evaluarea riscurilor n pregtirea i realizarea misiunilor de audit public intern
este elaborat n conformitate cu prevederile art. 8 din Legea nr. 672/2002 privind auditul public
intern, republicat, cu modificrile ulterioare.
Prezentul ndrumar constituie un model care poate fi luat n considerare de ctre
compartimentele de audit intern din cadrul entitilor publice pentru evaluarea riscurilor n
scopul selectrii activitilor/aciunilor n auditare.





Bucureti
2014

NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


2



Cuprins



Denumirea Pag.
1. Introducere 3
2. Componentele riscului 4
3. Tipuri de riscuri 4
4. Clasificarea riscurilor 5
5. Cadrul general de gestionare a riscurilor 6
6. Evaluarea riscurilor de ctre auditul intern 8
7. Evaluarea riscurilor pentru elaborarea Programului misiunii de audit public
intern
10



NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


3

1. Introducere


Cadrul
general
ndrumarul privind evaluarea riscurilor n planificarea i realizarea misiunilor de
audit public intern reprezint un document n care este descris un model practic de
evaluare a riscurilor n scopul selectrii activitilor/aciunilor n auditare n cadrul
etapei Pregtirea misiunii de audit intern.
ndrumarul i propune s reliefeze activitile derulate de conducerea entitii n
vederea gestionrii riscurilor, precum i activitile derulate de auditorii interni cu
scopul evalurii riscurilor n vederea selectrii activitilor/aciunilor n auditare.
n coninutul ndrumarului sunt dezvoltate aspecte referitoare la identificarea,
evaluarea i tratarea riscurilor de ctre conducerea entitii, precum i procedurile
derulate de auditori n vederea evalurii riscurilor i ierahizrii acestora n funcie de
nivelul lor, fiind prezentate i modul de ntocmire a documentelor specifice
procedurilor de audit.
Baza de
elaborare

ndrumarul a fost elaborat n baza prevederilor art. 8, lit. c) din Legea nr. 672/2002
privind auditul public intern, republicat, cu modificrile ulterioare i pct. 3.7.4.2.
din Normele generale privind exercitarea activitii de audit public intern aprobate
prin H.G. nr. 1086/2013. Prezentul ndrumar reprezint o continuare a eforturilor
UCAAPI pentru completarea instrumentelor de audit puse la dispoziia auditorilor
interni din sectorul public.
Obiectiv

Obiectivul principal al ndrumarului este acela de a oferi un instrument de lucru util
pentru auditorii interni, care s i sprijine n evaluarea riscurilor specifice obiectivelor
misiunilor de audit public intern i selectarea activitilor/aciunilor n auditare.
Rolul
auditului
intern n
procesul de
gestioanre a
riscurilor
Activitatea de audit intern n entitile publice este asigurat de compartimentele de
audit intern care reprezint structuri funcionale organizate n subordinea direct a
conductorului entitii publice.
n exercitarea responsabilitilor, compartimentele de audit public intern au ca
principal atribuie efectuarea de misiuni de audit public intern n cadrul crora
evalueaz dac sistemele de management financiar i control ale entitii publice
sunt transparente i conforme cu normele de legalitate, regularitate, economicitate,
eficien i eficacitate.
Pentru a-i atinge aceste obiective, auditul public intern procedeaz la evaluarea
riscurilor asociate activitilor/aciunilor auditabile, stabilirea riscurilor ridicate sau
necontrolate n mod suficient de entitate i planificarea i realizarea de testri n
aceste zone n vederea identificrii controalelor interne care nu exist sau exist dar
nu funcioneaz n mod corespunztor, precum i formularea de recomandri n
vederea corectrii acestor deficiene i/sau mbuntirii activitilor/aciunilor.


2. Componentele riscului
NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


4

Conceptul de
risc
n practica entitilor publice din ara noastr definiia riscului acceptat i adoptat
este urmtoarea
1
: riscul reprezint o problem (situaie, eveniment etc.) care nu a
aprut nc, dar care poate apare n viitor, caz n care obinerea rezultatelor
prealabil fixate este ameninata sau potenat.
Componente
Probabilitatea este o msur a incertitudinii i poate fi apreciat prin
probabilitate mare, medie sau mic. Evaluarea probabilitii de materializare a
riscului nseamn determinarea anselor de manifestare a acestuia. Probabilitatea
mare exist atunci cnd riscul nu este controlat, iar manifestarea lui nu poate fi
prevenit de entitatea public. Probabilitatea medie presupune c la nivelul
entitii sunt implementate msuri de control intern, ns manifestarea riscului nu
poate fi prevenit n totalitate. Probabilitatea mic poate fi atribuit unui risc n
condiiile n care acesta este bine gestionat de entitate, respectiv controalele interne
implementate menin riscul n nivelele acceptate.
Impactul riscului reprezint consecina negativ asupra rezultatelor
(obiectivelor) ateptate n cazul n care riscul se materializeaz. Impactul riscului
poate fi apreciat prin impact ridicat, impact mediu i impact sczut. Impactul
ridicat, presupune c materializarea riscului implic un nivel ridicat de gravitate.
Impactul mediu, implic un nivel moderat de pericol pentru entitate. Impactul
sczut presupune o gravitate redus n cazul n care riscul se manifest.


3. Tipuri de riscuri

Riscurile
inerente
Riscul inerent este riscul care exist n mod normal n orice activitate desfurat i
este definit ca fiind riscul existent nainte de aplicarea unor msuri de control
intern n vederea reducerii atenurii lui
2
. Astfel, se consider c riscul inerent
reprezint posibilitatea de apariie a unor erori sau neregulariti n ceea ce privete
managementul i situaiile financiare, nainte de impactul eficacitii msurilor de
control intern.
Riscurile
reziduale
Riscurile reziduale reprezint expunerea cauzat de un anumit risc dup ce au
fost luate msuri de atenuare a lui. Msurile de atenuare a riscurilor aparin
controlului intern. Din aceast cauz riscul rezidual este o msur a eficacitii
controlului intern, fapt pentru care unele ri au nlocuit termenul de risc rezidual
cu cel de risc de control
3
. Astfel, riscul rezidual este considerat ca fiind riscul
care rmne dup implementarea msurilor de control intern. Aplicarea msurilor
de control intern trebuie s aib ca efect limitarea riscului inerent la un nivel care
s fie acceptat de entitatea public. Riscurile reziduale se monitorizeaz i se
urmresc dac se menin la niveluri acceptate.

1
Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,
2007, site: www.finante.ro
2
Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,
2007, site: www.finante.ro
3
Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,
2007, site: www.finante.ro
NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


5
Riscurile reziduale mai sunt cunoscute i ca fiind vulnerabilitatea sau expunerea
entitii, respectiv riscul care rmne dup ce s-au implementat msuri de control n
vederea diminurii riscului inerent. Aceste riscuri nu sunt supuse de entitatea
public procedurii de evaluare i tratare, ns sunt inute sub observaie, urmrindu-
se dac acestea se schimb, i modific nivelul sau structura i astfel devin
necontrolate.
Riscurile inerente i riscurile reziduale sunt considerate ca fiind dou ipostaze ale
aceluiai risc. Astfel, riscurile inerente exist nainte de introducerea instrumentelor
de control intern, iar riscurile reziduale exist dup introducerea instrumentelor de
control intern. Totui, dac instrumentele de control intern sunt implementate la un
moment dat, n raport cu un anumit risc, au drept consecin o expunere la risc mai
mare fa de limitele de tolerabilitate, riscul rezidual fiind considerat risc inerent.
Riscul de
control
Riscul de control, reprezint probabilitatea ca sistemul de control s nu funcioneze
i astfel s nu poat mpiedica sau corecta disfunciile existente, respectiv riscul ca
sistemul de control intern al entitii s nu reueasc s mpiedice sau s detecteze
la timp erorile, neregularitile sau frauda. Aceste riscuri pot aprea n soldul unui
cont sau ntr-o categorie de tranzacii i pot fi semnificative n mod individual sau
cumulate cu alte informaii. Riscurile de control reprezint nereguli i erori care nu
sunt descoperite cu ocazia controlului.
Riscul de
nedectare
Riscul de nedetectare, reprezint riscul ca un anumit eveniment sau ameninare s
nu poat fi identificat i gestionat, respectiv riscul ca testrile efectuate de auditul
intern s nu detecteze eventualele erori sau neregulariti semnificative. Aceste
riscuri sunt excluse n mod involuntar de ctre entitate, deoarece nu are cunotin
despre existena lor. Totui, entitatea public are responsabilitatea de a monitoriza
activitile ataate obiectivelor i de a urmri existena i a altor riscuri, n special
n contextul n care modul de realizare a activitilor se schimb, ceea ce poate
genera apariia de noi riscuri.

4. Clasificarea riscurilor

Clasificarea n
funcie de
natura
operaiilor pe
care le
genereaz
Riscuri strategice, au legtur direct cu strategia de dezvoltare a entitii publice
i sunt asociate obiectivelor strategice;
Riscuri organizaionale, sunt asociate procesului organizaional, realizrii
activitilor i procedurilor operaionale;
Riscuri financiare, sunt determinate de schimbarea dobnzilor, inflaie, asigurri,
taxe i impozite, politici protecioniste, politici regionale, nevoia de reducere a
pierderilor;
Riscuri generale, au legtur direct cu domeniile de activitate ale entitii i sunt
asociate obiectivelor generale;
Riscuri generate de schimbri, sunt determinate de schimbrile legislative, etica
profesional, nivelul de cultur i pregtire al personalului, nevoile i necesitile
personalului, ct i de fluctuaia personalului;
Riscuri operaionale, au legtur direct cu compartimentele funcionale ale
NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


6
entitii i sunt asociate obiectivelor specifice definite la nivelul acestor
compartimente.
Riscurile operaionale, sunt definite pe baza relaiei cauz eveniment efect i a
controalelor existente n cadrul unui eveniment, n scopul prevenirii apariiei
acestuia. Pentru ca riscul operaional s fie unul minimizat i controlat se impune
ca sistemul de control intern/managerial s fie adaptat naturii i complexitii
activitilor desfurate i s asigure cel puin delegarea de competenta i
responsabilitate, separarea funciilor, protejarea activelor i funcia de audit intern.
Gestionarea eficient a riscurilor presupune asigurarea echilibrului ntre riscul
rezidual existent i nivelul riscului pe care entitatea public este pregtita s-l
tolereze. Ignorarea anumitor situaii, conduce la existena unor riscuri necontrolate,
care pot afecta nerealizarea obiectivelor.

5. Cadrul general de gestionare a riscurilor


Conceptul
de management
al riscurilor
Modelul cadru de administrare al riscurilor adoptat n sistemul public din ara
noastr este cel definit de COSO, model recunoscut ca un element cheie pentru o
bun guvernan. COSO definete managementul riscului ca fiind procesul
efectuat de consiliul de administraie, conducere i alte persoane, aplicat n
stabilirea strategiei i n ntreaga organizaie, destinat s identifice evenimentele
poteniale care pot afecta entitatea i s gestioneze riscul n limitele apetitului la
risc pentru a furniza o asigurare rezonabil privind atingerea obiectivelor
organizaiei.
Cadrul integrat de managementul riscurilor, definit de COSO gestioneaz riscul
n limita apetitului de risc, ceea ce presupune c riscurile inerente sunt evaluate
i tratate, prin implementarea de dispozitive de control cu ajutorul crora se
acioneaz asupra impactului i probabilitii de manifestare a riscurilor, astfel
nct acestea devin riscuri reziduale.
n acelai timp, necesitatea implementrii unui proces de gestionare a riscurilor
este determinat i de faptul c riscul exist pretutindeni, n orice mprejurare i
aciune i nu poate fi eliminat. n aceste condiii, riscul trebuie minimizat,
respectiv meninut n limitele acceptate de entitatea public.
Managementul riscurilor la nivelul entitilor publice a fost creat pe conceptul de
control intern, ns, accentul a fost pus n mod deosebit pe modul de administrare
a riscurilor, respectiv ncorporarea conceptelor de baz cu privire la controlul
intern n cadrul procesului de gestionare a riscurilor.
Sistemul de control intern/managerial adoptat n sistemul public din ara
noastr, potrivit cadrului de reglementare n vigoare
4
, care cuprinde i obligaia
de a gestiona riscurile, este construit i adaptat pe sistemul COSO. n aceste

4
OMFP nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele de management i control intern
la entitile publice i pentru dezvoltarea sistemelor de control managerial, republicat.
NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


7
condiii implementarea Standardului de control intern Managementul
riscurilor, respect sistemul de management al riscului definit de COSO.
Managementul riscurilor reprezint un proces structurat, consistent i continuu
n ntreaga organizaie n vederea identificrii, evalurii i aprecierii riscurilor,
stabilirii responsabilitilor, luarea de msuri de atenuare sau anticipare a
acestora, revizuirea periodic i monitorizarea progresului
5
, care garanteaz
sigurana i integritatea financiar a entiti publice.
Responsabilitile
Conducerii
entitii
Pentru implementarea sistemului de management al riscurilor la nivelul entitii
publice trebuie s existe un cadru favorabil reprezentat de personal cu experien,
structur funcional echilibrat, atribuii i responsabiliti adecvate,
infrastructur tehnic.
Conducerea este responsabil de implementarea sistemului de administrare a
riscurilor, astfel nct riscurile s fie identificate, evaluate i tratate n vederea
reducerii nivelului de expunere i meninerea acestora la nivele acceptate. Aceasta
trebuie s conceap i s implementeze un sistem de management al riscurilor
axat pe identificarea, evaluarea i tratarea riscurilor care amenin realizarea
obiectivelor stabilite, la toate nivelurile organizaionale, respectiv strategic,
general, specific i individual. Garantarea realizrii obiectivelor presupune
stabilirea i implementarea de dispozitive de control adecvate i suficiente, astfel
nct riscurile asociate obiectivelor s fie controlate i meninute n limitele
acceptate.
Managementul riscului este integrat n sistemele i metodele de lucru ale entitii
publice i este n responsabilitatea conducerii care trebuie s armonizeze structura
organizaional, personalul, procesele i infrastructura pentru a implementa
strategia i a menine un bun control asupra riscurilor.
Gestionarea riscurilor este responsabilitatea major a conducerii entitii publice
care trebuie s asigure, punerea n practic i buna funcionare a proceselor de
management al riscurilor pentru realizarea obiectivelor. Auditul intern are rolul de
a examina i evalua procesele de managementul riscurilor puse n practic de
conducere i de a urmri dac acestea sunt suficiente i eficace, garantnd
realizarea obiectivelor.
Responsabilitile
auditului intern
Potrivit Standardelor internaionale de audit intern rolul auditorilor interni este
de a asista conducerea i comitetul de audit. n acest scop, trebuie ca ei s
examineze i s evalueze procesele de management al riscurilor adoptate de
conducere, s verifice dac acestea sunt suficiente i eficace, s emit rapoarte i
recomandri n vederea mbuntirii lor. Conducerea i consiliul sunt
responsabile de procesul de management al riscurilor i de control din
organizaia lor. Totui, auditorii pot, n cadrul unei misiuni de consiliere s ajute
organizaia s identifice, s evalueze i s implementeze un dispozitiv de
management al riscurilor i al controalelor care s permit stpnirea acestor
riscuri.

5
Metodologia de implementare a Standardului de control intern Managementul riscurilor, Ministerul Finanelor Publice,
2007, site: www.finante.ro
NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


8
Evaluarea procesului de management al riscurilor n cadrul organizaiei i
raportarea acestor evaluri fac parte din obiecitvele prioritare ale auditului.
Trebuie fcut distincia ntre evaluarea proceselor de management al riscurilor
i analiza riscurilor pe care auditorii trebuie s o realizeze pentru a-i planifica
activitile
6
.
Astfel, se constat c auditul intern are un rol activ, de asigurare i consiliere a
conducerii entitii publice, n procesul de implementare i gestionare a riscurilor,
ns, pentru a evita ca responsabilitatea s le fie atribuit, trebuie s obin de la
conducere confirmarea c aceasta asigur procesul de identificare, atenuare i
monitorizare a riscurilor, asumndu-i responsabilitatea n acest sens.

6. Evaluarea riscurilor de ctre auditul intern

Reglementrile naionale n domeniu
7
stabilesc c implementarea managementului riscurilor
reprezint responsabilitatea major a conducerii entitii publice, iar evaluarea funcionalitii este n
sarcina auditului intern.
n accepiunea general, auditorul intern are rol activ n implementarea procesului de gestionare
al riscurilor, prin furnizarea de asigurare i acordare de consiliere.
Auditorii interni, dei au rol activ n implementarea i gestionarea dispozitivelor de control al
riscurilor i aplicarea proceselor de management al riscurilor, acetia nu trebuie s i asume
responsabiliti n procesul de management al riscurilor.
n aceste condiii, se constat c, rolul auditului intern n procesul de management al riscurilor
este din ce n ce mai complex, urmare tendinei de recunoatere a managementului riscurilor ca un
sistem-cheie din cadrul entitilor publice.
n procesul de evaluare a riscurilor auditorii interni se pot ntlni cu dou situaii. Astfel,
situaia cnd nu exist implementat un proces de management al riscurilor n entitatea public auditorii
interni formuleaz recomandri conducerii entitii n vederea organizrii acestui proces. n situaia n
care exist implementat un proces de management al riscurilor, auditorii interni procedeaz la
evaluarea modului n care riscurile sunt gestionate i formuleaz recomandri pentru mbuntirea
procesului.
Auditul intern ajut entitatea public, oferind asigurarea c sistemul de management al
riscurilor este adecvat i suficient pentru protejarea fondurilor i a patrimoniului public i buna
gestionare a acestora. De asemenea, contribuie la identificarea i evaluarea riscurilor semnificative i
fundamenteaz recomandri pentru mbuntirea acestui sistem.
Lund n considerare faptul c, managementul entitii publice i personalul realizeaz
activitile de gestionare a riscurilor cu scopul de a identifica, evalua, gestiona i controla toate tipurile
de evenimente sau situaii care pot afecta activitile acesteia, rolul auditului intern difer n funcie de
nivelul de gestionare a riscurilor, astfel:
a) dac evaluarea riscurilor este realizat nainte ca riscul s se materializeze, rolul auditului
intern este a urmri suficiena i eficacitatea controlului intern pentru, a evita producerea
evenimentului;
b) dac evaluarea riscurilor este realizat dup ce riscul s-a materializat, rolul auditului

6
Standard 2110 (MPA) Managementul riscurilor, Norme profesionale ale auditului intern, Ministerul Finanelor Publice,
Programul UE-PHARE Dezvoltarea procedurilor de audit i de control intern, Bucureti, 2004
7
OMFP nr. 946/2005 pentru aprobarea Codului controlului intern, cuprinznd standardele de management i control intern
la entitile publice i pentru dezvoltarea sistemelor de control managerial, republicat.
NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


9
intern este de a stabili cauzele care au condus la manifestarea riscului i de a propune msuri de
control intern n vederea eliminrii acestora i pentur a asigura continuitatea activitilor
organizaiei.
Evaluarea riscurilor de ctre auditul intern presupune identificarea i analiza riscurilor relevante
pentru atingerea obiectivelor i furnizarea unei asigurrii rezonabile cu privire la gradul n care
obiectivele pot fi atinse.
Asigurarea furnizat de auditul intern cu ocazia evalurii procesului de management al
riscurilor presupune urmtoarele:
a) asigurarea asupra eficacitii procesului de management al riscurilor;
b) asigurarea c riscurile sunt evaluate n mod corect;
c) asigurarea asupra riscurilor-cheie.
Cunoaterea riscurilor i a nivelului acceptat al expunerii la risc contribuie la o analiz i
fundamentare mult mai realist a deciziilor manageriale.
n procesul de evaluare a managementului riscurilor auditorii interni urmresc:
a) identificarea i evaluarea riscurilor ce decurg din strategiile i activitile derulate de
entitile publice;
b) existena limitelor riscurilor acceptate de ctre conducerea entitii publice;
c) aplicarea msurilor de reducere sau atenuare a riscurilor, n funcie de limitele stabilite i
considerate acceptabile la nivelul entitii publice;
d) monitorizarea periodic a riscurilor pentru evaluarea evoluiei acestora;
e) furnizarea de rapoarte privind evaluarea i controlul riscurilor conducerii entitii.
Obiectivul auditului intern este de a oferi asigurarea c sistemul de management al riscurilor
este adecvat i suficient pentru a proteja bunurile, reputaia i activitile organizaiei, de a ajuta la
identificarea i evaluarea riscurilor semnificative.
Practica auditului intern n evaluarea procesului de management al riscurilor urmrete
evaluarea procedurilor aplicate de conducerea entitii n implementarea procesului, prin planificarea i
realizarea de testri pentru fiecare risc identificat i gestionat. n baza rezultatelor obinute se
furnizeaz o opinie cu privire la eficacitatea controalelor interne care asigur limitarea riscurilor i
meninerea lor n limite acceptabile.
n procesul de evaluare a riscurilor auditorii interni trebuie s dispun de dovezi suficiente i
probante pentru a se asigura c procesul de gestionare a riscurilor, realizat de conducerea entitii
publice, este unul relevant i corespunztor. n acest sens, trebuie s ia n considerare urmtoarele:
a) analiza i examinarea documentelor de referin privind metodele aplicate de management
pentru gestionarea riscurilor i urmrirea dac acestea se bazeaz pe bunele practici;
b) analiza i documentarea cu privire la sectorul de activitate al entitii, privind evoluia i
tendinele viitoare, n vederea determinrii procedurilor de control utilizate i a riscurilor care ar putea
afecta entitatea;
c) examinarea procedurilor entitii, a expunerii la risc i a acceptrii riscurilor;
d) examinarea rapoartelor anterioare cu privire la evaluarea riscurilor, ntocmite de auditorii
interni i externi;
e) organizarea de ntlniri de lucru cu managementul entitii pentru a nelege obiectivele
stabilite, riscurile asociate obiectivelor i msurile de control luate;
f) evaluarea procesului de monitorizare, comunicare i atenuare a riscurilor i activitilor de
control intern;
n condiiile n care conducerea entitii publice a acceptat un nivel de risc necorelat cu strategia i
procedurile entitii, sau nivelul este considerat inacceptabil pentru entitate, auditul intern are
NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


10
responsabilitatea de a face referire la normele privind acceptarea riscurilor i formuleaz propuneri n
vederea tratrii corespunztoare a riscului.
Evaluarea riscurilor de ctre auditul intern este efectuat n perioada de planificare a misiunii de
audit intern i se concretizeaz n elaborarea Planului multianual/anual de audit public intern, iar n
etapa de pregtire i realizare a misiunii de audit public intern n elaborarea Programului misiunii de
audit public intern.

7. Evaluarea riscurilor pentru elaborarea Programului misiunii de audit public intern

Evaluarea riscurilor are la baz probabilitatea de apariie i impactul riscului.
Procesul de evaluare a riscurilor, efectuat de auditorii interni, presupune parcurgerea
urmtoarelor faze: (1) identificarea activitilor/operaiilor, respectiv a obiectelor auditabile; (2)
identificarea riscurilor asociate activitilor/operaiilor; (3) evaluarea riscurilor; (4) determinarea
punctajului total al riscului.
A. Identificarea activitilor/operaiilor auditabile, se realizeaz prin detalierea activitilor
n operaii succesive, prin descrierea procesului, de la iniierea i pn la realizarea lui. Stabilirea
obiectelor auditabile, n practic, se realizeaz prin analiza cadrului legislativ, respectiv: organigrama,
R.O.F.-ul, normele metodologice de aplicare a cadrului normativ care reglementeaz activitatea, fiele
posturilor, procedurile, circuitul documentelor, pista de audit, diagrama de circulaie, decizii, circulare,
instruciuni i altele, n vederea identificrii tuturor operaiilor componente ale activitilor auditate.
B. Identificarea riscurilor asociate activitilor/operaiilor se face prin evaluarea operaiilor
auditabile identificate, determinarea controalelor interne ateptate i, n funcie de aceasta, determinarea
riscurilor.
Identificarea riscurilor presupune identificarea tuturor evenimentelor, interne i externe, care
pot afecta pozitiv sau negativ realizarea activitilor auditabile. Identificarea ricurilor presupune
urmtoarele:
a) identificarea iniiala a riscurilor, caracteristic entitilor care nu i-au identificat anterior
riscurile;
b) identificarea riscurilor n condiiile n care entitile publice au implementat un proces de
managementul riscurilor.
n faza de identificare a riscurilor pot aprea situaii n funcie de care riscurile vor fi sau nu
cuprinse n auditare, astfel :
- operaii la care controalele interne sunt stabilite i funcioneaz, caz n care riscurile sunt
minime, fiind posibil chiar s nu fie avute n vedere la analiz ;
- operaii la care controalele interne sunt stabilite, dar nu funcioneaz, caz n care riscurile
prezint importan i trebuie luate n analiz ;
- operaii la care controalele interne nu sunt stabilite, dar funcioneaz, caz n care se
recomand formalizarea lor prin proceduri de lucru ;
- operaii la care controalele interne nu sunt stabilite i nici nu funcioneaz, caz n care
riscurile sunt majore i vor fi avute n vedere, n mod obligatoriu, n analiza riscurilor.
Auditul intern folosete pentru identificarea riscului o serie de metode de audit cum sunt:
chestionare, liste cu ntrebri, metode de analiza cantitative i calitative, precum i tehnici de audit:
intervievarea responsabililor, grupurile focus, comparaii, grupri sau verificri.

NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


11
C. Evaluarea riscurilor are n vedere componentele riscului, probabilitatea de apariie,
respectiv condiiile care-l favorizeaz i impactul riscului, respectiv consecina n cazul materializrii
riscului.
Obiectivele principale ale acestei faze const n a cuantifica probabilitile de apariie i
mrimea pierderilor produse de factorii de risc. Rezultatele sunt msurate pe baza unei matrice de
analiz a riscurilor.
n aceast etap se evalueaz importana riscurilor identificate, care trebuie s graviteze n
jurul componentelor de probabilitate i impact. Majoritatea riscurilor se preteaz la o diagnosticare
numeric, n special riscurile financiare sau cu conotaii financiare, dar exist i riscuri a cror
evaluare se realizeaz din perspectiv subiectiv, spre exemplu riscul de imagine, riscul de reputaie,
riscul de brand .a.
n procesul de evaluare a riscurilor, auditul intern realizeaz o analiz a riscurilor semnificative
din cadrul entitii asociate obiectivelor stabilite, face o apreciere a capacitii sistemului de control
intern/managerial de a preveni manifestarea riscurilor i stabilete riscurile semnificative i
necontrolate n mod adecvat de ctre entitate.
Evaluarea riscurilor depinde de probabilitatea de apariie a acestora si de gravitatea
consecinelor n cazul manifestrii riscului, respectiv impactul riscului i utilizeaz ca instrumente
criteriile de apreciere a riscurilor. Aceste criterii trebuie s acopere obiectivele, n cadrul crora riscul
a fost asociat, din punct de vedere al conformitii i performanei.
Procesul de evaluare a riscurilor cuprinde att evaluarea riscurilor inerente, existente nainte de
implementarea msurilor de control, ct i riscurile reziduale, rezultate dup implementarea msurilor
de control.
Evaluarea riscurilor se realizeaz prin aprecierea probabilitii de materializare a riscurilor i
aprecierea impactului riscului n situaia materializrii acestuia i clasarea acestora pe trei nivele.
a. Aprecierea probabilitii, reprezint un element calitativ i se realizeaz prin evaluarea
posibilitii de apariie a riscurilor, prin luarea n considerare a factorilor de inciden calitativi specifici
contextului n care sunt definite i realizate obiectivele. Aceasta se poate exprima pe o scal valoric,
pe trei niveluri astfel: probabilitate mic, probabilitate medie i probabilitate mare. Un model de
apreciere a probabilitii se prezint dup cum urmeaz:

PROBABILITATE Dac
MIC
(1)

Modificri rare ale cadrului normativ, peste 3 ani
Complexitate redus a activitilor i aciunilor
Personal experimentat (experien de cel puin 5 ani)
Obiectivele i intele nu sunt modificate
Informaii fiabile, adecvate i actualizate
Procese bine concepute, formalizate i conduse
Riscul nu s-a manifestat anterior
MEDIE
(2)

Cadrul normativ este relativ nou sau a cunoscut modificri semnificative
Complexitate medie a activitilor i aciunilor
Nivel mediu de ncadrare i experien a personalului (experien sub 3
ani)
Modificri rare ale obiectivelor i intelor
Informaii existente din mai multe surse, dar insuficiente
Riscul s-a manifestat rareori n trecut
NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


12
MARE
(3)

Modificri foarte dese ale cadrului normativ
Complexitate ridicat a activitilor i aciunilor
Personal neexperimentat i nou ncadrat (experin sub un an)
Modificri frecvente ale obiectivelor i intelor
Procese slab concepute i conduse
Informaii insuficiente i neactualizate

Not: Criterile menionate anterior au caracter orientativ, este recomandat ca la nivelul
fiecrei entiti s fie identificate i stabilite criterii specifice pe baza crora s se aprecize
probabilitatea de apariie a riscurilor.

Informaiile colectate trebuie sintetizate cu ajutorul unor instrumente de lucru
formalizate la nivelul compartimentului de audit public intern, care s reflecte activitatea
desfurat. Un exemplu de document de lucru este prezentat n continuare.
NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


13

PREGTIREA MISIUNII DE AUDIT Compartimentul Audit
Public Intern Analiza riscurilor

Data: ..
Domeniul/activitatea auditat: Achiziii publice
Denumire misiune: Performana sistemului de achiziii publice al entitii
Document redactat de: Ionescu Viorel/Georgescu Ioana
Supervizat de: Popescu Gabriel


FOAIE DE LUCRU NR. 1
DETERMINAREA PROBABILITII RISCURILOR

Nr.
crt.
Obiective Activiti/Aciuni Riscurile identificate
Probabilit
ate (P)
Asigurarea concordanei ntre
politica de achiziii i obiective
Realizarea obiectivelor nu asigur
implementarea politicii entitii n
domeniu
1
Dezvoltarea politicii de achiziii n
funcie de necesitile actuale i
viitoare
Atribuirea contractelor fr respectarea
criteriilor de calitate i pre
2
Implementarea politicii de achiziii
asigur eficiena activitilor
Interoperativitate redus a sistemului
informatic existent la nivelul entitii
3
1.
Adecvarea
politicii de
achiziii
........................... ...............................

Fundamentarea necesarului de
achiziii n corelaie cu necesitatea
real
Supradimensionarea nevoilor
2
Programul de achiziii este
exhaustiv i relevant pentru
nevoile existente
Divizarea contractelor
3
2.
Elaborarea
programului de
achiziii
........................... ...............................

Asigurarea unei achiziii de calitate
la costuri minime ale pieei
Procesul de atribuire a contractelor
limiteaz competiia
3
Respectarea condiiilor tehnice i
financiare stabilite prin contractele
de achiziii
Clauze contractuale favorabile
furnizorului
2
Realizarea achiziiilor fr corelarea lor
cu necesitile i stocurile existente
1
Derularea contractelor de achiziii
Pli n avans, nenregistrarea plilor
efectuate
2
3.
Eficiena i
eficacitatea
gestiunii
achiziiilor
........................... ...............................


Auditori interni,


b. Aprecierea impactului, reprezint un element cantitativ i se realizeaz prin evaluarea
efectelor riscului, n cazul n care acesta s-ar materializa, prin luarea n considerare a factorilor
cantitativi specifici naturii financiare a contextului de realizare a obiectivelor. Aceasta se poate exprima
pe o scal valoric, pe trei niveluri, astfel: impact sczut, impact moderat i impact ridicat. Un model
NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


14
de apreciere a impactului se prezint dup cum urmeaz:

IMPACT Dac
SCZUT
(1)

Nu exist pierderi de active (financiare, angajai, materiale).
Afectarea imaginii entitii este redus.
Costurile de funcionare nu sunt afectate.
Calitatea serviciilor furnizate nu este afectat.
Nu exist ntreruperi n activitate etc.
MODERAT
(2)

Pierderi de active (financiare, angajai, materiale) sunt reduse.
Afectarea imaginii entitii este moderat.
Creterea costurile de funcionare este moderat.
Calitatea serviciilor furnizate este afectat n mic msur.
Exist mici ntreruperi n activitate etc.
RIDICAT
(3)

Pierderi semnificative de active (financiare, angajai, materiale).
Imaginea entitii este afectat n mod semnificativ.
Costuri ridicate de funcionare.
Calitatea serviciilor furnizate este afectat semnificativ.
ntreruperi semnificative n activitate etc.

Informaiile colectate trebuie sintetizate cu ajutorul unor instrumente de lucru
formalizate la nivelul compartimentului de audit public intern, care s reflecte activitatea
desfurat. Un exemplu de document de lucru este prezentat n continuare.




NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


15

FOAIE DE LUCRU NR. 2
DETERMINAREA IMPACTULUI RISCURILOR

Nr.
crt.
Obiective Activiti/Aciuni Riscurile identificate
Impact
(I)
Asigurarea concordanei ntre politica de
achiziii i obiective
Realizarea obiectivelor nu
asigur implementarea politicii
entitii n domeniu
2
Dezvoltarea politicii de achiziii n
funcie de necesitile actuale i viitoare
Atribuirea contractelor fr
respectarea criteriilor de calitate
i pre
2
Implementarea politicii de achiziii
asigur eficiena activitilor
Interoperativitate redus a
sistemului informatic existent la
nivelul entitii
2
1. Adecvarea
politicii de
achiziii
........................... ...............................
Fundamentarea necesarului de achiziii
n corelaie cu necesitatea real
Supradimensionarea nevoilor
2
Programul de achiziii este exhaustiv i
relevant pentru nevoile existente
Divizarea contractelor
3
2. Elaborarea
programului
de achiziii
........................... ...............................

Asigurarea unei achiziii de calitate la
costuri minime ale pieei
Procesul de atribuire a
contractelor limiteaz
competiia
2
Respectarea condiiilor tehnice i
financiare stabilite prin contractele de
achiziii
Clauze contractuale favorabile
furnizorului
2
Realizarea achiziiilor fr
corelarea lor cu necesitile i
stocurile existente
2
Derularea contractelor de achiziii
Pli n avans, nenregistrarea
plilor efectuate
2
3.


Eficiena i
eficacitatea
gestiunii
achiziiilor
........................... ...............................

Auditori interni,
PREGTIREA MISIUNII DE
AUDIT
Compartimentul Audit
Public Intern
Analiza riscurilor

Data:
Domeniul/activitatea auditat: Achiziii publice
Denumire misiune: Performana sistemului de achiziii publice al entitii
Document redactat de: Ionescu Viorel/Georgescu Ioana
Supervizat de: Popescu Gabriel






D. Determinarea punctajului total al riscului. Punctajului total al riscului se stabilete ca
produs dintre probabilitatea i impactul riscului, conform formulei:

NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


16


PT= P x I
,
unde: PT = punctajul total al riscului
P = probabilitate
I = impact

Pentru stabilirea punctajului total al riscului se folosete urmtoarea matrice:

Probabilitate


Mare (3)


Medie (2)


Mic (1)

Sczut (1) Moderat (2) Ridicat (3) Impact

n funcie de rezultatele obinute n urma procesului de msurare a riscului, proces aplicat
pentru toate riscurile cu care organizaia se confrunt i care afecteaz realizarea obiectivelor, se
procedeaz la ncadrarea acestora n: riscuri mari, riscuri medii i riscuri mici, astfel:
pentru PT = 1 sau 2, riscul este mic, tolerabil i nu necesit msuri de control
pentru PT = 3 sau 4, riscul este mediu, tolerarea este ridicat i necesit msuri de control
pe termen mediu/ lung
pentru PT = 6 sau 9, riscul este ridicat, intolerabil, necesit msuri de control urgente


Informaiile colectate se sintetizeaz cu ajutorul documentului ,,Stabilirea
punctajului total al riscurilor i ierarhizarea riscurilor prevzut de HG. nr. 1086/2013 pentru
aprobarea Normelor generale privind exercitarea activitii de audit public intern.
3
2
1
6 9
4 6
2 3
NDRUMAR UCAAPI Ministerul
Finanelor
Publice
Evaluarea riscurilor n pregtirea i realizarea
misiunilor de audit public intern
2014


17
Model - Evaluarea riscurilor
PREGTIREA MISIUNII DE AUDIT Compartimentul Audit
Public Intern Analiza riscurilor

Data: ..
Domeniul/activitatea auditat: Achiziii publice
Denumire misiune: Performana sistemului de achiziii publice al entitii
Document redactat de: Ionescu Viorel/Georgescu Ioana
Supervizat de: Popescu Gabriel

STABILIREA PUNCTAJULUI TOTAL AL RISCURILOR I IERARHIZAREA
RISCURILOR
Criterii de analiza a
riscurilui Nr.
crt.
Obiective Activiti/Aciuni Riscurile identificate
Probabilitate
(P)
Impact
(I)
Puncta-
jul total
(PT)
Ierarhiza-
rea
riscurilor
Asigurarea concordanei
ntre politica de achiziii
i obiective
Realizarea obiectivelor
nu asigur
implementarea politicii
entitii n domeniu
1 2 2 Mic
Dezvoltarea politicii de
achiziii n funcie de
necesitile actuale i
viitoare
Atribuirea contractelor
fr respectarea
criteriilor de calitate i
pre
2 2 4 Mediu
Implementarea politicii de
achiziii asigur eficiena
activitilor
Interoperativitate redus
a sistemului informatic
existent la nivelul
entitii
3 2 6 Mare
1.
Adecvarea
politicii de
achiziii
........................... ...............................
Fundamentarea
necesarului de achiziii n
corelaie cu necesitatea
real
Supradimensionarea
nevoilor
2 2 4 Mediu
Programul de achiziii
este exhaustiv i relevant
pentru nevoile existente
Divizarea contractelor
3 3 9 Mare
2.
Elaborarea
programului
de achiziii
........................... ...............................
Asigurarea unei achiziii
de calitate la costuri
minime ale pieei
Procesul de atribuire a
contractelor limiteaz
competiia
3 2 6 Ridicat
Respectarea condiiilor
tehnice i financiare
stabilite prin contractele
de achiziii
Clauze contractuale
favorabile furnizorului
2 2 4 Mediu
Realizarea achiziiilor
fr corelarea lor cu
necesitile i stocurile
existente
1 2 2 Mic
Derularea contractelor de
achiziii
Pli n avans,
nenregistrarea plilor
efectuate
2 2 4 Mediu
3.







Eficiena i
eficacitatea
gestiunii
achiziiilor
........................... ...............................

Auditori interni, Supervizor,