Audit
Content
CUPRINS
Capitolul 1...........................................................................................................................................2 Noţiuni generale privind activitatea de audit.....................................................................................2
Introducere.................................................................................................................................................2 1.1 Obiective si modalitati de actiune ale auditului intern bancar.........................................................3 1.2 Principiile auditului intern bancar......................................................................................................4 1.3 Organizarea auditului intern bancar..................................................................................................6 1.4 Standardele de audit intern...............................................................................................................8
Capitolul 2.........................................................................................................................................10 Desfăşurarea activităţii de audit intern ..............................................................................10
2.1 Planificarea activităţii de audit intern. Planul de audit...................................................................10 2.2 Declanşarea misiunii de audit intern................................................................................................13
Capitolul 3.........................................................................................................................................14 Probele de audit ..............................................................................................................................14
3.1 Probele de audit în auditul financiar................................................................................................14 3.2 Foile de lucru....................................................................................................................................16
Capitolul 4.........................................................................................................................................19 Riscurile în auditul financiar...........................................................................................................19 Capitolul 5.........................................................................................................................................25 Raportul de audit intern....................................................................................................................25 Capitolul 6.........................................................................................................................................27 Noţiuni generale privind controlul intern bancar ..........................................................................27 Capitolul 7.........................................................................................................................................29 Auditarea proceselor si tehnicilor de evaluare a .............................................................................29 riscurilor............................................................................................................................................29 Bibliografie........................................................................................................................................32
Capitolul 1 Noţiuni generale privind activitatea de audit
Introducere Desi cuvântul audit a patruns în limbajul cotidian al societatii românesti în forma sa englezeasca, se pare ca originile acestuia se gasesc în latinescul auditus, care înseamna „ascultare”, „audiere”. Acest termen avea chiar o conotatie financiara, în Roma antica fiind practicata verificarea verbala a fondurilor. Exista, asadar o prima semnificatie a activitatii de audit – aceea de verificare; sensul acesteia s-a îmbogatit pe masura ce activitatea economica a devenit din ce în ce mai complexa, în conditii de risc amplificat. Astfel, în timp, nu a mai fost suficient controlul asupra unor anumite domenii, înregistrari sau evidente, ci asupra întregii contabilitati si gestiuni; a fost facut saltul de la aprecierile cantitative la cele calitative, de la constatari la consultanta; nu a mai fost suficienta verificarea post factum, ci a devenit importanta prevenirea manifestarii riscurilor, iar greutatea s-a deplasat de la auditul extern la cel intern. În acelasi timp, aria activitatii de audit s-a extins de la administrarea banilor publici catre întreprinderile private. În România, Ordonanta de Urgenta a Guvernului nr. 75/1999 privind activitatea de audit financiar (cu modificarile ulterioare) prezinta auditul financiar ca “activitatea de examinare, în vederea exprimarii de catre auditorii financiari, a unei opinii asupra situatiilor financiare, în conformitate cu standardele de audit, armonizate cu standardele internationale de audit si adoptate de Camera Auditorilor Financiari din România”. Ordonanta de Urgenta a Guvernului nr. 75/1999 a fost aprobata cu modificari si completari prin Legea nr. 133/2002, apoi modificata prin Ordonanta Guvernului nr. 67/2002, aprobata cu modificari si completari prin Legea nr. 12/2003. În Normele BNR, auditul intern bancar apare ca o “activitate independenta, destinata îmbunatatirii activitatii bancilor, fie prin îndeplinirea unor angajamente de audit, fie prin acordarea de consultanta structurilor entitatilor auditate”. O definitie completa a auditului, aplicabila si domeniului bancar poate fi următoarea: activitatea, realizata de persoane autorizate, de examinare obiectiva a ansamblului activitatilor entitatii economice, care are ca rezultat formularea unei evaluari independente a managementului riscului, a controlului si proceselor de conducere, si a unor sugestii pentru îmbunatatirea eficacitatii operatiunilor, în scopul sprijinirii realizarii obiectivelor entitatii economice. Dupa cum se observa, aceasta definitie ne arată trasaturile auditului (competenta, obiectivitate, independenta), sfera preocuparilor sale (ansamblul activitatilor entitatii economice, nu numai evidenta contabila), materializarea rezultatelor acestuia (evaluare si consultanta), precum si scopul auditului.
2
1.1 Obiective si modalitati de actiune ale auditului intern bancar Pot fi identificate urmatoarele obiective ale auditului intern: a) verificarea conformitatii activitatilor din entitatea economica auditata cu politicile, programele si managementul acestuia, în conformitate cu prevederile legale; b) evaluarea gradului de adecvare si aplicare a controalelor financiare si nefinanciare dispuse si efectuate de catre conducerea unitatii în scopul cresterii eficientei activitatii entitatii economice; c) evaluarea gradului de adecvare a datelor/informatiilor financiare si nefinanciare destinate conducerii pentru cunoasterea realitatii din entitatea economica; d) protejarea elementelor patrimoniale bilantiere si extrabilantiere si e) identificarea metodelor de prevenire a fraudelor si pierderilor de orice fel. Din Norma BNR reiese că: “Obiectivul auditului intern îl reprezinta îmbunatatirea activitatii institutiilor de credit” si “… sa contribuie la îndeplinirea obiectivelor lor (bancilor) prin prezentarea unei abordari sistematice si disciplinate ….”. Prin urmare, se poate sintetiza ca obiectivul auditului intern bancar este cel de a contribui la îndeplinirea obiectivelor bancilor (îmbunatatirea activitatii reprezentând obiectivul primar si general al unei banci), iar obiectivele punctuale, pe domenii de activitate, sunt: a) asigurarea concordantei activitatii cu politicile, programele, normele si prevederile legale; b) cresterea eficacitatii activitatii de control; c) îmbunatatirea calitatii procesului decizional; d) cresterea eficientei activitatii bancii. Pentru realizarea acestor obiective, auditul bancar intern actioneaza pe urmatoarele căi (Conform normei B.N.R., si “Internal audit in banking organisations and the relationship with internal and external auditors”, Basel Committee on Banking Supervision, Basel, 2000, şi în conformitate cu prevederile OUG nr.99/2006 privind institutiile de credit si adecvarea capitalului, modificata prin Legea nr.227/2007): 1. evaluarea eficientei si gradului de adecvare a sistemului de control intern; 2. evaluarea modului de aplicare si a eficacitatii procedurilor de administrare a riscurilor si a metodologiilor de evaluare a riscurilor semnificative; 3. analiza relevantei si integritatii datelor furnizate de sistemele informationale de gestiune si financiare, inclusiv de sistemul informatic; 4. evaluarea acuratetei si credibilitatii înregistrarilor contabile si situatiilor financiare; 5. evaluarea gradului de adecvare a nivelului fondurilor proprii ale institutiilor de credit în functie de riscurile la care acestea sunt expuse; 6. evaluarea modului în care se asigura protejarea elementelor patrimoniale bilantiere si extrabilantiere si identificarea metodelor de prevenire a fraudelor si pierderilor de orice fel; 7. testarea atât a operatiunilor, cât si a functionarii procedurilor specifice de control; 8. evaluarea eficientei operatiunilor institutiilor de credit; 9. evaluarea modului în care sunt respectate dispozitiile cadrului legal, cerintele codurilor de conduita, precum si evaluarea modului în care sunt implementate politicile si procedurile institutiei de credit referitoare la activitatile : creditare, casierie, cunoastere a clientelei, financiar - contabilitate, investitii si valorificare de active, pastrarea si arhivarea documentelor; 10. testarea integritatii, credibilitatii si, dupa caz, a oportunitatii raportarilor, inclusiv a celor destinate utilizatorilor externi. Dupa cum se observa, aria de competenta alocata auditului intern bancar este atotcuprinzatoare: sistem de control intern, administrarea riscurilor, sistem informational, contabilitate, calitatea administrarii patrimoniului, operatiuni. 3
Astfel, auditul intern apare ca un supra-controlor al controlului intern, este mai mult decât orice forma de control extern sau de supraveghere, dar în acelasi timp, parte a sistemului de control intern al unei banci. Prin examinarea problemelor globale ale bancii, evaluarea riscurilor, controlului, calitatii, eficientei, tehnologiei si formularea unor opinii clare si adecvate, auditul intern bancar reprezinta un instrument foarte valoros pus în slujba conducerii unei banci. În unele tari (e şi cazul României), desi înregistrarile contabile intra în sfera auditului intern, auditarea situatiilor financiare nu este inclusa în competentele acestuia. Astfel, se considera ca aceasta cade în responsabilitatea auditorilor externi ai bancii, rolul auditului intern fiind limitat, în acest domeniu, la sprijinirea auditorilor externi. Banca isi va organiza activitatea de audit intern, astfel incat aceasta sa contribuie la indeplinirea obiectivelor sale, prin prezentarea unei abordari sistematice si disciplinate de evaluare si imbunatatire a eficientei sistemului de control intern, procesului de administrare a riscurilor si proceselor de conducere, in cadrul unor angajamente de audit, potrivit statului auditului intern. 1.2 Principiile auditului intern bancar Comitetul de Supraveghere Bancara de la Basel contureaza cadrul de desfasurare a activitatii de audit intern bancar sub forma unor principii care acopera atât caracteristicile generale ale activitatii, cerintele referitoare la auditorii interni, cât si desfasurarea auditului intern. În cele ce urmeaza, au fost extrase principiile cu caracter de trasaturi generale. 1. Independenta auditului intern bancar Principiu enuntat în “Internal audit in banking organisations and the relationship with internal and external auditors”, Basel Committee on Banking Supervision, Basel, 2000 “Departamentul de audit intern al unei banci trebuie sa fie independent de activitatile auditate. Departamentul trebuie sa fie, de asemenea, independent fata de procesul de control intern de zi cu zi. Aceasta presupune ca departamentului de audit intern sa i se dea un statut corespunzator în cadrul bancii si acest departament sa îsi îndeplineasca sarcinile cu obiectivitate si impartialitate”. Astfel, pentru asigurarea independentei sale fata de restul activitatilor bancii, departamentul de audit intern trebuie sa fie subordonat direct conducerii executive a bancii sau consiliului de administratie sau comitetului de audit (de pe lânga consiliul de administratie). Banca Nationala a României subscrie întru totul la aceste cerinte privind asigurarea independentei auditului intern, atât prin mijloace organizatorice, cât si functional – institutionale, si opteaza pentru subordonarea departamentului de audit intern fata de consiliul de administratie al bancii, nu fata de conducerea executiva. 2. Impartialitatea auditului intern bancar Principiu enuntat în “Internal audit in banking organisations and the relationship with internal and external auditors”, Basel Committee on Banking Supervision, Basel, 2000. “Departamentul de audit intern ar trebui sa fie obiectiv si impartial, ceea ce înseamna ca ar trebui sa fie într-o pozitie care sa-i permita realizarea atributiilor fara partinire si fara ingerinte.” 4
Banca Nationala a României opineaza ca personalul implicat într-un angajament de audit pe poate audita un domeniu în care a lucrat numai dupa trecerea unei perioade de cel putin un an. În practica unor banci, pentru asigurarea impartialitatii auditorilor interni, sunt impuse reguli cu privire la recrutarea acestora din afara bancii, necorelarea remunerarii acestora cu performanta sau profitul bancii, separarea atributiilor în ceea ce priveste implementarea recomandarilor, neimplicarea auditorilor în activitatea de proiectare a procedurilor de control sau administrative. În România, Banca Nationala restrictioneaza accesul la responsabilitatea de auditori interni persoanelor care sunt soti, rude sau afini pâna la gradul al patrulea inclusiv cu conducatorii unei banci. 3. Continuitatea auditului intern bancar “Auditul intern ar trebui sa fie o functie permanenta. În îndeplinirea îndatoririlor si responsabilitatilor sale, conducerea bancii ar trebui sa ia toate masurile necesare astfel încât banca sa poata conta în permanenta pe o functionare adecvata a auditului intern corespunzatoare marimii bancii si naturii operatiunilor sale. Aceste masuri includ asigurarea departamentului de audit intern cu resurse si personal corespunzator pentru îndeplinirea obiectivelor sale”. Conducerea bancilor verifica alocarea de personal si resurse pentru auditul intern, fie permanent, fie anual, comparând activitatea departamentului cu cea planificata sau facând comparatii cu banci comparabile ca marime. În medie, personalul alocat activitatii de audit intern într-o banca reprezinta aproximativ 1% din totalul personalului; procentul acesta variaza în functie de marimea bancii si de activitatile derulate de catre aceasta. Banca Nationala a României subliniaza faptul ca asigurarea unei activitati de audit intern adecvate, corespunzatoare dimensiunii si naturii operatiunilor unei banci cade în sarcina conducatorilor institutiei. 4.Competenta profesionala “Competenta profesionala a fiecarui auditor intern si a departamentului de audit intern, ca întreg, este esentiala pentru îndeplinirea corespunzatoare a rolului auditului intern”. Departamentul de audit intern trebuie sa acopere toate activitatile bancii, iar acestea devin din ce în ce mai complexe; mai mult, acestui departament i se pot cere opinii cu privire la noi domenii care ar putea fi introduse în nomenclatorul bancii. Prin urmare, un auditor intern trebuie sa aiba cunostinte înalte, experienta vasta, sa se pregateasca continuu si sa îsi actualizeze permanent cunostintele în domeniul bancar si în cel al tehnicilor de audit. Totodata, acesta trebuie sa aiba capacitatea de a colecta informatii, de a le examina, de a evalua situatia si de a comunica concluzii. La aceste cerinte privind pregatirea profesionala, Banca Nationala a României adauga exigente morale: auditorii interni trebuie sa fie corecti, onesti si incoruptibili. Aprecierea adecvarii nivelului de pregatire a candidatilor pentru posturile de auditori interni tine de politica fiecarei banci în domeniu; unele banci (în special cele mici) pun accentul, în recrutarea personalului pentru audit, mai mult pe cunostinte si experienta profesionale, decât pe existenta unor titluri profesionale. 5
Competenta profesionala trebuie mentinuta prin pregatire la locul de munca, pregatire interna si externa, rotatia personalului în cadrul departamentului de audit etc. 5. Exhaustivitatea auditului intern “Toate activitatile si toate entitatile unei banci trebuie sa intre în aria de activitate a auditului intern”. Nici una dintre activitatile sau entitatile unei banci (incluzând sucursale, subsidiare si activitati externalizate) nu poate fi exclusa din preocuparile departamentului de audit intern. La modul general, auditul intern trebuie sa examineze si sa evalueze eficienta si eficacitatea controlului intern (înteles ca sistem, nu ca departament) si modul în care sunt îndeplinite responsabilitatile de control. Din acest punct de vedere, activitatea de audit intern reprezinta o analiza de risc a sistemului intern de control. În particular, auditul intern trebuie sa evalueze: respectarea politicilor, principiilor, regulilor, reglementarilor (fara a se suprapune, totusi, cu functia corespunzatoare a controlului intern); integritatea, acuratetea si acoperirea informatiilor financiare si de gestiune; continuitatea si soliditatea sistemelor informatice; functionarea departamentelor bancii. În plus fata de principiile mentionate mai sus, Banca Nationala mentioneaza confidentialitatea care trebuie pastrata de catre auditorii interni, în sensul de prudenta în utilizarea informatiilor, de protectie a informatiilor; acestei cerinte trebuie sa-i raspunda, de fapt, întreg personalul bancii, asa cum este stipulat si în Legea bancara. 6. Confidenţialitatea Auditorii interni sunt obligati sa pastreze confidentialitatea in legatura cu faptele, informatiile sau documentele despre care iau cunostinta in exercitarea atributiilor lor; este interzis ca auditorii interni sa utilizeze in interes personal sau in beneficiul unui tert informatiile dobandite in exercitarea atributiilor de serviciu. In cazuri exceptionale auditorii interni pot furniza aceste informatii numai in conditiile expres prevazute de normele legale in vigoare. 7. Neutralitatea politică În Codul privind conduita etica a auditorului intern , unele instituţii de credit au introdus şi respectarea principiului neutralităţii politice. Astfel, conform acestui principiu, auditorii interni trebuie sa fie neutri din punct de vedere politic, in scopul indeplinirii in mod impartial a activitatilor; in acest sens ei trebuie sa isi mentina independenta fata de orice influente politice. Auditorii interni au obligatia ca in exercitarea atributiilor ce le revin sa se abtina de la exprimarea sau manifestarea convingerilor lor politice. 1.3 Organizarea auditului intern bancar Auditul intern este o activitate independenta de asigurare obiectiva si de consiliere, destinata sa adauge valoare si sa antreneze îmbunatatirea activitatilor organizatiei, pe care o sustine în îndeplinirea obiectivelor sale. Ajuta organizatia în îndeplinirea obiectivelor sale printr-o abordare sistematica si disciplinata în cadrul evaluarii si îmbunatatirii eficacitatii proceselor de management al riscurilor, control si guvernare. 6
Activitatea de audit intern bancar se realizeaza prin doua forme organizatorice: departamentul de audit intern si comitetul de audit. Comitetul de audit se instituie obligatoriu în cadrul fiecărei bănci şi este un comitet permanent, independent de conducatorii instituţiei de credit, subordonat direct consiliului de administratie si are functie consultativa. Functionarea si atributiile comitetului de audit sunt reglementate de Regulamentul de organizare si functionare al fiecarei instituţii de credit si de Normele BNR. Membrii comitetului de audit, trebuie sa aiba o experienta corespunzatoare atributiilor ce le revin in cadrul respectivului comitet. Cel putin un membru al comitetului de audit, trebuie sa aiba experienta in domeniul contabilitatii sau auditului. Componenta comitetului de audit poate fi revizuita periodic, daca este cazul, de catre consiliul de administratie al instituţiei de credit. Comitetul de audit are urmatoarele atributii: a)incurajarea comunicarii dintre membrii consiliului de administratie, conducatorii institutiei de credit, auditul intern, auditorul financiar al institutiei de credit si BNR; b)avizarea statutului auditului intern al instituţiei de credit, a planului de audit al acesteia si a necesarului de resurse aferente acestei activitati; c)asigurarea relatiei cu auditorul financiar al instituţiei de credit, in sensul primirii planului de audit si analizarii constatarilor si recomandarilor acestuia, precum si ale altor organe de supraveghere si control din interiorul sau din afara instituţiei de credit, respectiv ale Bancii Nationale a Romaniei; d)analiza constatarilor si recomandarilor auditului intern si a planurilor conducerii institutiei de credit, in vederea formularii de propuneri corespunzatoare, pentru implementarea acestora. Pentru aducerea la indeplinire a atributiilor prezentate, comitetul de audit se intruneste in sedinte semestrial, de regula in ultima luna din cadrul acestuia si ori de cate ori este nevoie. In cadrul sedintelor comitetului de audit al instituţiei de credit, se va pune accentul cel putin pe urmatoarele aspecte: a)functionarea sistemului de control intern si a activitatii de audit intern; b)activitatile afectate de riscuri ce urmeaza a fi analizate in anul respectiv in cadrul angajamentelor de audit si ale auditorului financiar al institutiei de credit; c)corectitudinea si credibilitatea informatiilor furnizate conducerii si utilizatorilor externi; d)conformarea instituţiei de credit, cu prevederile cadrului legal, cu actul constitutiv si cu normele stabilite de consiliul de administratie. Urmare sedintelor, comitetul de audit intocmeste o informare cu privire la problemele dezbatute si analizate, concluziile desprinse si propunerile facute, pe care o prezinta semestrial consiliului de administratie. Comitetul de audit asista consiliul de administratie in indeplinirea atributiilor ce ii revin. Comitetul de audit, poate formula recomandari adresate consiliului de adminstratie privind strategia si politica institutiei de credit in domeniul controlului intern, auditului intern si auditului financiar, precum si pentru numirea auditorului financiar al acesteia. Comitetul de audit primeste si analizeaza Rapoartele care se intocmesc anual asupra conditiilor in care se desfasoara controlul intern si administrarea riscurilor; Comitetul de audit are acces la orice date sau inregistrari necesare indeplinirii atributiilor ce ii revin, in care sens, structurile functionale ale instituţiei de credit , sunt obligate sa-i asigure accesul la datele respective ş.a.
7
1.4 Standardele de audit intern Standardele internaţionale de audit intern se vor aplica şi în România sub denumirea de Standarde de audit intern, la care se adaugă Normele profesionale ale activităţii de audit intern elaborate de CAFR. Scopul Standardelor de audit intern este: 1. să contureze principiile de baza care reprezinta practica de audit intern asa cum trebuie ea sa fie. 2. să furnizeze un cadru general de realizare si sustinere a unei game largi de activitati de audit intern care genereaza o valoare adaugata. 3. să functioneze ca un cadru de referinta pe baza caruia se evalueaza rezultatele auditului intern. 4. să stimuleze îmbunatatirea proceselor si operatiunilor organizatiei. Standardele internaţionale de audit intern cuprind: • Standarde de Calificare, • Standarde de Performanta si • Standarde de Implementare. Standardele de Calificare vizeaza caracteristicile organizatiilor si ale participantilor ce desfasoara activitati de audit intern. Standardele de Performanta descriu tipul activitatilor de audit intern si ofera criterii calitative în functie de care sa fie evaluate rezultatele prestarii acestor servicii. Standardele de Calificare si cele de Performanta se aplica tuturor activitatilor de audit intern şi există un sigur set de Standarde de Calificare si de Performanta. Standardele de Implementare se aplica numai anumitor tipuri de misiuni. Exista mai multe seturi de Standarde de Implementare: câte un set pentru fiecare tip principal de activitate de audit intern. Standardele de Implementare au fost stabilite pentru activitati de asigurare (A) si de consiliere (C). Misiunile de asigurare implica evaluarea obiectiva a probelor de catre auditorul intern, în vederea formularii unei opinii independente sau a unor concluzii privind un proces, sistem sau alt subiect supus auditului. Tipul si sfera de cuprindere a misiunilor de asigurare sunt stabilite de catre auditorul intern. În general, sunt implicate trei entitati în misiunile de asigurare: (1) persoana sau grupul implicat direct în procesul, sistemul sau subiectul auditat – responsabilul pentru proces, (2) persoana sau grupul care efectueaza evaluarea – auditorul intern, (3) persoana sau grupul care utilizeaza rezultatul evaluarii – beneficiarul misiunii. Misiunile de consiliere au un caracter consultativ si se desfasoara în general la cererea expresa a beneficiarului misiunii. Tipul si sfera de cuprindere a serviciilor de consiliere sunt stabilite de comun acord cu beneficiarul misiunii. Misiunile de consiliere implica în general doua entitati: (1) persoana sau grupul care ofera consiliere – auditorul intern si (2) persoana sau grupul care solicita si primeste consiliere – beneficiarul misiunii. În îndeplinirea misiunilor de consiliere, auditorul intern trebuie sa îsi pastreze obiectivitatea si sa nu îsi asume responsabilitatea conducerii. Îmbunatatirea si publicarea Standardelor este un proces continuu. Consiliul de Standardizare a Auditului Intern poarta consultari si discutii înainte de publicarea Standardelor. Acestea includ solicitari catre publicul din întreaga lume de a trimite puncte de vedere cu privire la proiectul de standarde în dezbatere. Toate proiectele în dezbatere sunt afisate pe site-ul IIA si sunt trimise tuturor filialelor IIA. (Institutul Auditorilor Interni) 8
Conform IIA, desi pot exista diferente privind practica auditului intern în fiecare dintre aceste medii, este esential sa se respecte Standardele Internationale pentru Practica Profesionala a Auditului Intern, pentru ca responsabilitatile auditorilor interni sa fie îndeplinite. Daca auditorii interni sunt îngraditi de legislatie sau regulamente si, drept urmare, nu pot respecta anumite parti ale Standardelor, ei trebuie sa respecte toate celelalte sectiuni ale Standardelor si sa declare neconformitatea produsa.
9
Capitolul 2 Desfăşurarea activităţii de audit intern
Banca isi va organiza activitatea de audit intern, astfel incat aceasta sa contribuie la indeplinirea obiectivelor sale, prin prezentarea unei abordari sistematice si disciplinate de evaluare si imbunatatire a eficientei sistemului de control intern, procesului de administrare a riscurilor si proceselor de conducere, in cadrul unor angajamente de audit, potrivit statului auditului intern. Desfăşurarea unui audit intern bancar presupune parcurgerea principalelor etape : 1. planificarea activităţii de audit intern 2. obiectivele activităţii de audit intern 3. declansarea misiunii de audit intern 4. colectarea probelor 5. elaborarea raportului de audit intern 6. valorificarea constatarilor misiunii de audit 7. urmarirea si raportarea rezultatelor activitatii de audit intern. 2.1 Planificarea activităţii de audit intern. Planul de audit Planul de audit intern se întocmeşte anual de către compartimentul de audit intern si se supune aprobării Consiliului de administraţie al bancii. Acest plan poate fi modificat sau completat la propunerea compartimentului de audit intern sau la iniţiativa conducerii bancii, ori de cate ori apar indicii sau sunt circumstanţe care semnifica apariţia unor noi riscuri interne sau de sistem, sau alte elemente decizionale. La întocmirea planului de audit intern se va tine seama si de o serie de criterii care pot orienta componenta sau structurarea planului in anumite direcţii. Aceste criterii sunt de natura sa evidentieze situaţii negative acute sau cu potenţial de acutizare in anul pentru care se elaborează planul de audit intern. Câteva dintre aceste criterii-semnal sunt: a) deficientele constatate in rapoartele de audit anterioare; b) deficiente consemnate in actele de control incheiate de inspectorii Băncii Naţionale a României; c) informatii si indicii deţinute sau obţinute cu privire la disfunctionalitati sau abateri, altele decât cele de natura legalităţii si regularităţii; d) aprecieri ale unor specialişti, experţi etc., cu privire la structura si dinamica unor riscuri interne sau de sistem; e) analiza unor trenduri pe termen lung privind unele aspecte ale funcţionarii sistemului. Planul de audit trebuie sa cuprinda termenele si frecventa angajamentelor de audit precum si o situatie referitoare la resursele necesare, inclusiv cele de personal. Planul de audit intern are in vedere metodologia de administrare a riscurilor, iar analiza riscurilor se va referi la toate activitatile bancii si la sistemul de control intern inclusiv la sucursale şi agenţii. PlanuI de audit va cuprinde urmatoarele elemente: • tema misiunii de audit, • denumirea structurii auditate, • unitatea auditata, • perioada supusa auditarii, • perioada desfasurarii misiuni de audit si • numarul de auditori participanti la angajamentul de audit. 10
Auditorul trebuie să planifice şi să desfăşoare un angajament de audit cu o atitudine de scepticism profesional. O atitudine de scepticism profesional înseamnă că auditorul realizează o evaluare critică, în mod circumspect, a validităţii unei probe de audit obţinute şi este atent la acele probe de audit care contrazic sau pun la îndoială credibilitatea documentelor sau a declaraţiilor conducerii. De exemplu, o atitudine de scepticism profesional este necesară pe parcursul unui proces de audit pentru ca auditorul să reducă riscul eludării circumstanţelor suspicioase, al generalizării excesive în momentul concluziilor desprinse din observaţiile de audit, precum şi riscul utilizării unor premise greşite la determinarea naturii, duratei şi întinderii procedurilor de audit şi la evaluarea rezultatelor acestora. În planificarea şi desfăşurarea unui angajament de audit, auditorul nu trebuie să presupună că managementul este lipsit de onestitate, dar nici să plece de la premisa unei onestităţi incontestabile. În consecinţă, declaraţiile din partea conducerii nu trebuie să substituie obţinerea de probe de audit suficiente şi adecvate care să dea posibilitatea conturării concluziilor rezonabile pe care să se fundamenteze opinia de audit. Dobândirea cunoaşterii clientului Obţinerea cunoaşterii activităţilor băncii cere unui auditor să înţeleagă: • structura de guvernanţă corporativă a băncii; • mediul economic şi de reglementare dominant pentru principalele ţări în care banca îşi desfăşoară activitatea;şi • condiţiile de piaţă existente în fiecare dintre sectoarele importante în care operează banca. Auditorul obţine şi păstrează o bună cunoaştere a produselor şi serviciilor pe care le oferă banca. În acest sens, auditorul trebuie să fie conştient de variaţiile multiple care se înregistrează la nivelul serviciilor fundamentale de constituire a depozitelor, de împrumuturi şi de trezorerie care sunt oferite şi pe care băncile continuă să le îmbunătăţească pentru a veni în întâmpinarea cerinţelor pieţei. Auditorul obţine o înţelegere a naturii serviciilor prestate prin intermediul unor instrumente cum ar fi acreditivele, scrisorile de acceptare, contractele futures pe rata dobânzii, contractele forward şi swap, opţiunile şi alte instrumente similare în vederea înţelegerii riscurilor inerente şi a implicaţiilor contabile, de audit şi de prezentare ale acestora. Dacă banca utilizează prestatori de servicii pentru a furniza servicii sau activităţi de bază, cum ar fi decontarea în numerar şi decontarea titlurilor de valori, activităţi de back-office sau servicii de audit intern, atunci responsabilitatea conformităţii cu regulile, normele de reglementare şi controalele interne solide revine persoanelor însărcinate cu guvernanţa şi conducerii băncii care apelează la servicii externe. Auditorul ia în considerare restricţiile legale şi cele impuse de reglementare şi obţine o înţelegere a modului în care conducerea şi persoanele însărcinate cu guvernanţa monitorizează funcţionarea eficientă a sistemului de control intern. Există o serie de riscuri legate de activităţile bancare care, deşi nu sunt specifice doar sectorului bancar, sunt suficient de importante pentru a da o imagine despre activitatea bancară. Auditorul obţine o înţelegere a naturii acestor riscuri şi a modului în care banca le gestionează. Această înţelegere permite auditorului să evalueze nivelurile riscului inerent şi al riscului de control asociate diferitelor aspecte ale operaţiunilor unei bănci şi să determine natura, durata şi întinderea procedurilor de audit. Riscurile bancare cresc o dată cu gradul de concentrare al expunerii unei bănci pe un singur client, industrie, arie geografică sau ţară. De exemplu, portofoliul de credite al unei bănci poate conţine un mare volum de credite sau angajamente acordate unor anumite sectoare de activitate, iar altele, cum ar fi sectorul imobiliar, de transporturi navale şi de resurse naturale pot avea practici foarte specializate. Evaluarea riscurilor relevante aferente creditelor acordate entităţilor din acele sectoare de activitate poate necesita cunoaşterea respectivelor sectoare, inclusiv a practicilor de afaceri, operaţionale şi de raportare ale acestora. 11
Cele mai multe tranzacţii presupun mai mult decât un risc dintre cele „comune” specifice băncii. Aceste riscuri individuale pot fi corelate între ele. Auditorul ia în considerare aceste corelaţii atunci când analizează riscurile la care este expusă o bancă. Băncile pot fi supuse la riscuri care apar din natura acţionariatului lor, de exemplu, acţionarul sau un grup de acţionari ai unei bănci pot încerca să influenţeze alocarea creditelor. Auditorul trebuie să înţeleagă astfel de riscuri, inclusiv altele influenţate şi de alţi factori externi. Riscul operaţional este unul dintre cele mai importante riscuri de care auditorul ar trebui să ţină seama. Factorii care contribuie în mod semnificativ la riscul operaţional includ următoarele: • nevoia derulării, cu precizie, a unui volum mare de tranzacţii într-o perioadă scurtă de timp. Această necesitate poate fi satisfăcută aproape întotdeauna prin utilizarea la scară largă a IT, atrăgând după sine riscuri din: - insuccesul procesării tranzacţiilor executate în timp util, având ca urmări imposibilitatea primirii sau efectuării de plăţi pentru acele tranzacţii; - incapacitatea de a derula în mod corect tranzacţii complexe; - denaturări la scară largă ivite dintr-o lipsă a funcţionării controlului intern; - pierderea de date cauzată de o cădere a sistemului; - alterarea datelor datorită unei intervenţii neautorizate în sistem; şi - expunerea la riscurile de piaţă generate de lipsa informaţiilor corecte şi la zi. • necesitatea utilizării transferului electronic de fonduri sau al altor sisteme de telecomunicaţii pentru a transfera proprietatea asupra unor sume mari de bani, cu riscul aferent de expunere la pierderi apărute din plăţi efectuate unor alte părţi, prin intermediul fraudei sau al erorilor. • derularea operaţiunilor în mai multe locuri, având ca urmare o dispersare geografică a procesării şi controlului intern al tranzacţiilor. Drept urmare: - există riscul ca expunerea băncii pe client şi pe produs să nu fie corespunzător agregată şi monitorizată; şi - pot apărea eşecuri ale controlului care pot rămâne nedetectate sau necorectate din cauza separării fizice survenite între conducere şi aceia care se ocupă de tranzacţii. • necesitatea monitorizării şi rezolvării expunerilor importante care pot apare pe perioade scurte de timp. Procesul de clearing în cazul tranzacţiilor poate duce la apariţia creanţelor şi datoriilor pe parcursul unei zile, majoritatea dintre acestea fiind decontate până la sfârşitul zilei. De obicei, acest risc este denumit risc de plată din ziua în curs. Aceste expuneri se ivesc în urma derulării de tranzacţii cu clienţi sau parteneri şi pot include riscuri ale ratei dobânzii, riscurile valutare şi riscuri de piaţă. • administrarea unui volum mare de elemente monetare, incluzând numerar, instrumente negociabile şi solduri transferabile ale clienţilor, cu riscul rezultant de apariţie a pierderilor din furt şi fraudă comise de angajaţi sau alte părţi; • volatilitatea şi complexitatea inerentă a mediului în care băncile îşi desfăşoară activitatea, care dau naştere la riscul de adoptare a unor strategii neadecvate de gestionare a riscurilor sau a unor tratamente contabile asociate unor probleme de genul dezvoltării de noi produse şi servicii bancare. • pot fi induse restricţii de operare ca urmare a incapacităţii de conformitate cu legile şi normele de reglementare. Operaţiunile din străinătate sunt supuse legilor şi normelor de reglementare existente în ţările în care acestea au sediul, precum şi celor existente în care ţara în care societatea mamă are sediul social. Această situaţie poate avea drept rezultat necesitatea de a adera la diferite cerinţe şi un risc ca procedurile operaţionale care respectă normele de reglementare din unele jurisdicţii să nu respecte cerinţele existente în alte jurisdicţii.
12
Activităţile frauduloase se pot produce într-o bancă prin sau cu implicarea conştientă a conducerii sau a personalului băncii. Astfel de fraude pot include raportarea financiară frauduloasă fără motivaţia unui câştig personal (de exemplu, ascunderea pierderilor comerciale), sau delapidarea activelor băncii în folosul personal care poate implica sau nu falsificarea registrelor. În mod alternativ, frauda poate fi perpetuată într-o bancă fără cunoştinţa sau complicitatea angajaţilor băncii. Deşi multe domenii dintre operaţiunile unei bănci sunt susceptibile activităţilor frauduloase, cele mai des întâlnite au loc în cadrul funcţiilor de creditare, atragere a depozitelor şi tranzacţionare. Prin natura activităţii lor, băncile sunt ţinte uşoare pentru cei angajaţi în activităţi de spălare a banilor prin care încasările obţinute din săvârşirea de infracţiuni sunt convertite în fonduri care par a avea o sursă legitimă. În ultimii ani, în special traficanţii de droguri au contribuit într-o foarte mare măsură la amploarea fenomenului de spălare a banilor care are loc în interiorul sectorului bancar. În prezent, legislaţia cere băncilor să stabilească politici, proceduri şi controale care să deturneze, să recunoască şi să raporteze activităţile de spălare a banilor. Aceste politici, proceduri şi controale cuprind, în general, următoarele: • o cerinţă referitoare la obţinerea unei identificări a clientului („cunoaşterea clientului”). • selectarea personalului. • o cerinţă referitoare la cunoaşterea scopului în care urmează a fi folosit un cont. • păstrarea înregistrărilor tranzacţiilor. • raportarea către autorităţi a tranzacţiilor suspicioase sau a tuturor tranzacţiilor de un anume fel, de exemplu, tranzacţiile în numerar ce depăşesc o anumită sumă. • educarea personalului în vederea identificării tranzacţiilor suspicioase. În plus, auditorii pot avea sau nu o obligaţie expresă de a raporta autorităţilor anumite tipuri de tranzacţii care le atrag atenţia. (de exemplu, un auditor descoperă un caz posibil de neconformitate cu legile sau normele de reglementare). 2.2 Declanşarea misiunii de audit intern Misiunea de audit intern, reprezintă monitorizarea si evaluarea la fata locului a eficacitatii controlului intern, controlului administrativ, evaluarea modului de aplicare a procedurilor de administrare a riscurilor semnificative, analiza relevantei si integritatii datelor furnizate de sistemele informationale inclusiv sistemul informatic, precum si evaluarea acuratetei si credibilitatii sistemelor informatice.Totodata urmareste modul in care se asigura protejarea elementelor patrimoniale bilantiere si extrabilantiere, gradul de adecvare a nivelului fondurilor proprii, testarea a operatiunilor si a functionarii procedurilor specifice de control, a modului in care sunt respectate dispozitiile cadrului legal. Misiunea de audit este efectuata de o structura specializata din bancă, respectiv compartimentul audit intern. O misiune de audit intern mai poate fi generata si de: a) sesizarea cu privire la efectuarea de operaţiuni pe propria răspundere a conducătorului unităţii, fara viza de control financiar preventiv; b) indicii sau informatii de orice natura, ale unor abateri de la legalitate sau regularitate in efectuarea de operaţiuni, desfăşurarea de activităţi sau realizarea de acţiuni, respectiv: • sesizari din interiorul sau exteriorul sistemului auditat; • autosesizari ale organelor de inspecţie; • concluzii din acte de audit anterioare, din alte acte de control din cadrul sistemului, sau ale Băncii Naţionale a României; 13
• •
informatii din mass media; orice alte indicii relevante.
4.Colectarea probelor Consta in asigurarea unei baze de documentare relevante si rezonabile pentru formularea concluziilor auditorilor. Colectarea informatiilor si probelor de audit trebuie facuta in concordanta cu obiectivele fixate si vor sta la baza constatarilor, concluziilor si propunerilor pentru inlaturarea eventualelor deficiente. In acest scop, auditorii efectueaza testarile si procedurile stabilite in programul de audit, apreciaza daca probele obtinute sunt suficiente, relevante si complete, colecteaza documente care sa serveasca la argumentarea concluziilor. 5,6,7 Elaborarea raportului de audit intern, valorificarea constatarilor misiunii de audit, urmarirea si raportarea rezultatelor activitatii de audit intern.
Capitolul 3 Probele de audit
3.1 Probele de audit în auditul financiar Baza oricărui audit o constituie informaţiile probante acumulate şi evaluate de către auditor. Auditorul trebuie să dispună de cunoştinţele şi aptitudinile necesare pentru a colecta în cadrul auditului suficiente probe temeinice astfel încât să se conformeze standardelor. Definiţie probe Probele sunt definite ca orice informaţii utilizate de auditor în scopul de a determina dacă datele supuse auditului sunt prezentate în conformitate cu anumite criterii prestabilite. Informaţiile probante sunt foarte diferite prin prisma gradului în care pot convinge auditorul că situaţiile financiare sunt prezentate în conformitate cu principiile contabile general acceptate. Probele cuprind informaţii foarte concludente cum ar fi cele rezultate din inventarierea certificatelor de depozit cu dobândă fixă făcută de către auditor dar şi informaţii mai puţin concludente cum ar fi răspunsurile date la întrebările puse angajaţilor. Deciziile privind probele de audit O decizie majoră cu care se confruntă orice auditor este de a determina tipurile şi cantităţile adecvate de probe pe care trebuie să le colecteze pentru a se putea convinge că toate elementele situaţiilor financiare sunt adecvat prezentate. Ansamblul deciziilor unui auditor în ceea ce priveşte colectarea probelor poate fi descompus în 4 categorii: 1. Ce procedură de audit trebuie să se utilizeze 2. Ce dimensiune trebuie să aibă eşantionul selectat pentru aplicarea unei anumite proceduri. 3. Ce elemente trebuie extrase din populaţia supusă analizei. 4. Când să se desfăşoare procedura. Concludenţa probelor Auditorul trebuie să colecteze suficiente probe temeinice pentru a justifica opinia exprimată. Cei doi factori care determină concludenţa probelor sunt temeinicia şi suficienţa. 14
1.Temeinicia probelor se referă la măsura în care probele pot fi considerate plauzibile sau demne de încredere. Se mai utilizează în practică şi termenul de fiabilitate a probelor ca sinonim al noţiunii de temeinicie. Temeinicia probelor se aplică numai procedurilor de audit alese. Temeinicia nu poate fi îmbunătăţită prin selectarea unui eşantion de dimensiuni mai mari. Ea poate fi ameliorată numai prin selectarea acelor proceduri de audit în care nivelul calitativ al următoarelor caracteristici ale unor probe temeinice este mai înalt. Relevanţa. Relevanţa poate fi analizată numai prin prisma obiectivelor specifice ale auditului. Probele pot fi relevante pentru un anumit obiectiv al auditului dar nu pot fi relevante pentru un altul Independenţa sursei. Probele obţinute dintr-o sursă din afara entităţii auditate sunt mai fiabile decât cele colectate în interiorul ei. Eficacitatea controlului intern. Când mecanismele de control intern sunt eficace probele colectate sunt considerate mai fiabile decât dacă aceste mecanisme ar fi nesatisfăcătoare. Informarea directă a auditorului. Probele obţinute de către auditor în mod direct prin examinare fizică, observare, calcul şi inspectare sunt mult mai temeinice decât informaţiile obţinute pe căi indirecte. Calificarea persoanelor care furnizează informaţiile Chiar dacă sursa de informaţii este independentă probele nu vor fi fiabile decât dacă persoana care le furnizează este calificată să facă acest lucru. Gradul de obiectivitate. Probele obiective sunt mult mai fiabile decât cele care necesită o doză considerabilă de raţionament subiectiv pentru a determina dacă sunt corecte sau nu. Oportunitatea. Oportunitatea probelor de audit se poate referi fie la momentul în care aceste probe sunt colectate, fie la perioada la care se referă auditul. De obicei probele referitoare la conturile bilanţiere sunt mult mai fiabile atunci când sunt colectate cât mai aproape posibil de data încheierii bilanţului. 2.Suficienţa probelor este determinată în principal de dimensiunea eşantionului selectat de auditor. Pentru o anumită procedură, probele obţinute de pe un eşantion de 200 cazuri vor fi de regulă mai suficiente decât cele obţinute pe baza unui eşantion de 100 de cazuri. Efectul combinat. Concludenţa probelor poate fi evaluată numai după o analiză combinată a temeiniciei şi suficienţei lor ţinându-se cont de impactul factorilor care influenţează aceste două caracteristici. Tipurile de informaţii probante utilizate în audit. În procesul deciziei referitoare la procedura de audit care trebuie utilizată, auditorul poate alege 7 categorii de probe: 1. Examinare fizică 2. Confirmare 3. Documentare 4. Observare 5. Chestionarea salariatului 6. Reconstituire 7. Proceduri analitice 15
1. Examinare fizică reprezintă inspectarea sau inventarierea de către un auditor a unui ansamblu de active corporale, materiale, mijloace băneşti, imobilizări corporale. 2. Confirmarea descrie primirea unui răspuns scris sau oral din partea unei terţe părţi independente care confirma acurateţea informaţiilor care au fost solicitate de auditor. 3. Documentarea reprezintă examinarea de către auditor a documentelor şi evidenţelor unităţii în scopul de a justifica informaţiile care sunt sau ar trebui incluse în situaţiile financiare. 4. Observarea este rareori suficientă deoarece există riscul ca personalul unităţii implicat în activităţile respective să fie conştient de prezenţa auditorului. 5. Chestionarea (interogarea) reprezintă obţinerea unei informaţii scrise sau orale ca răspuns la întrebările puse de auditor (această tehnică nu poate fi concludentă deoarece informaţiile pot fi manipulate în favoarea unităţii). 6. Reconstituirea presupune revizuirea unui eşantion de calcule şi transferuri de informaţii făcute de unitate în cursul perioadei supuse auditului. Reconstituirea calculelor se face pentru a testa corectitudinea matematică a operaţiunilor. 7. Procedurile analitice utilizează comparaţii şi indicatori în scopul de a determina dacă soldurile conturilor sau alte date par rezonabile. Procedurile analitice sunt definite în literatura de specialitate ca fiind evaluări ale informaţiilor financiare, făcute printr-un studiu al relaţiilor plauzibile între date financiare şi nefinanciare implicând comparaţii între sumele înregistrate şi previziunile făcute de auditor. Costurile pe tipuri de probe Examinarea fizică şi conformarea sunt două din cele mai costisitoare tipuri de probe deoarece necesită în mod normal prezenţa auditorului la inventarierea activelor, sau auditorul trebuie să aplice proceduri foarte riguroase în cursul întocmirii formulatului de conformare, al trimiterii lui şi recepţionării răspunsului. Documentarea şi procedurile analitice sunt moderat costisitoare. Cele mai ieftine 3 tipuri de probe sunt observare, chestionarea şi reconstituirea. 3.2 Foile de lucru Foile de lucru – reprezintă evidenţe ţinute de auditor în care se consemnează procedurile aplicate, testele efectuate, informaţiile obţinute şi concluziile pertinente pe parcursul auditului. Foile de lucru ar trebui să cuprindă toate informaţiile pe care auditorul le consideră necesare pentru realizarea auditului de manieră adecvată şi pentru justificarea raportului de audit. Din ce în ce mai mult foile de lucru sunt ţinute sub forma unor fişiere electronice. Mai concret, foile de lucru în măsura în care se referă la auditul anului în curs oferă o bază pentru planificarea auditului, o evidenţă a probelor acumulate şi a rezultatelor testelor făcute, o colecţie a datelor necesare determinării tipului de raport adecvat precum şi o bază de verificare ulterioară. Foile de lucru cuprind informaţii de planificare foarte diverse cum ar fi o descriere a controlului intern, un buget al timpului pentru diversele sfere auditate, programul de audit şi rezultatele auditului din anul precedent. 16
Foile de lucru reprezintă principalul instrument prin care se poate justifica faptul că s-a făcut un audit adecvat în conformitate cu standardele general acceptate. Foile de lucru reprezintă o sursă importantă de informaţii care îl ajută pe auditor să decidă asupra raportului de audit pe care ar trebui să-l admită dintr-un set dat de circumstanţe. Mai mult foile de lucru conţin informaţii necesare în procesul de întocmire a situaţiilor financiare. Ele sunt o sursă de informaţii pentru emiterea de comunicate la adresa comitetului de audit şi a managementului unităţii pe diverse teme, precum carenţele controlului intern sau recomandări referitoare la activitatea de exploatare. Foile de lucru sunt confidenţiale. Întocmirea unor foi de lucru bine organizate pentru un audit Există o logică foarte clară după care sunt alese tipurile de foi de lucru întocmite pentru un audit şi după care se orientează modul în care aceste documente sunt clasificate în dosare şi fişiere. Conţinutul şi organizarea foilor de lucru: Dosare permanente – au fost create pentru a conţine date cu caracter istoric sau continuu legate de auditul în curs şi cuprind următoarele: - Extrase sau copii ale unor documente de importanţă permanentă referitoare la unitate, statut, regulamente interne, adunarea generală, consiliul de administraţie şi contractele; - Analizele din anii precedenţi asupra conturilor care au o importanţă continuă pentru auditor; - Informaţii legate de înţelegerea controlului intern şi evaluarea riscului de control. Printre acestea se numără organigrame, diagrame secvenţiale, chestionare şi alte informaţii privind controlului intern, inclusiv enumerarea mecanismelor de control şi neajunsurile sistemului de control. - Rezultatele procedurilor analitice din auditele anilor precedenţi. Dosarele curente cuprind toate foile de lucru corespunzând exerciţiului contabil supus auditului. Informaţiile generale Anumite foi de lucru cuprind informaţii privind exerciţiul în curs, care au mai curând un caracter general şi nu au scopul specific de a justifica anumite sume din situaţiile financiare. Exemplu: rezumate sau copii ale proceselor verbale ale şedinţelor Consiliului de administraţie, rezumate ale contractelor sau acordurilor care nu au fost incluse în dosarele permanente, notiţe pe marginea discuţiilor cu salariaţii, concluzii cu caracter general, documentarea evaluării riscului de control. Foile de lucru sub formă de tabele anexe Cea mai mare parte a foilor de lucru constă în tabele anexe întocmite de unitate sau de auditori pentru a justifica anumite situaţii financiare. Utilizarea tipului potrivit de tabel pentru un anumit aspect al auditului este necesară pentru documentarea caracterului adecvat al auditului şi pentru executarea altor funcţii ale foilor de lucru. 17
Documentare externă. O mare parte din conţinutul foilor de lucru constă din documente externe arhivate de auditor, răspunsuri la scrisorile de confirmare şi copiile acordurilor semnate de unitate. Întocmirea foilor de lucru. Întocmirea corespunzătoare a tabelelor care vor cuprinde probele de audit colectate şi concluziile deduse reprezintă o componentă importantă a auditului. Foile de lucru ar trebui să aibă o serie de caracteristici printre care: - Fiecare foaie de lucru ar trebui să aibă un titlu corespunzător în care să fie incluse informaţii precum numele unităţii, perioada acoperită, o descriere a conţinutului, data întocmirii şi un cod de referinţă pentru indexare. - Foile de lucru trebuie indexate şi îndosariate pentru a ajuta la organizarea şi arhivarea lor. - Foile de lucru în formă finală trebuie să indice clar lucrările de audit efectuate. Această cerinţă poate fi realizată prin 3 modalităţi: a) printr-o declaraţie scrisă sub forma unei note interne; b) prin înscrierea iniţialelor personale în dreptul procedurilor de audit din programul auditului; c) adnotările înscrise direct pe tabelele care compun foile de lucru. Fiecare foaie de lucru trebuie să cuprindă suficiente informaţii pentru a răspunde scopurilor pentru care a fost întocmită. - Concluziile la care s-a ajuns în ceea ce priveşte segmentul auditat analizat trebuie să fie clar formulate.
18
Capitolul 4 Riscurile în auditul financiar
Pragul de semnificaţie şi riscurile Expresia “să obţinem o asigurare rezonabilă” are scopul de a informa utilizatorul că auditorul nu garantează sau nu oferă o asigurare totală privind prezentarea fidelă a situaţiilor financiare. Expresia comunică, că există un anumit risc ca situaţiile financiare să nu prezinte o imagine fidelă, chiar şi atunci când opinia auditului este fără rezerve. Expresia „nu conţine prezentări semnificativ eronate” are scopul de a informa utilizatorul că răspunderea auditorului este limitată la informaţiile financiare semnificative. Pragul de semnificaţie este important deoarece pentru auditor nu este practic să ofere asigurări privind sumele nesemnificative. Prin urmare semnificaţia şi riscul reprezintă două concepte fundamentale care sunt importante pentru planificarea auditului. Pragul de semnificaţie joacă un rol major în determinarea tipului adecvat de raport de audit care trebuie emis. Pragul de semnificaţie este definit astfel: Importanţa (gravitatea) unei omisiuni sau a unei prezentări eronate a informaţiilor contabile care, prin prisma circumstanţelor generale dă naştere unei probabilităţi ca raţionamentul unei persoane rezonabile care se bazează pe informaţiile respective să fi fost schimbat sau influenţat de omisiunea sau eroarea respectivă. Obligaţia auditului financiar este de a determina dacă situaţiile financiare conţin erori semnificative. Dacă determină că există o eroare semnificativă de prezentare a informaţiilor auditorul o va semnala astfel încât să poată fi făcută corectarea. În cazul în care unitatea refuză să corecteze situaţia, trebuie emisă o opinie cu rezerve sau o opinie nefavorabilă în funcţie de importanţa relativă a erorii (semnificaţia ei). În concluzie auditorul trebuie să cunoască extrem de bine modelul de aplicare al conceptului de prag de semnificaţie. Procesul aplicării conceptului de prag de semnificaţie urmează cinci paşi strâns corelaţi: Pasul 1. Pasul 2. Fixarea valorii preliminare a pragului de semnificaţie Repartizarea valorii preliminare a pragului de semnificaţie pe segmente de audit Planificarea profunzimii testelor
19
Pasul 3.
Pasul 4. Pasul 5.
Estimarea valorii totale a prezentărilor eronate din segment Evaluarea rezultatelor Estimarea valorii combinate a prezentărilor eronate Compararea estimării valorii combinate cu valoarea preliminară sau revizuită a pragului de semnificaţie.
Valoarea preliminară a pragului de semnificaţie este suma maximă în opinia auditorului, a prezentărilor eronate pe care le-ar putea conţine situaţiile financiare, fără a afecta deciziile utilizatorului rezonabil. Factorii care afectează evaluarea Pragul de semnificaţie este mai curând un concept relativ decât unul absolut . Exemplu: O eroare de o anumită magnitudine ar putea fi semnificativă pentru o unitate mică, în timp ce o eroare de aceeaşi valoare monetară ar fi nesemnificativă pentru o unitate mai mare. Pentru a evalua semnificaţia este nevoie de o bază de comparaţie Deoarece pragul de semnificaţie este relativ se impune găsirea unor termeni de comparaţie pentru a putea stabili dacă prezentările eronate sunt semnificative. Pe lângă selectarea unei baze de comparaţie principale este important să se decidă şi dacă prezentările eronate ar putea afecta de manieră semnificativă caracterul rezonabil al altor baze de comparaţie posibile cum ar fi totalul activului datoriile pe termen scurt şi fondurile proprii. Există şi factori calitativi care afectează semnificaţia. • Abaterile implicând fraude sunt, de obicei, mai importante decât erorile neintenţionate de valori identice, deoarece frauda este un indicator al onestităţii şi fiabilităţii managerilor sau a altor angajaţi implicaţi. • Erorile de prezentare care, în alte condiţii ar fi considerate minore ar putea deveni semnificative dacă ar avea posibile consecinţe rezultând din anumite obligaţii contractuale. (exemplu: Acordarea unui împrumut mai mare de 50% din fondurile proprii). • Erorile de prezentare care în alte condiţii ar fi considerate nesemnificative ar putea deveni semnificative dacă ele ar afecta tendinţa de evoluţie a profitului. Exemplu: dacă profitul obţinut a crescut cu 3% pe an în ultimii 5 ani dar profitul anului curent a scăzut cu 2%, această schimbare a tendinţei de evoluţie ar putea fi semnificativă. Recomandări privind pragul de semnificaţie 1. Totalul combinat al erorilor de prezentare din situaţiile financiare care depăşesc 10% este în mod normal considerat semnificativ. -Un total combinat sub 5% este considerat nesemnificativ în absenţa unor factori calitativi de influenţă. -Erorile de prezentare combinate cu valoarea situată între 5 – 10% impun utilizarea cea mai intensă a raţionamentului profesional pentru determinarea caracterului lor semnificativ. 20
2. Valoarea procentuală menţionată între 5% şi 10% trebuie determinată prin comparaţie cu o bază de referinţă adecvată. Pentru alegerea unei baze de comparaţie potrivite se recomandă următoarele două referinţe: a) Contul de rezultate. Valoarea combinată a erorilor de prezentare din contul de rezultate, ca regulă generală cuantificată în intervalul 5% - 10% din profitul operaţional înainte de impozitare. Intervalul de reper între 5% - 10% ar putea fi necorespunzător într-un an în care profitul este neobişnuit de mare sau mic. Când profitul operaţional al unui anumit an nu este considerat reprezentativ este dorit ca acesta să fie înlocuit de exemplu cu profitul operaţional mediu pe 3 ani. b) Bilanţul contabil. Valoarea combinată a erorilor de prezentare din bilanţul contabil ar trebui mai întâi determinată pentru activele circulante, datoriile pe termen scurt şi totalul activului. Pentru activele circulante şi datoriile pe termen scurt intervalul recomandat ar trebui să fie de 5% - 10% aplicat de aceeaşi manieră ca şi pentru contul de rezultate. Repartizarea valorii preliminare a pragului de semnificaţie Cei mai mulţi practicieni repartizează valoarea pragului de semnificaţie mai curând asupra conturilor bilanţiere decât asupra conturilor de rezultate, deşi cea mai mare parte a erorilor de prezentare din conturile de rezultate au un impact identic datorită sistemului contabilităţii în partidă dublă. Repartizarea pragului de semnificaţie asupra conturilor din bilanţul contabil este cea mai adecvată alternativă. În repartizarea semnificaţiei asupra conturilor bilanţiere apar 3 dificultăţi: (1) auditorul se aşteaptă ca anumite conturi să conţină mai multe abateri decât altele, (2) trebuie să se ţină cont de supraevaluare şi subevaluare (3) costurile relative ale auditului afectează acest proces de repartizare. Riscul. Principala tehnică prin care auditorul abordează riscul în cadrul planificării probelor unui audit este aplicarea modelului de risc pentru audit. Modelul de risc pentru audit este utilizat în principal în planificare în scopul luării deciziei privind cantitatea de probe de colectat în fiecare ciclu. RAA RDP = RI x RC R D P = risc de detectare planificat R A A = risc de audit acceptabil R I = risc inerent R C = risc de control RDP = 0,05 1,0 x 1,0 Tipuri de riscuri: 1.Riscul de detectare planificat – reprezintă o măsură a riscului ca probele de audit aferente unui segment să nu permită detectarea unor erori sau abateri a căror valoare depăşeşte o limită tolerabilă în cazul în care asemenea abateri sau erori există. 21 = 0,05 sau 5%
2.Riscul inerent – reprezintă o măsură a aprecierii pe care o face auditorul privind probabilitatea existenţei unor prezentări eronate semnificate (greşeli sau fraude) într-un segment suspus auditului, înainte de a estima eficacitatea mecanismelor controlului intern. Riscul inerent reflectă vulnerabilitatea situaţiilor financiare faţă de apariţia unor erori în ipoteza inexistenţei unui control intern. Relaţiile dintre riscul de detectare planificat, riscul inerent şi cantitatea planificată de probe poate fi rezumată astfel: - riscul inerent este invers proporţional cu riscul de detectare planificat şi direct proporţional cu cantitatea de informaţii probante. Un risc inerent mare pentru o anumită sferă auditată va determina o creştere a cantităţii de probe de acumulat. 3.Riscul legat de control – reprezintă o măsură a aprecierii pe care o face auditorul privind probabilitatea ca erorile cu o valoare depăşind limita tolerabilă a unui segment să nu fie preîntâmpinate sau detectate prin mecanismele de control intern ale unităţii. Riscul de control reprezintă (1) o apreciere a eficacităţii controlului intern al unităţii în ceea ce priveşte prevenirea sau detectarea erorilor şi (2) intenţia auditorului de a plasa această apreciere la un nivel sub pragul maxim (100%) în cursul planificării auditului. De exemplu dacă auditorul ajunge la concluzia că mecanismele de control intern sunt total ineficace în ceea ce priveşte detectarea erorilor, atunci va atribui un factor de risc mare poate chiar 100% riscului legat de control. 4.Riscul de audit acceptabil – reprezintă o măsură a gradului în care auditorul este dispus să accepte faptul că situaţiile financiare ar putea fi semnificativ eronate după închiderea auditului şi emiterea unei opinii fără rezerve. Când auditorul determină un nivel scăzut al riscului de audit acceptabil înseamnă că el vrea să fie mai sigur că situaţiile financiare nu sunt semnificativ eronate. Un risc zero ar însemna o certitudine perfectă, iar un risc 100% ar însemna incertitudine absolută. Factori care influenţează riscul de audit acceptabil Riscul economic este riscul ca auditorul să fie păgubit din cauza relaţiilor cu unitatea în ciuda faptului că raportul de audit întocmit a fost corect. De exemplu dacă unitatea dă faliment după ce un audit a fost realizat există posibilitatea intentării unui proces auditorului chiar dacă auditul făcut a fost de bună calitate. Există câţiva factori care afectează riscul economic şi drept urmare riscul de audit acceptabil şi anume: (1) măsura în care utilizatorii externi se bazează pe situaţiile financiare, (2) probabilitatea ca unitatea să se confrunte cu dificultăţi financiare după emiterea raportului de audit şi (3) integritatea managementului. 22
Metode utilizate de practicieni pentru a estima riscul de audit acceptabil
-Examinarea situaţiilor financiare inclusiv a notelor informative ale acestora -Citirea proceselor verbale ale şedinţelor consiliului de administraţie pentru a se determina care sunt planurile de viitor -Discutarea planurilor financiare cu managementul. -Analizarea situaţiilor financiare în scopul detectării dificultăţilor financiare prin utilizarea indicatorilor şi a altor proceduri analitice. -Examinarea situaţiilor istorice şi previzionale ale fluxurilor de trezorerie cu scopul determinării naturii intrărilor şi ieşirilor de mijloace băneşti. Aplicarea procedurilor referitoare la acceptarea unor noi clienţi şi continuarea colaborării cu cei existenţi.
Dependenţa utilizatorilor externi de situaţiile financiare
Probabilitatea apariţiei de dificultăţi financiare
Integritatea managementului
Factori care afectează riscul inerent 1-Natura activităţii 2-Factori legaţi de prezentările eronate care rezultă din raportarea financiară frauduloasă 3-Rezultatele auditelor anterioare 4-Faptul dacă este un audit iniţial sau unul repetat 5-Părţile afiliate 6-Operaţiunile cu caracter excepţional 7-Raţionamentul necesar pentru înregistrarea incorectă a soldurilor conturilor şi a operaţiunilor 8-Vulnerabilitatea activelor faţă de riscul de deturnare. 9-Componenţa populaţiei analizate. 1-Natura activităţii. Riscul inerent pentru anumite conturi poate fi dat de natura activităţii de exploatare, creanţe clienţi, credite acordate, mijloacele fixe. 2-Factori legaţi de prezentările eronate care rezultă din raportarea financiară frauduloasă 1. Caracteristicile managementului şi influenţa acestuia asupra mediului controlului 2. Circumstanţele de ramură 3. Caracteristicile activităţii de exploatare (operaţionale) şi stabilitatea financiară 3-Rezultatele auditelor anterioare. Erorile sau abaterile constatate în cursul auditului anului precedent prezintă o mare probabilitate de a se repeta şi în cursul auditului anului curent. Acest lucru se datorează faptului că numeroase tipuri de erori au o natură sistematică, iar unităţile sunt deseori „leneşe” în introducerea schimbărilor pentru eliminarea lor. 23
4-Audit iniţial sau repetat. Auditorul acumulează experienţă şi cunoştinţe privind probabilitatea apariţiei de erori sau abateri după ce auditează unitatea timp de mai mulţi ani consecutivi. Absenţa auditelor din anii precedenţi determină utilizarea unui risc inerent mai mare pentru un prim audit. 5-Părţile afiliate. Operaţiunile nu se produc între două părţi independente, care colaborează „pe principii de imparţialitate”, dar apare o posibilitate mai mare ca ele să fie prezentate greşit ceea ce determină o majorare a riscului inerent. 6-Operaţiunile cu caracter excepţional. Prezintă o probabilitate mai mare de a fi înregistrate greşit decât operaţiunile de rutină deoarece unitatea nu are experienţă în înregistrarea lor. Legătura dintre risc, pragul de semnificaţie şi probele de audit În audit, noţiunile de prag de semnificaţie şi risc sunt strâns legate şi inseparabile. Riscul este o măsură a incertitudinii (relativă), în timp ce pragul de semnificaţie este o măsură a dimensiunii sau măsurii (absolută). Luate împreună ele măsoară incertitudinea sumelor de o anumită mărime. Evaluarea rezultatelor Modelul de risc de audit utilizat pentru evaluarea rezultatelor auditului este formulat astfel: R A At = R I x R C x R D At unde: R A At = Risc de audit atins – Măsură a riscului pe care şi l-a asumat auditorul ca un cont din situaţiile financiare să conţină prezentări eronate semnificative după ce auditorul a colectat toate probele de audit. R I = Risc inerent R C = Risc de control R D At = Risc de detectare atins – O măsură a riscului că probele de audit aferente unui segment să nu permită detectarea prezentărilor eronate depăşind o sumă tolerabilă dacă asemenea prezentări eronate ar exista. Formula arată că există 3 modalităţi de a reduce riscul de audit atins până la un nivel acceptabil şi anume: 1. Reducerea riscului inerent. Această evaluare este făcută pe parcursul fazei de planificare şi rămâne de obicei neschimbată cu excepţia cazurilor în care pe măsura derulării auditului sunt descoperite noi informaţii. 2. Reducerea riscului de control. Riscul de control estimat este influenţat de mecanismele de control intern aplicate de unitate şi de testările acestor mecanisme efectuate de auditor. În cazul în care unitatea are un control intern eficace auditorul poate reduce riscul de control prin efectuarea unor testări mai aprofundate ale mecanismelor de control. 3. Reducerea riscului de detectare atins se face prin creşterea calităţii testelor de audit substanţiale.
24
Capitolul 5 Raportul de audit intern
Raportul de audit reprezintă una din etapele de final a întregului proces de audit şi are un rol esenţial deoarece el comunică verdictul auditorului. Auditorul poate fi tras la răspundere în cazul în care emite un raport de audit incorect. Fiecare acţiune de audit intern, se încheie după ce rezultatele sale au fost consemnate intr-un raport de audit semnat de persoanele care au exercitat acţiunea de audit si de persoanele care reprezinta unitatea/structura auditata . Actul constatator al misiunii de audit intern, se numeşte Raport de audit intern, care este un act bilateral, se întocmeşte in 2 exemplare, dintre care unul ramane la structura auditata, iar 1 exemplar, la auditorul care a efectuat misiunea. Raportul de audit este însoţit de acte, documente sau materiale probatoare care sa susţină concluziile si recomandarile intocmite de auditor. Trimestrial, pana la finalul lunii următoare trimestrului încheiat, compartimentul audit intern va transmite o informare sintetica Consiliului de administratie si conducerii bancii. Raportul de audit împreuna cu toate documentele anexate vor fi reunite intr-un dosar, care se arhivează si păstrează timp de 5 ani, in condiţiile legii. Raportul de audit se compune din trei parti. a) o prima parte o formeaza preambulul acestuia (partea introductiva), in care se mentioneaza data, locul incheierii, numele, prenumele auditorului numarul si data delegatiei (ordin de deplasare), principalele acte normative in baza carora s-a efectuat controlul, perioada supusa controlului, durata controlului, denumirea completa si adresa bancii cooperatiste controlate, datele de identificare ale persoanelor ce o reprezinta; b) o a doua parte cuprinde constatarile, prezentate in ordinea obiectivelor de control stabilite strucurate pe capitole, ansamblul abaterilor si deficientelor constatate, prevederile legale nerespectate, efectul acestora asupra activitatii unitatii verificate, persoanele facute raspunzatoare ca si masurile de remediere stabilite in timpul controlului. c) ultima parte, a treia (partea finala sau de incheiere) contine referiri cu privire la numarul de exemplare in care a fost intocmit raportul de audit si semnaturile persoanelor care au efectuat controlul, precum si ale persoanelor care angajeaza patrimonial prin semnatura unitatea controlata, destinatia, numarul de inregistrare de la unitatea controlata si precizarea ca documentele prezentate organelor de control au fost restituite. Inainte de formularea incheierii raportului, se va lasa sarcina conducerii unitatii verificate sa comunice, in cadrul termenului prevazut, compartimentului de audit intern, masurile luate pentru remedierea deficientelor constatate, indeplinirea sarcinilor inscrise in raport, inscriind totodata mentiunea ca ramane raspunzatoare conducerea unitatii in caz de nerealizare a sarcinilor inscrise in raportul de audit si de necomunicare a masurilor luate.
25
Valorificarea constatărilor misiunii de audit Recomandarile cuprinse in raportul de audit intocmit ca urmare a efectuarii angajamentului de audit devin obligatorii pentru structura auditata. Raportul poate include si stadiul indeplinirii recomandarilor aferente angajamentelor anterioare. Compartimentul audit intern trebuie sa stabileasca un proces de urmarire a implementarii recomandarilor, care sa permita monitorizarea si garantarea faptului ca masurile luate de management au fost implementate in mod eficient sau ca managementul a acceptat sa-si asume riscul de a nu intreprinde nici o masura. In cazul in care anumite informatii continute in raportul de audit (informatii privilegiate, legate de actiuni ilegale sau necorespunzatoare) nu este oportun sa fie cunoscute de catre toti beneficiarii unui astfel de raport, ele vor fi dezvaluite intr-un raport separat care va fi transmis Consiliului de administratie al bancii. In cazul in care se doreste comunicarea unor informatii ce necesita atentie imediata, a modificarii intinderii angajamentului sau informarea continua a conducatorilor structurii auditate asupra progreselor unui angajament ce se intinde pe o perioada mai mare se pot intocmi rapoarte intermediare. Conducerea structurii auditate va comunica in scris la termenele prevazute in planul de implementare a recomandarilor (anexa la raportul de audit), conducerii bancii modul de aducere la indeplinire a recomandarilor facute de auditul intern. Compartimentul de audit intern sintetizeaza notele de informare primite si raporteaza periodic semestrial stadiul de implementare a recomandarilor auditorilor interni subliniind cazurile de nerespectare a termenelor sau daca managementul a acceptat sa-si asume riscul de a nu intreprinde nici o masura. Urmărirea si raportarea rezultatelor activităţii de audit intern Auditorii întocmesc fişa de urmărire a recomandărilor şi verifică implementarea recomandărilor la termenele stabilite. Auditorii interni bancari intocmesc un raport anual privind angajamentele de audit desfasurate in timpul perioadei respective, din care sa rezulte constatarile si recomandarile făcute de auditul intern si modul de implementare a recomandarilor respective de catre conducerea structurii auditate. Raportul privind desfasurarea activitatii de audit intern la nivelul sucursalei bancii, urmeaza sa fie transmis Centralei Băncii in termen de câteva luni de la incheierea exercitiului financiar.
26
Capitolul 6 Noţiuni generale privind controlul intern bancar
Controlul intern, asa cum este definit de Norma B.N.R. si de Comitetul de la Basel, reprezinta un proces continuu la care participa consiliul de administratie, conducatorii, precum si personalul bancilor. Este subliniat astfel faptul ca nu este vorba doar despre o procedura sau o politica aplicata la un moment dat, ci de un cumul de actiuni desfasurate continuu la toate nivelurile bancii. Interesul acordat controlului intern si caracterului sau continuu este consecinta analizei cauzelor care au determinat înregistrarea de pierderi semnificative de catre unele banci; aceasta analiza a identificat lipsa unor sisteme de control intern adecvate ca fiind un determinant major al pierderilor. Concluzia trasa din aceste experiente a fost ca un sistem de control intern eficient ar fi putut preveni sau ar fi putut detecta din timp problemele care au dus la pierderi, ar fi putut limita amploarea acestora. Prin urmare, un sistem de control intern eficient reprezinta o componenta critica a gestionarii unei banci. Conform Regulamentului BNR nr18/2009, controlul intern este un proces continuu, destinat să furnizeze o asigurare rezonabilă pentru îndeplinirea obiectivelor de performanţă (eficacitatea şi eficienţa activităţilor desfăşurate), de informare (credibilitatea, integritatea şi furnizarea la timp a informaţiilor financiare şi ale celor necesare conducerii) şi de conformitate (conformarea cu legile şi reglementările aplicabile, precum şi cu politicile şi procedurile interne) şi care, pentru a fi eficace, necesită implementarea următoarelor 3 funcţii: funcţia de control al riscurilor, funcţia de conformitate şi funcţia de audit intern. Controlul intern include, de asemenea, organizarea contabilităţii, tratamentul informaţiilor, evaluarea riscurilor şi sistemele de măsurare a acestora.
Funcţiile fundamentale ale sistemului de control intern
Conform Regulamentului BNR 18 din 2009, în vederea implementării unui sistem de control intern eficace şi cuprinzător pentru toate domeniile de activitate ale unei instituţii de credit, aceasta trebuie să organizeze, cu luarea în considerare a celor 3 funcţii fundamentale ale sistemului de control intern: • funcţia de control al riscurilor, • funcţia de conformitate şi • funcţia de audit intern. Funcţiile sistemului de control intern trebuie să fie independente de liniile de activitate pe care acestea le monitorizează şi controlează. Ele nu pot fi externalizate. Funcţia de control al riscurilor este parte a funcţiei de administrare a riscurilor şi trebuie să asigure conformitatea cu politicile în domeniul riscurilor. Funcţia de control al riscurilor din cadrul instituţiilor de credit trebuie să ia în considerare toate riscurile pe care instituţia de credit le identifică prin intermediul procesului propriu de evaluare a riscurilor. În cadrul instituţiilor de credit cu o activitate complexă şi sofisticată, funcţia de control al riscurilor trebuie să monitorizeze fiecare risc semnificativ la care acestea sunt expuse. Instituţiile de credit trebuie să dispună de o funcţie de conformitate care are rolul de a asista organele cu funcţie de conducere în identificarea, evaluarea, monitorizarea şi raportarea riscului de conformitate asociat activităţilor desfăşurate de acestea. Organele cu funcţie de supraveghere ale instituţiei de credit au responsabilitatea de a supraveghea administrarea riscului de conformitate. 27
Instituţiile de credit trebuie să dispună de o funcţie de audit intern independentă, permanentă şi eficace, care are drept obiective: a) asigurarea că politicile şi procesele instituţiilor de credit sunt respectate în cadrul tuturor activităţilor şi structurilor; b) revizuirea politicilor, proceselor şi mecanismelor de control astfel încât acestea să rămână suficiente şi adecvate activităţii desfăşurate. Funcţia de audit intern are acces nelimitat la structura de conducere şi la comitetul de audit, precum şi la documente şi informaţii relevante din toate liniile de activitate şi este organizată potrivit reglementărilor emise de Camera Auditorilor Financiari din România. Funcţia de audit intern trebuie să permită structurii de conducere a instituţiei de credit să se asigure asupra calităţii controalelor interne, atât din punct de vedere al eficacităţii, cât şi al eficienţei acestora şi să aibă competenţa de a evalua orice funcţii externalizate. Instituţiile de credit trebuie să elaboreze statutul auditului intern. Pentru a nu fi afectată capacitatea de evaluare critică a auditorilor interni, ca urmare a rutinei şi executării permanente a aceloraşi sarcini, instituţiile de credit trebuie să asigure, în măsura posibilităţilor, rotirea acestora. Statutul auditului intern trebuie să prevadă dreptul de iniţiativă al auditorului intern şi autoritatea acestuia de a comunica cu orice membru din cadrul personalului instituţiei de credit, de a examina orice activitate, structură a instituţiei de credit, precum şi accesul acestuia la orice înregistrări, fişiere şi informaţii interne, inclusiv la informaţii destinate organelor cu funcţie de conducere, precum şi la procese-verbale şi alte materiale cu caracter similar ale tuturor organelor de decizie şi consultative, care prezintă relevanţă în îndeplinirea atribuţiilor sale. Structura de conducere a instituţiilor de credit poate, în situaţia în care pentru desfăşurarea angajamentelor de audit intern este necesară expertiză specială, pe baza unei fundamentări corespunzătoare, să ia decizia externalizării activităţii de audit intern în privinţa unor activităţi în sensul desfăşurării acesteia în coparticipare sau prin subcontractare. Desfăşurarea activităţii de audit intern în coparticipare se realizează utilizând pentru efectuarea angajamentelor de audit intern atât personalul propriu ce activează în cadrul funcţiei de audit intern, cât şi resurse externe. Desfăşurarea activităţii de audit intern pe bază de subcontractare are în vedere situaţiile în care un angajament de audit intern sau doar o parte a acestuia este realizată de către un partener extern, de obicei pentru o perioadă limitată de timp. În cazul externalizării activităţii de audit intern, organele cu funcţie de supraveghere şi organele cu funcţie de conducere rămân responsabile pentru adecvarea şi funcţionarea eficace a sistemului de control intern şi a auditului intern. Coordonatorul activităţii de audit intern trebuie să facă o evaluare a furnizorului extern în domeniul auditului intern, în vederea creării condiţiilor necesare pentru desfăşurarea corespunzătoare a activităţii de audit intern şi să prezinte propunea spre aprobarea structurii de conducere. Un bun control intern previne mai multe fraude decât ar putea descoperi vreodată un bun auditor.
28
Capitolul 7 Auditarea proceselor si tehnicilor de evaluare a riscurilor
In continuare vom prezenta doar riscurile care trebuie să fie urmărite şi care sunt recunoscute de către BASEL II şi preluate de către BNR. Astfel, auditorul intern trebuie să observe riscurile ce se pot manifesta la un moment dat în cadrul băncii pe fiecare departament şi global, nelimitându-se doar la un anumit risc care este caracteristic funcţiunii auditate. De exemplu, în cadrul departamentului de credite, la prima vedere, putem spune că ne vom întâlni doar cu riscul de credit, dată fiind denumirea departamentului care ne trimite la o astfel de abordare. Dar nimic nu este mai fals comparativ cu opinia emisă anterior. Aici, vom putea descoperi că şi riscul de dobândă, valutar sau chiar şi cel operaţional ar putea avea manifestări într-o măsură mai mare sau mai mică. În ceea ce priveşte riscul operaţional, există o graniţă foarte sensibilă între a determina dacă o pierdere este aferentă riscului operaţional sau celui de credit (ex. nerambursarea unui credit pentru că debitorul a prezentat la bancă documente false, acest eveniment fiind pus sub umbrela riscului operaţional). Pentru a avea în minte întreaga gamă de riscuri ce ar putea să apară la un moment dat în cadrul băncii, schema de mai jos este cât se poate de relevantă.(dupa Dedu Vasile, Curs audit bancar, Bucureşti):
29
În general, la sfârşitul anului, atunci când are loc un bilanţ al activităţii funcţiei audit intern pentru a stabili dacă planul pe anul respectiv a fost îndeplinit şi întocmirea planului de audit pentru anul viitor care va include şi eventualele misiuni nerealizate, coordonatorul departamentului de audit intern va întocmi o matrice de risc pentru fiecare departament care va avea ca rezultat o notă. Această notă va fi comparată cu intervalele prestabilite şi încadrată într-unul din ele care va specifica şi frecvenţa auditului pentru respectivul department (trimestrial, semestrial, anual, o dată la doi ani, trei ani, etc.) Indiferent de departamentul auditat, această matrice va trebui să conţină printre altele şi următoarele întrebări sau aspecte (dupa Dedu Vasile, Curs audit bancar, Bucureşti): I. Întrebări referitoare la evaluarea riscului. a. semnificaţia şi riscul inerent al departamentului • care este semnificaţia departamentului auditat în activitatea băncii? • cât de mare este probabilitatea ca riscul să crească sau ca riscuri adiţionale să apară datorită modificărilor în cadrul general al activităţii/afacerii? • există riscuri adiţionale datorită complexităţii activităţii băncii? b. tipuri de risc • Cât de mare este riscul de credit potenţial? • Cât de mare este riscul de piaţă potenţial? • Cât de mare este riscul operaţional potenţial (fără IT)? • Cât de mare este riscul potenţial în sfera IT? • Cât de mare este riscul potenţial generat de participări/ deţinerea de imobile? II. Întrebări referitoare la evaluarea controlului. a. Cadrul general • Sunt cunoscute în mod adecvat riscurile, controalele şi securitatea în rândul membrilor departamentului auditat? • Sunt definite clar interfaţele cu celelalte unităţi/parteneri de outsourcing? • Sunt definite clar responsabilităţile conducerii? • Sunt adecvate numărul, calificarea şi experienţa personalului în legătură cu activitatea departamentului auditat? • Realizarea sarcinilor este descrisă în cadrul unor politici scrise suficient de detaliate, relevante şi actualizate? • Se potrivesc clădirile şi echipamentele tehnice activităţii auditate? b. Gestiunea riscului - în special riscuri inerente
• Există instrumente/precauţii adecvate pentru a identifica, măsura, monitoriza şi controla riscurile? • Sunt limitele adecvate comparativ cu riscurile implicate? • Sunt utilizate metode adecvate pentru identificarea noilor riscuri şi deviaţiilor faţă de standard şi se acţionează adecvat? • Sunt limitate şi gestionate riscurile inerente activităţii auditate? Este conducerea bine informată despre expunerea la risc a unităţii în timp util şi o manieră adecvată? 30
c. Sistemul de control intern • Sunt controalele adecvate şi corect realizate în funcţie de aria de cuprindere şi complexitatea activităţii unităţii? • Este sistemul de control intern periodic revăzut şi modificat conform nevoilor mai ales în momentele de schimbare a mediului de afaceri? • Sunt definite controalele realizate ca intenţionate? • Sunt toate deficienţele abordate eficient şi rezolvate în timp util? d. Conformitatea cu reglementările interne şi externe • sunt respectate toate obligaţiile legale şi de supraveghere? • sunt însuşite toate procedurile şi politicile interne? • personalul şi directorii responsabili sunt familiari cu toate reglementările interne şi externe relevante? Pentru fiecare întrebare se pot întâlni 4 categorii de relevanţă pentru activitatea auditată. Acestea sunt: -nicio relevanţă, -relevanţă scăzută, -relevanţă normală şi -relevanţă mare. De asemenea, se atribuie pe acelaşi principiu note referitoare la riscul ce-l implică fiecare întrebare. Notele riscului sunt de la 1 la 4 şi au acelaşi înţeles ca şi relevanţa: 1-deloc, 2-scăzut, 3-normal, 4-mare. Combinând cele două rezultate, un program automat va determina nota generală pentru activitatea auditată care va fi folosită pentru determinarea frecvenţei auditului.
31
Teste grilă
Bibliografie
• • • • • • • • • • • • • Brezeanu Petre (coordonator), Audit financiar: repere metodologice, etice şi istorice, reglementări internaţionale (ISA) extrase, Editura Cavallioti, Bucureşti, 2008; Dedu Vasile, Gestiune şi audit bancar, Editura Economică, Bucureşti, 2003; Dedu Vasile, Curs audit bancar, Bucureşti, 2005; Dobroţeanu Camelia Liliana, Dobroţeanu Laurenţiu, Audit intern, Editura InfoMega, Bucureşti, 2007; Mihăescu Sorin, Controlul financiar-bancar, Editura Universităţii A.I.Cuza, Iaşi, 2007; Morariu Ana, Suciu Ghe., Stoian Flavia., Audit intern şi guvernanţă corporativă , Editura Universitară, Bucureşti, 2008; Niţu Ion, Control şi audit bancar, Editura Expert, Bucureşti, 2002; Norme şi legislaţie bancară; Norme bancare interne; Regulament BNR 18/2009 privind cadrul de administrare a activităţii instituţiilor de credit, procesul intern de evaluare a adecvării capitalului la riscuri şi condiţiile de externalizare a activităţilor acestora Roxin Luminiţa, Gestiunea riscurilor bancare, Editura Didactică şi Pedagogică R.A. Bucureşti,1997; http://www.aair.ro - site Asociaţia Auditorilor Interni din România http://www.cafr.ro – site Camera Auditorilor Financiari din România.
32
Capitolul 1...........................................................................................................................................2 Noţiuni generale privind activitatea de audit.....................................................................................2
Introducere.................................................................................................................................................2 1.1 Obiective si modalitati de actiune ale auditului intern bancar.........................................................3 1.2 Principiile auditului intern bancar......................................................................................................4 1.3 Organizarea auditului intern bancar..................................................................................................6 1.4 Standardele de audit intern...............................................................................................................8
Capitolul 2.........................................................................................................................................10 Desfăşurarea activităţii de audit intern ..............................................................................10
2.1 Planificarea activităţii de audit intern. Planul de audit...................................................................10 2.2 Declanşarea misiunii de audit intern................................................................................................13
Capitolul 3.........................................................................................................................................14 Probele de audit ..............................................................................................................................14
3.1 Probele de audit în auditul financiar................................................................................................14 3.2 Foile de lucru....................................................................................................................................16
Capitolul 4.........................................................................................................................................19 Riscurile în auditul financiar...........................................................................................................19 Capitolul 5.........................................................................................................................................25 Raportul de audit intern....................................................................................................................25 Capitolul 6.........................................................................................................................................27 Noţiuni generale privind controlul intern bancar ..........................................................................27 Capitolul 7.........................................................................................................................................29 Auditarea proceselor si tehnicilor de evaluare a .............................................................................29 riscurilor............................................................................................................................................29 Bibliografie........................................................................................................................................32
Capitolul 1 Noţiuni generale privind activitatea de audit
Introducere Desi cuvântul audit a patruns în limbajul cotidian al societatii românesti în forma sa englezeasca, se pare ca originile acestuia se gasesc în latinescul auditus, care înseamna „ascultare”, „audiere”. Acest termen avea chiar o conotatie financiara, în Roma antica fiind practicata verificarea verbala a fondurilor. Exista, asadar o prima semnificatie a activitatii de audit – aceea de verificare; sensul acesteia s-a îmbogatit pe masura ce activitatea economica a devenit din ce în ce mai complexa, în conditii de risc amplificat. Astfel, în timp, nu a mai fost suficient controlul asupra unor anumite domenii, înregistrari sau evidente, ci asupra întregii contabilitati si gestiuni; a fost facut saltul de la aprecierile cantitative la cele calitative, de la constatari la consultanta; nu a mai fost suficienta verificarea post factum, ci a devenit importanta prevenirea manifestarii riscurilor, iar greutatea s-a deplasat de la auditul extern la cel intern. În acelasi timp, aria activitatii de audit s-a extins de la administrarea banilor publici catre întreprinderile private. În România, Ordonanta de Urgenta a Guvernului nr. 75/1999 privind activitatea de audit financiar (cu modificarile ulterioare) prezinta auditul financiar ca “activitatea de examinare, în vederea exprimarii de catre auditorii financiari, a unei opinii asupra situatiilor financiare, în conformitate cu standardele de audit, armonizate cu standardele internationale de audit si adoptate de Camera Auditorilor Financiari din România”. Ordonanta de Urgenta a Guvernului nr. 75/1999 a fost aprobata cu modificari si completari prin Legea nr. 133/2002, apoi modificata prin Ordonanta Guvernului nr. 67/2002, aprobata cu modificari si completari prin Legea nr. 12/2003. În Normele BNR, auditul intern bancar apare ca o “activitate independenta, destinata îmbunatatirii activitatii bancilor, fie prin îndeplinirea unor angajamente de audit, fie prin acordarea de consultanta structurilor entitatilor auditate”. O definitie completa a auditului, aplicabila si domeniului bancar poate fi următoarea: activitatea, realizata de persoane autorizate, de examinare obiectiva a ansamblului activitatilor entitatii economice, care are ca rezultat formularea unei evaluari independente a managementului riscului, a controlului si proceselor de conducere, si a unor sugestii pentru îmbunatatirea eficacitatii operatiunilor, în scopul sprijinirii realizarii obiectivelor entitatii economice. Dupa cum se observa, aceasta definitie ne arată trasaturile auditului (competenta, obiectivitate, independenta), sfera preocuparilor sale (ansamblul activitatilor entitatii economice, nu numai evidenta contabila), materializarea rezultatelor acestuia (evaluare si consultanta), precum si scopul auditului.
2
1.1 Obiective si modalitati de actiune ale auditului intern bancar Pot fi identificate urmatoarele obiective ale auditului intern: a) verificarea conformitatii activitatilor din entitatea economica auditata cu politicile, programele si managementul acestuia, în conformitate cu prevederile legale; b) evaluarea gradului de adecvare si aplicare a controalelor financiare si nefinanciare dispuse si efectuate de catre conducerea unitatii în scopul cresterii eficientei activitatii entitatii economice; c) evaluarea gradului de adecvare a datelor/informatiilor financiare si nefinanciare destinate conducerii pentru cunoasterea realitatii din entitatea economica; d) protejarea elementelor patrimoniale bilantiere si extrabilantiere si e) identificarea metodelor de prevenire a fraudelor si pierderilor de orice fel. Din Norma BNR reiese că: “Obiectivul auditului intern îl reprezinta îmbunatatirea activitatii institutiilor de credit” si “… sa contribuie la îndeplinirea obiectivelor lor (bancilor) prin prezentarea unei abordari sistematice si disciplinate ….”. Prin urmare, se poate sintetiza ca obiectivul auditului intern bancar este cel de a contribui la îndeplinirea obiectivelor bancilor (îmbunatatirea activitatii reprezentând obiectivul primar si general al unei banci), iar obiectivele punctuale, pe domenii de activitate, sunt: a) asigurarea concordantei activitatii cu politicile, programele, normele si prevederile legale; b) cresterea eficacitatii activitatii de control; c) îmbunatatirea calitatii procesului decizional; d) cresterea eficientei activitatii bancii. Pentru realizarea acestor obiective, auditul bancar intern actioneaza pe urmatoarele căi (Conform normei B.N.R., si “Internal audit in banking organisations and the relationship with internal and external auditors”, Basel Committee on Banking Supervision, Basel, 2000, şi în conformitate cu prevederile OUG nr.99/2006 privind institutiile de credit si adecvarea capitalului, modificata prin Legea nr.227/2007): 1. evaluarea eficientei si gradului de adecvare a sistemului de control intern; 2. evaluarea modului de aplicare si a eficacitatii procedurilor de administrare a riscurilor si a metodologiilor de evaluare a riscurilor semnificative; 3. analiza relevantei si integritatii datelor furnizate de sistemele informationale de gestiune si financiare, inclusiv de sistemul informatic; 4. evaluarea acuratetei si credibilitatii înregistrarilor contabile si situatiilor financiare; 5. evaluarea gradului de adecvare a nivelului fondurilor proprii ale institutiilor de credit în functie de riscurile la care acestea sunt expuse; 6. evaluarea modului în care se asigura protejarea elementelor patrimoniale bilantiere si extrabilantiere si identificarea metodelor de prevenire a fraudelor si pierderilor de orice fel; 7. testarea atât a operatiunilor, cât si a functionarii procedurilor specifice de control; 8. evaluarea eficientei operatiunilor institutiilor de credit; 9. evaluarea modului în care sunt respectate dispozitiile cadrului legal, cerintele codurilor de conduita, precum si evaluarea modului în care sunt implementate politicile si procedurile institutiei de credit referitoare la activitatile : creditare, casierie, cunoastere a clientelei, financiar - contabilitate, investitii si valorificare de active, pastrarea si arhivarea documentelor; 10. testarea integritatii, credibilitatii si, dupa caz, a oportunitatii raportarilor, inclusiv a celor destinate utilizatorilor externi. Dupa cum se observa, aria de competenta alocata auditului intern bancar este atotcuprinzatoare: sistem de control intern, administrarea riscurilor, sistem informational, contabilitate, calitatea administrarii patrimoniului, operatiuni. 3
Astfel, auditul intern apare ca un supra-controlor al controlului intern, este mai mult decât orice forma de control extern sau de supraveghere, dar în acelasi timp, parte a sistemului de control intern al unei banci. Prin examinarea problemelor globale ale bancii, evaluarea riscurilor, controlului, calitatii, eficientei, tehnologiei si formularea unor opinii clare si adecvate, auditul intern bancar reprezinta un instrument foarte valoros pus în slujba conducerii unei banci. În unele tari (e şi cazul României), desi înregistrarile contabile intra în sfera auditului intern, auditarea situatiilor financiare nu este inclusa în competentele acestuia. Astfel, se considera ca aceasta cade în responsabilitatea auditorilor externi ai bancii, rolul auditului intern fiind limitat, în acest domeniu, la sprijinirea auditorilor externi. Banca isi va organiza activitatea de audit intern, astfel incat aceasta sa contribuie la indeplinirea obiectivelor sale, prin prezentarea unei abordari sistematice si disciplinate de evaluare si imbunatatire a eficientei sistemului de control intern, procesului de administrare a riscurilor si proceselor de conducere, in cadrul unor angajamente de audit, potrivit statului auditului intern. 1.2 Principiile auditului intern bancar Comitetul de Supraveghere Bancara de la Basel contureaza cadrul de desfasurare a activitatii de audit intern bancar sub forma unor principii care acopera atât caracteristicile generale ale activitatii, cerintele referitoare la auditorii interni, cât si desfasurarea auditului intern. În cele ce urmeaza, au fost extrase principiile cu caracter de trasaturi generale. 1. Independenta auditului intern bancar Principiu enuntat în “Internal audit in banking organisations and the relationship with internal and external auditors”, Basel Committee on Banking Supervision, Basel, 2000 “Departamentul de audit intern al unei banci trebuie sa fie independent de activitatile auditate. Departamentul trebuie sa fie, de asemenea, independent fata de procesul de control intern de zi cu zi. Aceasta presupune ca departamentului de audit intern sa i se dea un statut corespunzator în cadrul bancii si acest departament sa îsi îndeplineasca sarcinile cu obiectivitate si impartialitate”. Astfel, pentru asigurarea independentei sale fata de restul activitatilor bancii, departamentul de audit intern trebuie sa fie subordonat direct conducerii executive a bancii sau consiliului de administratie sau comitetului de audit (de pe lânga consiliul de administratie). Banca Nationala a României subscrie întru totul la aceste cerinte privind asigurarea independentei auditului intern, atât prin mijloace organizatorice, cât si functional – institutionale, si opteaza pentru subordonarea departamentului de audit intern fata de consiliul de administratie al bancii, nu fata de conducerea executiva. 2. Impartialitatea auditului intern bancar Principiu enuntat în “Internal audit in banking organisations and the relationship with internal and external auditors”, Basel Committee on Banking Supervision, Basel, 2000. “Departamentul de audit intern ar trebui sa fie obiectiv si impartial, ceea ce înseamna ca ar trebui sa fie într-o pozitie care sa-i permita realizarea atributiilor fara partinire si fara ingerinte.” 4
Banca Nationala a României opineaza ca personalul implicat într-un angajament de audit pe poate audita un domeniu în care a lucrat numai dupa trecerea unei perioade de cel putin un an. În practica unor banci, pentru asigurarea impartialitatii auditorilor interni, sunt impuse reguli cu privire la recrutarea acestora din afara bancii, necorelarea remunerarii acestora cu performanta sau profitul bancii, separarea atributiilor în ceea ce priveste implementarea recomandarilor, neimplicarea auditorilor în activitatea de proiectare a procedurilor de control sau administrative. În România, Banca Nationala restrictioneaza accesul la responsabilitatea de auditori interni persoanelor care sunt soti, rude sau afini pâna la gradul al patrulea inclusiv cu conducatorii unei banci. 3. Continuitatea auditului intern bancar “Auditul intern ar trebui sa fie o functie permanenta. În îndeplinirea îndatoririlor si responsabilitatilor sale, conducerea bancii ar trebui sa ia toate masurile necesare astfel încât banca sa poata conta în permanenta pe o functionare adecvata a auditului intern corespunzatoare marimii bancii si naturii operatiunilor sale. Aceste masuri includ asigurarea departamentului de audit intern cu resurse si personal corespunzator pentru îndeplinirea obiectivelor sale”. Conducerea bancilor verifica alocarea de personal si resurse pentru auditul intern, fie permanent, fie anual, comparând activitatea departamentului cu cea planificata sau facând comparatii cu banci comparabile ca marime. În medie, personalul alocat activitatii de audit intern într-o banca reprezinta aproximativ 1% din totalul personalului; procentul acesta variaza în functie de marimea bancii si de activitatile derulate de catre aceasta. Banca Nationala a României subliniaza faptul ca asigurarea unei activitati de audit intern adecvate, corespunzatoare dimensiunii si naturii operatiunilor unei banci cade în sarcina conducatorilor institutiei. 4.Competenta profesionala “Competenta profesionala a fiecarui auditor intern si a departamentului de audit intern, ca întreg, este esentiala pentru îndeplinirea corespunzatoare a rolului auditului intern”. Departamentul de audit intern trebuie sa acopere toate activitatile bancii, iar acestea devin din ce în ce mai complexe; mai mult, acestui departament i se pot cere opinii cu privire la noi domenii care ar putea fi introduse în nomenclatorul bancii. Prin urmare, un auditor intern trebuie sa aiba cunostinte înalte, experienta vasta, sa se pregateasca continuu si sa îsi actualizeze permanent cunostintele în domeniul bancar si în cel al tehnicilor de audit. Totodata, acesta trebuie sa aiba capacitatea de a colecta informatii, de a le examina, de a evalua situatia si de a comunica concluzii. La aceste cerinte privind pregatirea profesionala, Banca Nationala a României adauga exigente morale: auditorii interni trebuie sa fie corecti, onesti si incoruptibili. Aprecierea adecvarii nivelului de pregatire a candidatilor pentru posturile de auditori interni tine de politica fiecarei banci în domeniu; unele banci (în special cele mici) pun accentul, în recrutarea personalului pentru audit, mai mult pe cunostinte si experienta profesionale, decât pe existenta unor titluri profesionale. 5
Competenta profesionala trebuie mentinuta prin pregatire la locul de munca, pregatire interna si externa, rotatia personalului în cadrul departamentului de audit etc. 5. Exhaustivitatea auditului intern “Toate activitatile si toate entitatile unei banci trebuie sa intre în aria de activitate a auditului intern”. Nici una dintre activitatile sau entitatile unei banci (incluzând sucursale, subsidiare si activitati externalizate) nu poate fi exclusa din preocuparile departamentului de audit intern. La modul general, auditul intern trebuie sa examineze si sa evalueze eficienta si eficacitatea controlului intern (înteles ca sistem, nu ca departament) si modul în care sunt îndeplinite responsabilitatile de control. Din acest punct de vedere, activitatea de audit intern reprezinta o analiza de risc a sistemului intern de control. În particular, auditul intern trebuie sa evalueze: respectarea politicilor, principiilor, regulilor, reglementarilor (fara a se suprapune, totusi, cu functia corespunzatoare a controlului intern); integritatea, acuratetea si acoperirea informatiilor financiare si de gestiune; continuitatea si soliditatea sistemelor informatice; functionarea departamentelor bancii. În plus fata de principiile mentionate mai sus, Banca Nationala mentioneaza confidentialitatea care trebuie pastrata de catre auditorii interni, în sensul de prudenta în utilizarea informatiilor, de protectie a informatiilor; acestei cerinte trebuie sa-i raspunda, de fapt, întreg personalul bancii, asa cum este stipulat si în Legea bancara. 6. Confidenţialitatea Auditorii interni sunt obligati sa pastreze confidentialitatea in legatura cu faptele, informatiile sau documentele despre care iau cunostinta in exercitarea atributiilor lor; este interzis ca auditorii interni sa utilizeze in interes personal sau in beneficiul unui tert informatiile dobandite in exercitarea atributiilor de serviciu. In cazuri exceptionale auditorii interni pot furniza aceste informatii numai in conditiile expres prevazute de normele legale in vigoare. 7. Neutralitatea politică În Codul privind conduita etica a auditorului intern , unele instituţii de credit au introdus şi respectarea principiului neutralităţii politice. Astfel, conform acestui principiu, auditorii interni trebuie sa fie neutri din punct de vedere politic, in scopul indeplinirii in mod impartial a activitatilor; in acest sens ei trebuie sa isi mentina independenta fata de orice influente politice. Auditorii interni au obligatia ca in exercitarea atributiilor ce le revin sa se abtina de la exprimarea sau manifestarea convingerilor lor politice. 1.3 Organizarea auditului intern bancar Auditul intern este o activitate independenta de asigurare obiectiva si de consiliere, destinata sa adauge valoare si sa antreneze îmbunatatirea activitatilor organizatiei, pe care o sustine în îndeplinirea obiectivelor sale. Ajuta organizatia în îndeplinirea obiectivelor sale printr-o abordare sistematica si disciplinata în cadrul evaluarii si îmbunatatirii eficacitatii proceselor de management al riscurilor, control si guvernare. 6
Activitatea de audit intern bancar se realizeaza prin doua forme organizatorice: departamentul de audit intern si comitetul de audit. Comitetul de audit se instituie obligatoriu în cadrul fiecărei bănci şi este un comitet permanent, independent de conducatorii instituţiei de credit, subordonat direct consiliului de administratie si are functie consultativa. Functionarea si atributiile comitetului de audit sunt reglementate de Regulamentul de organizare si functionare al fiecarei instituţii de credit si de Normele BNR. Membrii comitetului de audit, trebuie sa aiba o experienta corespunzatoare atributiilor ce le revin in cadrul respectivului comitet. Cel putin un membru al comitetului de audit, trebuie sa aiba experienta in domeniul contabilitatii sau auditului. Componenta comitetului de audit poate fi revizuita periodic, daca este cazul, de catre consiliul de administratie al instituţiei de credit. Comitetul de audit are urmatoarele atributii: a)incurajarea comunicarii dintre membrii consiliului de administratie, conducatorii institutiei de credit, auditul intern, auditorul financiar al institutiei de credit si BNR; b)avizarea statutului auditului intern al instituţiei de credit, a planului de audit al acesteia si a necesarului de resurse aferente acestei activitati; c)asigurarea relatiei cu auditorul financiar al instituţiei de credit, in sensul primirii planului de audit si analizarii constatarilor si recomandarilor acestuia, precum si ale altor organe de supraveghere si control din interiorul sau din afara instituţiei de credit, respectiv ale Bancii Nationale a Romaniei; d)analiza constatarilor si recomandarilor auditului intern si a planurilor conducerii institutiei de credit, in vederea formularii de propuneri corespunzatoare, pentru implementarea acestora. Pentru aducerea la indeplinire a atributiilor prezentate, comitetul de audit se intruneste in sedinte semestrial, de regula in ultima luna din cadrul acestuia si ori de cate ori este nevoie. In cadrul sedintelor comitetului de audit al instituţiei de credit, se va pune accentul cel putin pe urmatoarele aspecte: a)functionarea sistemului de control intern si a activitatii de audit intern; b)activitatile afectate de riscuri ce urmeaza a fi analizate in anul respectiv in cadrul angajamentelor de audit si ale auditorului financiar al institutiei de credit; c)corectitudinea si credibilitatea informatiilor furnizate conducerii si utilizatorilor externi; d)conformarea instituţiei de credit, cu prevederile cadrului legal, cu actul constitutiv si cu normele stabilite de consiliul de administratie. Urmare sedintelor, comitetul de audit intocmeste o informare cu privire la problemele dezbatute si analizate, concluziile desprinse si propunerile facute, pe care o prezinta semestrial consiliului de administratie. Comitetul de audit asista consiliul de administratie in indeplinirea atributiilor ce ii revin. Comitetul de audit, poate formula recomandari adresate consiliului de adminstratie privind strategia si politica institutiei de credit in domeniul controlului intern, auditului intern si auditului financiar, precum si pentru numirea auditorului financiar al acesteia. Comitetul de audit primeste si analizeaza Rapoartele care se intocmesc anual asupra conditiilor in care se desfasoara controlul intern si administrarea riscurilor; Comitetul de audit are acces la orice date sau inregistrari necesare indeplinirii atributiilor ce ii revin, in care sens, structurile functionale ale instituţiei de credit , sunt obligate sa-i asigure accesul la datele respective ş.a.
7
1.4 Standardele de audit intern Standardele internaţionale de audit intern se vor aplica şi în România sub denumirea de Standarde de audit intern, la care se adaugă Normele profesionale ale activităţii de audit intern elaborate de CAFR. Scopul Standardelor de audit intern este: 1. să contureze principiile de baza care reprezinta practica de audit intern asa cum trebuie ea sa fie. 2. să furnizeze un cadru general de realizare si sustinere a unei game largi de activitati de audit intern care genereaza o valoare adaugata. 3. să functioneze ca un cadru de referinta pe baza caruia se evalueaza rezultatele auditului intern. 4. să stimuleze îmbunatatirea proceselor si operatiunilor organizatiei. Standardele internaţionale de audit intern cuprind: • Standarde de Calificare, • Standarde de Performanta si • Standarde de Implementare. Standardele de Calificare vizeaza caracteristicile organizatiilor si ale participantilor ce desfasoara activitati de audit intern. Standardele de Performanta descriu tipul activitatilor de audit intern si ofera criterii calitative în functie de care sa fie evaluate rezultatele prestarii acestor servicii. Standardele de Calificare si cele de Performanta se aplica tuturor activitatilor de audit intern şi există un sigur set de Standarde de Calificare si de Performanta. Standardele de Implementare se aplica numai anumitor tipuri de misiuni. Exista mai multe seturi de Standarde de Implementare: câte un set pentru fiecare tip principal de activitate de audit intern. Standardele de Implementare au fost stabilite pentru activitati de asigurare (A) si de consiliere (C). Misiunile de asigurare implica evaluarea obiectiva a probelor de catre auditorul intern, în vederea formularii unei opinii independente sau a unor concluzii privind un proces, sistem sau alt subiect supus auditului. Tipul si sfera de cuprindere a misiunilor de asigurare sunt stabilite de catre auditorul intern. În general, sunt implicate trei entitati în misiunile de asigurare: (1) persoana sau grupul implicat direct în procesul, sistemul sau subiectul auditat – responsabilul pentru proces, (2) persoana sau grupul care efectueaza evaluarea – auditorul intern, (3) persoana sau grupul care utilizeaza rezultatul evaluarii – beneficiarul misiunii. Misiunile de consiliere au un caracter consultativ si se desfasoara în general la cererea expresa a beneficiarului misiunii. Tipul si sfera de cuprindere a serviciilor de consiliere sunt stabilite de comun acord cu beneficiarul misiunii. Misiunile de consiliere implica în general doua entitati: (1) persoana sau grupul care ofera consiliere – auditorul intern si (2) persoana sau grupul care solicita si primeste consiliere – beneficiarul misiunii. În îndeplinirea misiunilor de consiliere, auditorul intern trebuie sa îsi pastreze obiectivitatea si sa nu îsi asume responsabilitatea conducerii. Îmbunatatirea si publicarea Standardelor este un proces continuu. Consiliul de Standardizare a Auditului Intern poarta consultari si discutii înainte de publicarea Standardelor. Acestea includ solicitari catre publicul din întreaga lume de a trimite puncte de vedere cu privire la proiectul de standarde în dezbatere. Toate proiectele în dezbatere sunt afisate pe site-ul IIA si sunt trimise tuturor filialelor IIA. (Institutul Auditorilor Interni) 8
Conform IIA, desi pot exista diferente privind practica auditului intern în fiecare dintre aceste medii, este esential sa se respecte Standardele Internationale pentru Practica Profesionala a Auditului Intern, pentru ca responsabilitatile auditorilor interni sa fie îndeplinite. Daca auditorii interni sunt îngraditi de legislatie sau regulamente si, drept urmare, nu pot respecta anumite parti ale Standardelor, ei trebuie sa respecte toate celelalte sectiuni ale Standardelor si sa declare neconformitatea produsa.
9
Capitolul 2 Desfăşurarea activităţii de audit intern
Banca isi va organiza activitatea de audit intern, astfel incat aceasta sa contribuie la indeplinirea obiectivelor sale, prin prezentarea unei abordari sistematice si disciplinate de evaluare si imbunatatire a eficientei sistemului de control intern, procesului de administrare a riscurilor si proceselor de conducere, in cadrul unor angajamente de audit, potrivit statului auditului intern. Desfăşurarea unui audit intern bancar presupune parcurgerea principalelor etape : 1. planificarea activităţii de audit intern 2. obiectivele activităţii de audit intern 3. declansarea misiunii de audit intern 4. colectarea probelor 5. elaborarea raportului de audit intern 6. valorificarea constatarilor misiunii de audit 7. urmarirea si raportarea rezultatelor activitatii de audit intern. 2.1 Planificarea activităţii de audit intern. Planul de audit Planul de audit intern se întocmeşte anual de către compartimentul de audit intern si se supune aprobării Consiliului de administraţie al bancii. Acest plan poate fi modificat sau completat la propunerea compartimentului de audit intern sau la iniţiativa conducerii bancii, ori de cate ori apar indicii sau sunt circumstanţe care semnifica apariţia unor noi riscuri interne sau de sistem, sau alte elemente decizionale. La întocmirea planului de audit intern se va tine seama si de o serie de criterii care pot orienta componenta sau structurarea planului in anumite direcţii. Aceste criterii sunt de natura sa evidentieze situaţii negative acute sau cu potenţial de acutizare in anul pentru care se elaborează planul de audit intern. Câteva dintre aceste criterii-semnal sunt: a) deficientele constatate in rapoartele de audit anterioare; b) deficiente consemnate in actele de control incheiate de inspectorii Băncii Naţionale a României; c) informatii si indicii deţinute sau obţinute cu privire la disfunctionalitati sau abateri, altele decât cele de natura legalităţii si regularităţii; d) aprecieri ale unor specialişti, experţi etc., cu privire la structura si dinamica unor riscuri interne sau de sistem; e) analiza unor trenduri pe termen lung privind unele aspecte ale funcţionarii sistemului. Planul de audit trebuie sa cuprinda termenele si frecventa angajamentelor de audit precum si o situatie referitoare la resursele necesare, inclusiv cele de personal. Planul de audit intern are in vedere metodologia de administrare a riscurilor, iar analiza riscurilor se va referi la toate activitatile bancii si la sistemul de control intern inclusiv la sucursale şi agenţii. PlanuI de audit va cuprinde urmatoarele elemente: • tema misiunii de audit, • denumirea structurii auditate, • unitatea auditata, • perioada supusa auditarii, • perioada desfasurarii misiuni de audit si • numarul de auditori participanti la angajamentul de audit. 10
Auditorul trebuie să planifice şi să desfăşoare un angajament de audit cu o atitudine de scepticism profesional. O atitudine de scepticism profesional înseamnă că auditorul realizează o evaluare critică, în mod circumspect, a validităţii unei probe de audit obţinute şi este atent la acele probe de audit care contrazic sau pun la îndoială credibilitatea documentelor sau a declaraţiilor conducerii. De exemplu, o atitudine de scepticism profesional este necesară pe parcursul unui proces de audit pentru ca auditorul să reducă riscul eludării circumstanţelor suspicioase, al generalizării excesive în momentul concluziilor desprinse din observaţiile de audit, precum şi riscul utilizării unor premise greşite la determinarea naturii, duratei şi întinderii procedurilor de audit şi la evaluarea rezultatelor acestora. În planificarea şi desfăşurarea unui angajament de audit, auditorul nu trebuie să presupună că managementul este lipsit de onestitate, dar nici să plece de la premisa unei onestităţi incontestabile. În consecinţă, declaraţiile din partea conducerii nu trebuie să substituie obţinerea de probe de audit suficiente şi adecvate care să dea posibilitatea conturării concluziilor rezonabile pe care să se fundamenteze opinia de audit. Dobândirea cunoaşterii clientului Obţinerea cunoaşterii activităţilor băncii cere unui auditor să înţeleagă: • structura de guvernanţă corporativă a băncii; • mediul economic şi de reglementare dominant pentru principalele ţări în care banca îşi desfăşoară activitatea;şi • condiţiile de piaţă existente în fiecare dintre sectoarele importante în care operează banca. Auditorul obţine şi păstrează o bună cunoaştere a produselor şi serviciilor pe care le oferă banca. În acest sens, auditorul trebuie să fie conştient de variaţiile multiple care se înregistrează la nivelul serviciilor fundamentale de constituire a depozitelor, de împrumuturi şi de trezorerie care sunt oferite şi pe care băncile continuă să le îmbunătăţească pentru a veni în întâmpinarea cerinţelor pieţei. Auditorul obţine o înţelegere a naturii serviciilor prestate prin intermediul unor instrumente cum ar fi acreditivele, scrisorile de acceptare, contractele futures pe rata dobânzii, contractele forward şi swap, opţiunile şi alte instrumente similare în vederea înţelegerii riscurilor inerente şi a implicaţiilor contabile, de audit şi de prezentare ale acestora. Dacă banca utilizează prestatori de servicii pentru a furniza servicii sau activităţi de bază, cum ar fi decontarea în numerar şi decontarea titlurilor de valori, activităţi de back-office sau servicii de audit intern, atunci responsabilitatea conformităţii cu regulile, normele de reglementare şi controalele interne solide revine persoanelor însărcinate cu guvernanţa şi conducerii băncii care apelează la servicii externe. Auditorul ia în considerare restricţiile legale şi cele impuse de reglementare şi obţine o înţelegere a modului în care conducerea şi persoanele însărcinate cu guvernanţa monitorizează funcţionarea eficientă a sistemului de control intern. Există o serie de riscuri legate de activităţile bancare care, deşi nu sunt specifice doar sectorului bancar, sunt suficient de importante pentru a da o imagine despre activitatea bancară. Auditorul obţine o înţelegere a naturii acestor riscuri şi a modului în care banca le gestionează. Această înţelegere permite auditorului să evalueze nivelurile riscului inerent şi al riscului de control asociate diferitelor aspecte ale operaţiunilor unei bănci şi să determine natura, durata şi întinderea procedurilor de audit. Riscurile bancare cresc o dată cu gradul de concentrare al expunerii unei bănci pe un singur client, industrie, arie geografică sau ţară. De exemplu, portofoliul de credite al unei bănci poate conţine un mare volum de credite sau angajamente acordate unor anumite sectoare de activitate, iar altele, cum ar fi sectorul imobiliar, de transporturi navale şi de resurse naturale pot avea practici foarte specializate. Evaluarea riscurilor relevante aferente creditelor acordate entităţilor din acele sectoare de activitate poate necesita cunoaşterea respectivelor sectoare, inclusiv a practicilor de afaceri, operaţionale şi de raportare ale acestora. 11
Cele mai multe tranzacţii presupun mai mult decât un risc dintre cele „comune” specifice băncii. Aceste riscuri individuale pot fi corelate între ele. Auditorul ia în considerare aceste corelaţii atunci când analizează riscurile la care este expusă o bancă. Băncile pot fi supuse la riscuri care apar din natura acţionariatului lor, de exemplu, acţionarul sau un grup de acţionari ai unei bănci pot încerca să influenţeze alocarea creditelor. Auditorul trebuie să înţeleagă astfel de riscuri, inclusiv altele influenţate şi de alţi factori externi. Riscul operaţional este unul dintre cele mai importante riscuri de care auditorul ar trebui să ţină seama. Factorii care contribuie în mod semnificativ la riscul operaţional includ următoarele: • nevoia derulării, cu precizie, a unui volum mare de tranzacţii într-o perioadă scurtă de timp. Această necesitate poate fi satisfăcută aproape întotdeauna prin utilizarea la scară largă a IT, atrăgând după sine riscuri din: - insuccesul procesării tranzacţiilor executate în timp util, având ca urmări imposibilitatea primirii sau efectuării de plăţi pentru acele tranzacţii; - incapacitatea de a derula în mod corect tranzacţii complexe; - denaturări la scară largă ivite dintr-o lipsă a funcţionării controlului intern; - pierderea de date cauzată de o cădere a sistemului; - alterarea datelor datorită unei intervenţii neautorizate în sistem; şi - expunerea la riscurile de piaţă generate de lipsa informaţiilor corecte şi la zi. • necesitatea utilizării transferului electronic de fonduri sau al altor sisteme de telecomunicaţii pentru a transfera proprietatea asupra unor sume mari de bani, cu riscul aferent de expunere la pierderi apărute din plăţi efectuate unor alte părţi, prin intermediul fraudei sau al erorilor. • derularea operaţiunilor în mai multe locuri, având ca urmare o dispersare geografică a procesării şi controlului intern al tranzacţiilor. Drept urmare: - există riscul ca expunerea băncii pe client şi pe produs să nu fie corespunzător agregată şi monitorizată; şi - pot apărea eşecuri ale controlului care pot rămâne nedetectate sau necorectate din cauza separării fizice survenite între conducere şi aceia care se ocupă de tranzacţii. • necesitatea monitorizării şi rezolvării expunerilor importante care pot apare pe perioade scurte de timp. Procesul de clearing în cazul tranzacţiilor poate duce la apariţia creanţelor şi datoriilor pe parcursul unei zile, majoritatea dintre acestea fiind decontate până la sfârşitul zilei. De obicei, acest risc este denumit risc de plată din ziua în curs. Aceste expuneri se ivesc în urma derulării de tranzacţii cu clienţi sau parteneri şi pot include riscuri ale ratei dobânzii, riscurile valutare şi riscuri de piaţă. • administrarea unui volum mare de elemente monetare, incluzând numerar, instrumente negociabile şi solduri transferabile ale clienţilor, cu riscul rezultant de apariţie a pierderilor din furt şi fraudă comise de angajaţi sau alte părţi; • volatilitatea şi complexitatea inerentă a mediului în care băncile îşi desfăşoară activitatea, care dau naştere la riscul de adoptare a unor strategii neadecvate de gestionare a riscurilor sau a unor tratamente contabile asociate unor probleme de genul dezvoltării de noi produse şi servicii bancare. • pot fi induse restricţii de operare ca urmare a incapacităţii de conformitate cu legile şi normele de reglementare. Operaţiunile din străinătate sunt supuse legilor şi normelor de reglementare existente în ţările în care acestea au sediul, precum şi celor existente în care ţara în care societatea mamă are sediul social. Această situaţie poate avea drept rezultat necesitatea de a adera la diferite cerinţe şi un risc ca procedurile operaţionale care respectă normele de reglementare din unele jurisdicţii să nu respecte cerinţele existente în alte jurisdicţii.
12
Activităţile frauduloase se pot produce într-o bancă prin sau cu implicarea conştientă a conducerii sau a personalului băncii. Astfel de fraude pot include raportarea financiară frauduloasă fără motivaţia unui câştig personal (de exemplu, ascunderea pierderilor comerciale), sau delapidarea activelor băncii în folosul personal care poate implica sau nu falsificarea registrelor. În mod alternativ, frauda poate fi perpetuată într-o bancă fără cunoştinţa sau complicitatea angajaţilor băncii. Deşi multe domenii dintre operaţiunile unei bănci sunt susceptibile activităţilor frauduloase, cele mai des întâlnite au loc în cadrul funcţiilor de creditare, atragere a depozitelor şi tranzacţionare. Prin natura activităţii lor, băncile sunt ţinte uşoare pentru cei angajaţi în activităţi de spălare a banilor prin care încasările obţinute din săvârşirea de infracţiuni sunt convertite în fonduri care par a avea o sursă legitimă. În ultimii ani, în special traficanţii de droguri au contribuit într-o foarte mare măsură la amploarea fenomenului de spălare a banilor care are loc în interiorul sectorului bancar. În prezent, legislaţia cere băncilor să stabilească politici, proceduri şi controale care să deturneze, să recunoască şi să raporteze activităţile de spălare a banilor. Aceste politici, proceduri şi controale cuprind, în general, următoarele: • o cerinţă referitoare la obţinerea unei identificări a clientului („cunoaşterea clientului”). • selectarea personalului. • o cerinţă referitoare la cunoaşterea scopului în care urmează a fi folosit un cont. • păstrarea înregistrărilor tranzacţiilor. • raportarea către autorităţi a tranzacţiilor suspicioase sau a tuturor tranzacţiilor de un anume fel, de exemplu, tranzacţiile în numerar ce depăşesc o anumită sumă. • educarea personalului în vederea identificării tranzacţiilor suspicioase. În plus, auditorii pot avea sau nu o obligaţie expresă de a raporta autorităţilor anumite tipuri de tranzacţii care le atrag atenţia. (de exemplu, un auditor descoperă un caz posibil de neconformitate cu legile sau normele de reglementare). 2.2 Declanşarea misiunii de audit intern Misiunea de audit intern, reprezintă monitorizarea si evaluarea la fata locului a eficacitatii controlului intern, controlului administrativ, evaluarea modului de aplicare a procedurilor de administrare a riscurilor semnificative, analiza relevantei si integritatii datelor furnizate de sistemele informationale inclusiv sistemul informatic, precum si evaluarea acuratetei si credibilitatii sistemelor informatice.Totodata urmareste modul in care se asigura protejarea elementelor patrimoniale bilantiere si extrabilantiere, gradul de adecvare a nivelului fondurilor proprii, testarea a operatiunilor si a functionarii procedurilor specifice de control, a modului in care sunt respectate dispozitiile cadrului legal. Misiunea de audit este efectuata de o structura specializata din bancă, respectiv compartimentul audit intern. O misiune de audit intern mai poate fi generata si de: a) sesizarea cu privire la efectuarea de operaţiuni pe propria răspundere a conducătorului unităţii, fara viza de control financiar preventiv; b) indicii sau informatii de orice natura, ale unor abateri de la legalitate sau regularitate in efectuarea de operaţiuni, desfăşurarea de activităţi sau realizarea de acţiuni, respectiv: • sesizari din interiorul sau exteriorul sistemului auditat; • autosesizari ale organelor de inspecţie; • concluzii din acte de audit anterioare, din alte acte de control din cadrul sistemului, sau ale Băncii Naţionale a României; 13
• •
informatii din mass media; orice alte indicii relevante.
4.Colectarea probelor Consta in asigurarea unei baze de documentare relevante si rezonabile pentru formularea concluziilor auditorilor. Colectarea informatiilor si probelor de audit trebuie facuta in concordanta cu obiectivele fixate si vor sta la baza constatarilor, concluziilor si propunerilor pentru inlaturarea eventualelor deficiente. In acest scop, auditorii efectueaza testarile si procedurile stabilite in programul de audit, apreciaza daca probele obtinute sunt suficiente, relevante si complete, colecteaza documente care sa serveasca la argumentarea concluziilor. 5,6,7 Elaborarea raportului de audit intern, valorificarea constatarilor misiunii de audit, urmarirea si raportarea rezultatelor activitatii de audit intern.
Capitolul 3 Probele de audit
3.1 Probele de audit în auditul financiar Baza oricărui audit o constituie informaţiile probante acumulate şi evaluate de către auditor. Auditorul trebuie să dispună de cunoştinţele şi aptitudinile necesare pentru a colecta în cadrul auditului suficiente probe temeinice astfel încât să se conformeze standardelor. Definiţie probe Probele sunt definite ca orice informaţii utilizate de auditor în scopul de a determina dacă datele supuse auditului sunt prezentate în conformitate cu anumite criterii prestabilite. Informaţiile probante sunt foarte diferite prin prisma gradului în care pot convinge auditorul că situaţiile financiare sunt prezentate în conformitate cu principiile contabile general acceptate. Probele cuprind informaţii foarte concludente cum ar fi cele rezultate din inventarierea certificatelor de depozit cu dobândă fixă făcută de către auditor dar şi informaţii mai puţin concludente cum ar fi răspunsurile date la întrebările puse angajaţilor. Deciziile privind probele de audit O decizie majoră cu care se confruntă orice auditor este de a determina tipurile şi cantităţile adecvate de probe pe care trebuie să le colecteze pentru a se putea convinge că toate elementele situaţiilor financiare sunt adecvat prezentate. Ansamblul deciziilor unui auditor în ceea ce priveşte colectarea probelor poate fi descompus în 4 categorii: 1. Ce procedură de audit trebuie să se utilizeze 2. Ce dimensiune trebuie să aibă eşantionul selectat pentru aplicarea unei anumite proceduri. 3. Ce elemente trebuie extrase din populaţia supusă analizei. 4. Când să se desfăşoare procedura. Concludenţa probelor Auditorul trebuie să colecteze suficiente probe temeinice pentru a justifica opinia exprimată. Cei doi factori care determină concludenţa probelor sunt temeinicia şi suficienţa. 14
1.Temeinicia probelor se referă la măsura în care probele pot fi considerate plauzibile sau demne de încredere. Se mai utilizează în practică şi termenul de fiabilitate a probelor ca sinonim al noţiunii de temeinicie. Temeinicia probelor se aplică numai procedurilor de audit alese. Temeinicia nu poate fi îmbunătăţită prin selectarea unui eşantion de dimensiuni mai mari. Ea poate fi ameliorată numai prin selectarea acelor proceduri de audit în care nivelul calitativ al următoarelor caracteristici ale unor probe temeinice este mai înalt. Relevanţa. Relevanţa poate fi analizată numai prin prisma obiectivelor specifice ale auditului. Probele pot fi relevante pentru un anumit obiectiv al auditului dar nu pot fi relevante pentru un altul Independenţa sursei. Probele obţinute dintr-o sursă din afara entităţii auditate sunt mai fiabile decât cele colectate în interiorul ei. Eficacitatea controlului intern. Când mecanismele de control intern sunt eficace probele colectate sunt considerate mai fiabile decât dacă aceste mecanisme ar fi nesatisfăcătoare. Informarea directă a auditorului. Probele obţinute de către auditor în mod direct prin examinare fizică, observare, calcul şi inspectare sunt mult mai temeinice decât informaţiile obţinute pe căi indirecte. Calificarea persoanelor care furnizează informaţiile Chiar dacă sursa de informaţii este independentă probele nu vor fi fiabile decât dacă persoana care le furnizează este calificată să facă acest lucru. Gradul de obiectivitate. Probele obiective sunt mult mai fiabile decât cele care necesită o doză considerabilă de raţionament subiectiv pentru a determina dacă sunt corecte sau nu. Oportunitatea. Oportunitatea probelor de audit se poate referi fie la momentul în care aceste probe sunt colectate, fie la perioada la care se referă auditul. De obicei probele referitoare la conturile bilanţiere sunt mult mai fiabile atunci când sunt colectate cât mai aproape posibil de data încheierii bilanţului. 2.Suficienţa probelor este determinată în principal de dimensiunea eşantionului selectat de auditor. Pentru o anumită procedură, probele obţinute de pe un eşantion de 200 cazuri vor fi de regulă mai suficiente decât cele obţinute pe baza unui eşantion de 100 de cazuri. Efectul combinat. Concludenţa probelor poate fi evaluată numai după o analiză combinată a temeiniciei şi suficienţei lor ţinându-se cont de impactul factorilor care influenţează aceste două caracteristici. Tipurile de informaţii probante utilizate în audit. În procesul deciziei referitoare la procedura de audit care trebuie utilizată, auditorul poate alege 7 categorii de probe: 1. Examinare fizică 2. Confirmare 3. Documentare 4. Observare 5. Chestionarea salariatului 6. Reconstituire 7. Proceduri analitice 15
1. Examinare fizică reprezintă inspectarea sau inventarierea de către un auditor a unui ansamblu de active corporale, materiale, mijloace băneşti, imobilizări corporale. 2. Confirmarea descrie primirea unui răspuns scris sau oral din partea unei terţe părţi independente care confirma acurateţea informaţiilor care au fost solicitate de auditor. 3. Documentarea reprezintă examinarea de către auditor a documentelor şi evidenţelor unităţii în scopul de a justifica informaţiile care sunt sau ar trebui incluse în situaţiile financiare. 4. Observarea este rareori suficientă deoarece există riscul ca personalul unităţii implicat în activităţile respective să fie conştient de prezenţa auditorului. 5. Chestionarea (interogarea) reprezintă obţinerea unei informaţii scrise sau orale ca răspuns la întrebările puse de auditor (această tehnică nu poate fi concludentă deoarece informaţiile pot fi manipulate în favoarea unităţii). 6. Reconstituirea presupune revizuirea unui eşantion de calcule şi transferuri de informaţii făcute de unitate în cursul perioadei supuse auditului. Reconstituirea calculelor se face pentru a testa corectitudinea matematică a operaţiunilor. 7. Procedurile analitice utilizează comparaţii şi indicatori în scopul de a determina dacă soldurile conturilor sau alte date par rezonabile. Procedurile analitice sunt definite în literatura de specialitate ca fiind evaluări ale informaţiilor financiare, făcute printr-un studiu al relaţiilor plauzibile între date financiare şi nefinanciare implicând comparaţii între sumele înregistrate şi previziunile făcute de auditor. Costurile pe tipuri de probe Examinarea fizică şi conformarea sunt două din cele mai costisitoare tipuri de probe deoarece necesită în mod normal prezenţa auditorului la inventarierea activelor, sau auditorul trebuie să aplice proceduri foarte riguroase în cursul întocmirii formulatului de conformare, al trimiterii lui şi recepţionării răspunsului. Documentarea şi procedurile analitice sunt moderat costisitoare. Cele mai ieftine 3 tipuri de probe sunt observare, chestionarea şi reconstituirea. 3.2 Foile de lucru Foile de lucru – reprezintă evidenţe ţinute de auditor în care se consemnează procedurile aplicate, testele efectuate, informaţiile obţinute şi concluziile pertinente pe parcursul auditului. Foile de lucru ar trebui să cuprindă toate informaţiile pe care auditorul le consideră necesare pentru realizarea auditului de manieră adecvată şi pentru justificarea raportului de audit. Din ce în ce mai mult foile de lucru sunt ţinute sub forma unor fişiere electronice. Mai concret, foile de lucru în măsura în care se referă la auditul anului în curs oferă o bază pentru planificarea auditului, o evidenţă a probelor acumulate şi a rezultatelor testelor făcute, o colecţie a datelor necesare determinării tipului de raport adecvat precum şi o bază de verificare ulterioară. Foile de lucru cuprind informaţii de planificare foarte diverse cum ar fi o descriere a controlului intern, un buget al timpului pentru diversele sfere auditate, programul de audit şi rezultatele auditului din anul precedent. 16
Foile de lucru reprezintă principalul instrument prin care se poate justifica faptul că s-a făcut un audit adecvat în conformitate cu standardele general acceptate. Foile de lucru reprezintă o sursă importantă de informaţii care îl ajută pe auditor să decidă asupra raportului de audit pe care ar trebui să-l admită dintr-un set dat de circumstanţe. Mai mult foile de lucru conţin informaţii necesare în procesul de întocmire a situaţiilor financiare. Ele sunt o sursă de informaţii pentru emiterea de comunicate la adresa comitetului de audit şi a managementului unităţii pe diverse teme, precum carenţele controlului intern sau recomandări referitoare la activitatea de exploatare. Foile de lucru sunt confidenţiale. Întocmirea unor foi de lucru bine organizate pentru un audit Există o logică foarte clară după care sunt alese tipurile de foi de lucru întocmite pentru un audit şi după care se orientează modul în care aceste documente sunt clasificate în dosare şi fişiere. Conţinutul şi organizarea foilor de lucru: Dosare permanente – au fost create pentru a conţine date cu caracter istoric sau continuu legate de auditul în curs şi cuprind următoarele: - Extrase sau copii ale unor documente de importanţă permanentă referitoare la unitate, statut, regulamente interne, adunarea generală, consiliul de administraţie şi contractele; - Analizele din anii precedenţi asupra conturilor care au o importanţă continuă pentru auditor; - Informaţii legate de înţelegerea controlului intern şi evaluarea riscului de control. Printre acestea se numără organigrame, diagrame secvenţiale, chestionare şi alte informaţii privind controlului intern, inclusiv enumerarea mecanismelor de control şi neajunsurile sistemului de control. - Rezultatele procedurilor analitice din auditele anilor precedenţi. Dosarele curente cuprind toate foile de lucru corespunzând exerciţiului contabil supus auditului. Informaţiile generale Anumite foi de lucru cuprind informaţii privind exerciţiul în curs, care au mai curând un caracter general şi nu au scopul specific de a justifica anumite sume din situaţiile financiare. Exemplu: rezumate sau copii ale proceselor verbale ale şedinţelor Consiliului de administraţie, rezumate ale contractelor sau acordurilor care nu au fost incluse în dosarele permanente, notiţe pe marginea discuţiilor cu salariaţii, concluzii cu caracter general, documentarea evaluării riscului de control. Foile de lucru sub formă de tabele anexe Cea mai mare parte a foilor de lucru constă în tabele anexe întocmite de unitate sau de auditori pentru a justifica anumite situaţii financiare. Utilizarea tipului potrivit de tabel pentru un anumit aspect al auditului este necesară pentru documentarea caracterului adecvat al auditului şi pentru executarea altor funcţii ale foilor de lucru. 17
Documentare externă. O mare parte din conţinutul foilor de lucru constă din documente externe arhivate de auditor, răspunsuri la scrisorile de confirmare şi copiile acordurilor semnate de unitate. Întocmirea foilor de lucru. Întocmirea corespunzătoare a tabelelor care vor cuprinde probele de audit colectate şi concluziile deduse reprezintă o componentă importantă a auditului. Foile de lucru ar trebui să aibă o serie de caracteristici printre care: - Fiecare foaie de lucru ar trebui să aibă un titlu corespunzător în care să fie incluse informaţii precum numele unităţii, perioada acoperită, o descriere a conţinutului, data întocmirii şi un cod de referinţă pentru indexare. - Foile de lucru trebuie indexate şi îndosariate pentru a ajuta la organizarea şi arhivarea lor. - Foile de lucru în formă finală trebuie să indice clar lucrările de audit efectuate. Această cerinţă poate fi realizată prin 3 modalităţi: a) printr-o declaraţie scrisă sub forma unei note interne; b) prin înscrierea iniţialelor personale în dreptul procedurilor de audit din programul auditului; c) adnotările înscrise direct pe tabelele care compun foile de lucru. Fiecare foaie de lucru trebuie să cuprindă suficiente informaţii pentru a răspunde scopurilor pentru care a fost întocmită. - Concluziile la care s-a ajuns în ceea ce priveşte segmentul auditat analizat trebuie să fie clar formulate.
18
Capitolul 4 Riscurile în auditul financiar
Pragul de semnificaţie şi riscurile Expresia “să obţinem o asigurare rezonabilă” are scopul de a informa utilizatorul că auditorul nu garantează sau nu oferă o asigurare totală privind prezentarea fidelă a situaţiilor financiare. Expresia comunică, că există un anumit risc ca situaţiile financiare să nu prezinte o imagine fidelă, chiar şi atunci când opinia auditului este fără rezerve. Expresia „nu conţine prezentări semnificativ eronate” are scopul de a informa utilizatorul că răspunderea auditorului este limitată la informaţiile financiare semnificative. Pragul de semnificaţie este important deoarece pentru auditor nu este practic să ofere asigurări privind sumele nesemnificative. Prin urmare semnificaţia şi riscul reprezintă două concepte fundamentale care sunt importante pentru planificarea auditului. Pragul de semnificaţie joacă un rol major în determinarea tipului adecvat de raport de audit care trebuie emis. Pragul de semnificaţie este definit astfel: Importanţa (gravitatea) unei omisiuni sau a unei prezentări eronate a informaţiilor contabile care, prin prisma circumstanţelor generale dă naştere unei probabilităţi ca raţionamentul unei persoane rezonabile care se bazează pe informaţiile respective să fi fost schimbat sau influenţat de omisiunea sau eroarea respectivă. Obligaţia auditului financiar este de a determina dacă situaţiile financiare conţin erori semnificative. Dacă determină că există o eroare semnificativă de prezentare a informaţiilor auditorul o va semnala astfel încât să poată fi făcută corectarea. În cazul în care unitatea refuză să corecteze situaţia, trebuie emisă o opinie cu rezerve sau o opinie nefavorabilă în funcţie de importanţa relativă a erorii (semnificaţia ei). În concluzie auditorul trebuie să cunoască extrem de bine modelul de aplicare al conceptului de prag de semnificaţie. Procesul aplicării conceptului de prag de semnificaţie urmează cinci paşi strâns corelaţi: Pasul 1. Pasul 2. Fixarea valorii preliminare a pragului de semnificaţie Repartizarea valorii preliminare a pragului de semnificaţie pe segmente de audit Planificarea profunzimii testelor
19
Pasul 3.
Pasul 4. Pasul 5.
Estimarea valorii totale a prezentărilor eronate din segment Evaluarea rezultatelor Estimarea valorii combinate a prezentărilor eronate Compararea estimării valorii combinate cu valoarea preliminară sau revizuită a pragului de semnificaţie.
Valoarea preliminară a pragului de semnificaţie este suma maximă în opinia auditorului, a prezentărilor eronate pe care le-ar putea conţine situaţiile financiare, fără a afecta deciziile utilizatorului rezonabil. Factorii care afectează evaluarea Pragul de semnificaţie este mai curând un concept relativ decât unul absolut . Exemplu: O eroare de o anumită magnitudine ar putea fi semnificativă pentru o unitate mică, în timp ce o eroare de aceeaşi valoare monetară ar fi nesemnificativă pentru o unitate mai mare. Pentru a evalua semnificaţia este nevoie de o bază de comparaţie Deoarece pragul de semnificaţie este relativ se impune găsirea unor termeni de comparaţie pentru a putea stabili dacă prezentările eronate sunt semnificative. Pe lângă selectarea unei baze de comparaţie principale este important să se decidă şi dacă prezentările eronate ar putea afecta de manieră semnificativă caracterul rezonabil al altor baze de comparaţie posibile cum ar fi totalul activului datoriile pe termen scurt şi fondurile proprii. Există şi factori calitativi care afectează semnificaţia. • Abaterile implicând fraude sunt, de obicei, mai importante decât erorile neintenţionate de valori identice, deoarece frauda este un indicator al onestităţii şi fiabilităţii managerilor sau a altor angajaţi implicaţi. • Erorile de prezentare care, în alte condiţii ar fi considerate minore ar putea deveni semnificative dacă ar avea posibile consecinţe rezultând din anumite obligaţii contractuale. (exemplu: Acordarea unui împrumut mai mare de 50% din fondurile proprii). • Erorile de prezentare care în alte condiţii ar fi considerate nesemnificative ar putea deveni semnificative dacă ele ar afecta tendinţa de evoluţie a profitului. Exemplu: dacă profitul obţinut a crescut cu 3% pe an în ultimii 5 ani dar profitul anului curent a scăzut cu 2%, această schimbare a tendinţei de evoluţie ar putea fi semnificativă. Recomandări privind pragul de semnificaţie 1. Totalul combinat al erorilor de prezentare din situaţiile financiare care depăşesc 10% este în mod normal considerat semnificativ. -Un total combinat sub 5% este considerat nesemnificativ în absenţa unor factori calitativi de influenţă. -Erorile de prezentare combinate cu valoarea situată între 5 – 10% impun utilizarea cea mai intensă a raţionamentului profesional pentru determinarea caracterului lor semnificativ. 20
2. Valoarea procentuală menţionată între 5% şi 10% trebuie determinată prin comparaţie cu o bază de referinţă adecvată. Pentru alegerea unei baze de comparaţie potrivite se recomandă următoarele două referinţe: a) Contul de rezultate. Valoarea combinată a erorilor de prezentare din contul de rezultate, ca regulă generală cuantificată în intervalul 5% - 10% din profitul operaţional înainte de impozitare. Intervalul de reper între 5% - 10% ar putea fi necorespunzător într-un an în care profitul este neobişnuit de mare sau mic. Când profitul operaţional al unui anumit an nu este considerat reprezentativ este dorit ca acesta să fie înlocuit de exemplu cu profitul operaţional mediu pe 3 ani. b) Bilanţul contabil. Valoarea combinată a erorilor de prezentare din bilanţul contabil ar trebui mai întâi determinată pentru activele circulante, datoriile pe termen scurt şi totalul activului. Pentru activele circulante şi datoriile pe termen scurt intervalul recomandat ar trebui să fie de 5% - 10% aplicat de aceeaşi manieră ca şi pentru contul de rezultate. Repartizarea valorii preliminare a pragului de semnificaţie Cei mai mulţi practicieni repartizează valoarea pragului de semnificaţie mai curând asupra conturilor bilanţiere decât asupra conturilor de rezultate, deşi cea mai mare parte a erorilor de prezentare din conturile de rezultate au un impact identic datorită sistemului contabilităţii în partidă dublă. Repartizarea pragului de semnificaţie asupra conturilor din bilanţul contabil este cea mai adecvată alternativă. În repartizarea semnificaţiei asupra conturilor bilanţiere apar 3 dificultăţi: (1) auditorul se aşteaptă ca anumite conturi să conţină mai multe abateri decât altele, (2) trebuie să se ţină cont de supraevaluare şi subevaluare (3) costurile relative ale auditului afectează acest proces de repartizare. Riscul. Principala tehnică prin care auditorul abordează riscul în cadrul planificării probelor unui audit este aplicarea modelului de risc pentru audit. Modelul de risc pentru audit este utilizat în principal în planificare în scopul luării deciziei privind cantitatea de probe de colectat în fiecare ciclu. RAA RDP = RI x RC R D P = risc de detectare planificat R A A = risc de audit acceptabil R I = risc inerent R C = risc de control RDP = 0,05 1,0 x 1,0 Tipuri de riscuri: 1.Riscul de detectare planificat – reprezintă o măsură a riscului ca probele de audit aferente unui segment să nu permită detectarea unor erori sau abateri a căror valoare depăşeşte o limită tolerabilă în cazul în care asemenea abateri sau erori există. 21 = 0,05 sau 5%
2.Riscul inerent – reprezintă o măsură a aprecierii pe care o face auditorul privind probabilitatea existenţei unor prezentări eronate semnificate (greşeli sau fraude) într-un segment suspus auditului, înainte de a estima eficacitatea mecanismelor controlului intern. Riscul inerent reflectă vulnerabilitatea situaţiilor financiare faţă de apariţia unor erori în ipoteza inexistenţei unui control intern. Relaţiile dintre riscul de detectare planificat, riscul inerent şi cantitatea planificată de probe poate fi rezumată astfel: - riscul inerent este invers proporţional cu riscul de detectare planificat şi direct proporţional cu cantitatea de informaţii probante. Un risc inerent mare pentru o anumită sferă auditată va determina o creştere a cantităţii de probe de acumulat. 3.Riscul legat de control – reprezintă o măsură a aprecierii pe care o face auditorul privind probabilitatea ca erorile cu o valoare depăşind limita tolerabilă a unui segment să nu fie preîntâmpinate sau detectate prin mecanismele de control intern ale unităţii. Riscul de control reprezintă (1) o apreciere a eficacităţii controlului intern al unităţii în ceea ce priveşte prevenirea sau detectarea erorilor şi (2) intenţia auditorului de a plasa această apreciere la un nivel sub pragul maxim (100%) în cursul planificării auditului. De exemplu dacă auditorul ajunge la concluzia că mecanismele de control intern sunt total ineficace în ceea ce priveşte detectarea erorilor, atunci va atribui un factor de risc mare poate chiar 100% riscului legat de control. 4.Riscul de audit acceptabil – reprezintă o măsură a gradului în care auditorul este dispus să accepte faptul că situaţiile financiare ar putea fi semnificativ eronate după închiderea auditului şi emiterea unei opinii fără rezerve. Când auditorul determină un nivel scăzut al riscului de audit acceptabil înseamnă că el vrea să fie mai sigur că situaţiile financiare nu sunt semnificativ eronate. Un risc zero ar însemna o certitudine perfectă, iar un risc 100% ar însemna incertitudine absolută. Factori care influenţează riscul de audit acceptabil Riscul economic este riscul ca auditorul să fie păgubit din cauza relaţiilor cu unitatea în ciuda faptului că raportul de audit întocmit a fost corect. De exemplu dacă unitatea dă faliment după ce un audit a fost realizat există posibilitatea intentării unui proces auditorului chiar dacă auditul făcut a fost de bună calitate. Există câţiva factori care afectează riscul economic şi drept urmare riscul de audit acceptabil şi anume: (1) măsura în care utilizatorii externi se bazează pe situaţiile financiare, (2) probabilitatea ca unitatea să se confrunte cu dificultăţi financiare după emiterea raportului de audit şi (3) integritatea managementului. 22
Metode utilizate de practicieni pentru a estima riscul de audit acceptabil
-Examinarea situaţiilor financiare inclusiv a notelor informative ale acestora -Citirea proceselor verbale ale şedinţelor consiliului de administraţie pentru a se determina care sunt planurile de viitor -Discutarea planurilor financiare cu managementul. -Analizarea situaţiilor financiare în scopul detectării dificultăţilor financiare prin utilizarea indicatorilor şi a altor proceduri analitice. -Examinarea situaţiilor istorice şi previzionale ale fluxurilor de trezorerie cu scopul determinării naturii intrărilor şi ieşirilor de mijloace băneşti. Aplicarea procedurilor referitoare la acceptarea unor noi clienţi şi continuarea colaborării cu cei existenţi.
Dependenţa utilizatorilor externi de situaţiile financiare
Probabilitatea apariţiei de dificultăţi financiare
Integritatea managementului
Factori care afectează riscul inerent 1-Natura activităţii 2-Factori legaţi de prezentările eronate care rezultă din raportarea financiară frauduloasă 3-Rezultatele auditelor anterioare 4-Faptul dacă este un audit iniţial sau unul repetat 5-Părţile afiliate 6-Operaţiunile cu caracter excepţional 7-Raţionamentul necesar pentru înregistrarea incorectă a soldurilor conturilor şi a operaţiunilor 8-Vulnerabilitatea activelor faţă de riscul de deturnare. 9-Componenţa populaţiei analizate. 1-Natura activităţii. Riscul inerent pentru anumite conturi poate fi dat de natura activităţii de exploatare, creanţe clienţi, credite acordate, mijloacele fixe. 2-Factori legaţi de prezentările eronate care rezultă din raportarea financiară frauduloasă 1. Caracteristicile managementului şi influenţa acestuia asupra mediului controlului 2. Circumstanţele de ramură 3. Caracteristicile activităţii de exploatare (operaţionale) şi stabilitatea financiară 3-Rezultatele auditelor anterioare. Erorile sau abaterile constatate în cursul auditului anului precedent prezintă o mare probabilitate de a se repeta şi în cursul auditului anului curent. Acest lucru se datorează faptului că numeroase tipuri de erori au o natură sistematică, iar unităţile sunt deseori „leneşe” în introducerea schimbărilor pentru eliminarea lor. 23
4-Audit iniţial sau repetat. Auditorul acumulează experienţă şi cunoştinţe privind probabilitatea apariţiei de erori sau abateri după ce auditează unitatea timp de mai mulţi ani consecutivi. Absenţa auditelor din anii precedenţi determină utilizarea unui risc inerent mai mare pentru un prim audit. 5-Părţile afiliate. Operaţiunile nu se produc între două părţi independente, care colaborează „pe principii de imparţialitate”, dar apare o posibilitate mai mare ca ele să fie prezentate greşit ceea ce determină o majorare a riscului inerent. 6-Operaţiunile cu caracter excepţional. Prezintă o probabilitate mai mare de a fi înregistrate greşit decât operaţiunile de rutină deoarece unitatea nu are experienţă în înregistrarea lor. Legătura dintre risc, pragul de semnificaţie şi probele de audit În audit, noţiunile de prag de semnificaţie şi risc sunt strâns legate şi inseparabile. Riscul este o măsură a incertitudinii (relativă), în timp ce pragul de semnificaţie este o măsură a dimensiunii sau măsurii (absolută). Luate împreună ele măsoară incertitudinea sumelor de o anumită mărime. Evaluarea rezultatelor Modelul de risc de audit utilizat pentru evaluarea rezultatelor auditului este formulat astfel: R A At = R I x R C x R D At unde: R A At = Risc de audit atins – Măsură a riscului pe care şi l-a asumat auditorul ca un cont din situaţiile financiare să conţină prezentări eronate semnificative după ce auditorul a colectat toate probele de audit. R I = Risc inerent R C = Risc de control R D At = Risc de detectare atins – O măsură a riscului că probele de audit aferente unui segment să nu permită detectarea prezentărilor eronate depăşind o sumă tolerabilă dacă asemenea prezentări eronate ar exista. Formula arată că există 3 modalităţi de a reduce riscul de audit atins până la un nivel acceptabil şi anume: 1. Reducerea riscului inerent. Această evaluare este făcută pe parcursul fazei de planificare şi rămâne de obicei neschimbată cu excepţia cazurilor în care pe măsura derulării auditului sunt descoperite noi informaţii. 2. Reducerea riscului de control. Riscul de control estimat este influenţat de mecanismele de control intern aplicate de unitate şi de testările acestor mecanisme efectuate de auditor. În cazul în care unitatea are un control intern eficace auditorul poate reduce riscul de control prin efectuarea unor testări mai aprofundate ale mecanismelor de control. 3. Reducerea riscului de detectare atins se face prin creşterea calităţii testelor de audit substanţiale.
24
Capitolul 5 Raportul de audit intern
Raportul de audit reprezintă una din etapele de final a întregului proces de audit şi are un rol esenţial deoarece el comunică verdictul auditorului. Auditorul poate fi tras la răspundere în cazul în care emite un raport de audit incorect. Fiecare acţiune de audit intern, se încheie după ce rezultatele sale au fost consemnate intr-un raport de audit semnat de persoanele care au exercitat acţiunea de audit si de persoanele care reprezinta unitatea/structura auditata . Actul constatator al misiunii de audit intern, se numeşte Raport de audit intern, care este un act bilateral, se întocmeşte in 2 exemplare, dintre care unul ramane la structura auditata, iar 1 exemplar, la auditorul care a efectuat misiunea. Raportul de audit este însoţit de acte, documente sau materiale probatoare care sa susţină concluziile si recomandarile intocmite de auditor. Trimestrial, pana la finalul lunii următoare trimestrului încheiat, compartimentul audit intern va transmite o informare sintetica Consiliului de administratie si conducerii bancii. Raportul de audit împreuna cu toate documentele anexate vor fi reunite intr-un dosar, care se arhivează si păstrează timp de 5 ani, in condiţiile legii. Raportul de audit se compune din trei parti. a) o prima parte o formeaza preambulul acestuia (partea introductiva), in care se mentioneaza data, locul incheierii, numele, prenumele auditorului numarul si data delegatiei (ordin de deplasare), principalele acte normative in baza carora s-a efectuat controlul, perioada supusa controlului, durata controlului, denumirea completa si adresa bancii cooperatiste controlate, datele de identificare ale persoanelor ce o reprezinta; b) o a doua parte cuprinde constatarile, prezentate in ordinea obiectivelor de control stabilite strucurate pe capitole, ansamblul abaterilor si deficientelor constatate, prevederile legale nerespectate, efectul acestora asupra activitatii unitatii verificate, persoanele facute raspunzatoare ca si masurile de remediere stabilite in timpul controlului. c) ultima parte, a treia (partea finala sau de incheiere) contine referiri cu privire la numarul de exemplare in care a fost intocmit raportul de audit si semnaturile persoanelor care au efectuat controlul, precum si ale persoanelor care angajeaza patrimonial prin semnatura unitatea controlata, destinatia, numarul de inregistrare de la unitatea controlata si precizarea ca documentele prezentate organelor de control au fost restituite. Inainte de formularea incheierii raportului, se va lasa sarcina conducerii unitatii verificate sa comunice, in cadrul termenului prevazut, compartimentului de audit intern, masurile luate pentru remedierea deficientelor constatate, indeplinirea sarcinilor inscrise in raport, inscriind totodata mentiunea ca ramane raspunzatoare conducerea unitatii in caz de nerealizare a sarcinilor inscrise in raportul de audit si de necomunicare a masurilor luate.
25
Valorificarea constatărilor misiunii de audit Recomandarile cuprinse in raportul de audit intocmit ca urmare a efectuarii angajamentului de audit devin obligatorii pentru structura auditata. Raportul poate include si stadiul indeplinirii recomandarilor aferente angajamentelor anterioare. Compartimentul audit intern trebuie sa stabileasca un proces de urmarire a implementarii recomandarilor, care sa permita monitorizarea si garantarea faptului ca masurile luate de management au fost implementate in mod eficient sau ca managementul a acceptat sa-si asume riscul de a nu intreprinde nici o masura. In cazul in care anumite informatii continute in raportul de audit (informatii privilegiate, legate de actiuni ilegale sau necorespunzatoare) nu este oportun sa fie cunoscute de catre toti beneficiarii unui astfel de raport, ele vor fi dezvaluite intr-un raport separat care va fi transmis Consiliului de administratie al bancii. In cazul in care se doreste comunicarea unor informatii ce necesita atentie imediata, a modificarii intinderii angajamentului sau informarea continua a conducatorilor structurii auditate asupra progreselor unui angajament ce se intinde pe o perioada mai mare se pot intocmi rapoarte intermediare. Conducerea structurii auditate va comunica in scris la termenele prevazute in planul de implementare a recomandarilor (anexa la raportul de audit), conducerii bancii modul de aducere la indeplinire a recomandarilor facute de auditul intern. Compartimentul de audit intern sintetizeaza notele de informare primite si raporteaza periodic semestrial stadiul de implementare a recomandarilor auditorilor interni subliniind cazurile de nerespectare a termenelor sau daca managementul a acceptat sa-si asume riscul de a nu intreprinde nici o masura. Urmărirea si raportarea rezultatelor activităţii de audit intern Auditorii întocmesc fişa de urmărire a recomandărilor şi verifică implementarea recomandărilor la termenele stabilite. Auditorii interni bancari intocmesc un raport anual privind angajamentele de audit desfasurate in timpul perioadei respective, din care sa rezulte constatarile si recomandarile făcute de auditul intern si modul de implementare a recomandarilor respective de catre conducerea structurii auditate. Raportul privind desfasurarea activitatii de audit intern la nivelul sucursalei bancii, urmeaza sa fie transmis Centralei Băncii in termen de câteva luni de la incheierea exercitiului financiar.
26
Capitolul 6 Noţiuni generale privind controlul intern bancar
Controlul intern, asa cum este definit de Norma B.N.R. si de Comitetul de la Basel, reprezinta un proces continuu la care participa consiliul de administratie, conducatorii, precum si personalul bancilor. Este subliniat astfel faptul ca nu este vorba doar despre o procedura sau o politica aplicata la un moment dat, ci de un cumul de actiuni desfasurate continuu la toate nivelurile bancii. Interesul acordat controlului intern si caracterului sau continuu este consecinta analizei cauzelor care au determinat înregistrarea de pierderi semnificative de catre unele banci; aceasta analiza a identificat lipsa unor sisteme de control intern adecvate ca fiind un determinant major al pierderilor. Concluzia trasa din aceste experiente a fost ca un sistem de control intern eficient ar fi putut preveni sau ar fi putut detecta din timp problemele care au dus la pierderi, ar fi putut limita amploarea acestora. Prin urmare, un sistem de control intern eficient reprezinta o componenta critica a gestionarii unei banci. Conform Regulamentului BNR nr18/2009, controlul intern este un proces continuu, destinat să furnizeze o asigurare rezonabilă pentru îndeplinirea obiectivelor de performanţă (eficacitatea şi eficienţa activităţilor desfăşurate), de informare (credibilitatea, integritatea şi furnizarea la timp a informaţiilor financiare şi ale celor necesare conducerii) şi de conformitate (conformarea cu legile şi reglementările aplicabile, precum şi cu politicile şi procedurile interne) şi care, pentru a fi eficace, necesită implementarea următoarelor 3 funcţii: funcţia de control al riscurilor, funcţia de conformitate şi funcţia de audit intern. Controlul intern include, de asemenea, organizarea contabilităţii, tratamentul informaţiilor, evaluarea riscurilor şi sistemele de măsurare a acestora.
Funcţiile fundamentale ale sistemului de control intern
Conform Regulamentului BNR 18 din 2009, în vederea implementării unui sistem de control intern eficace şi cuprinzător pentru toate domeniile de activitate ale unei instituţii de credit, aceasta trebuie să organizeze, cu luarea în considerare a celor 3 funcţii fundamentale ale sistemului de control intern: • funcţia de control al riscurilor, • funcţia de conformitate şi • funcţia de audit intern. Funcţiile sistemului de control intern trebuie să fie independente de liniile de activitate pe care acestea le monitorizează şi controlează. Ele nu pot fi externalizate. Funcţia de control al riscurilor este parte a funcţiei de administrare a riscurilor şi trebuie să asigure conformitatea cu politicile în domeniul riscurilor. Funcţia de control al riscurilor din cadrul instituţiilor de credit trebuie să ia în considerare toate riscurile pe care instituţia de credit le identifică prin intermediul procesului propriu de evaluare a riscurilor. În cadrul instituţiilor de credit cu o activitate complexă şi sofisticată, funcţia de control al riscurilor trebuie să monitorizeze fiecare risc semnificativ la care acestea sunt expuse. Instituţiile de credit trebuie să dispună de o funcţie de conformitate care are rolul de a asista organele cu funcţie de conducere în identificarea, evaluarea, monitorizarea şi raportarea riscului de conformitate asociat activităţilor desfăşurate de acestea. Organele cu funcţie de supraveghere ale instituţiei de credit au responsabilitatea de a supraveghea administrarea riscului de conformitate. 27
Instituţiile de credit trebuie să dispună de o funcţie de audit intern independentă, permanentă şi eficace, care are drept obiective: a) asigurarea că politicile şi procesele instituţiilor de credit sunt respectate în cadrul tuturor activităţilor şi structurilor; b) revizuirea politicilor, proceselor şi mecanismelor de control astfel încât acestea să rămână suficiente şi adecvate activităţii desfăşurate. Funcţia de audit intern are acces nelimitat la structura de conducere şi la comitetul de audit, precum şi la documente şi informaţii relevante din toate liniile de activitate şi este organizată potrivit reglementărilor emise de Camera Auditorilor Financiari din România. Funcţia de audit intern trebuie să permită structurii de conducere a instituţiei de credit să se asigure asupra calităţii controalelor interne, atât din punct de vedere al eficacităţii, cât şi al eficienţei acestora şi să aibă competenţa de a evalua orice funcţii externalizate. Instituţiile de credit trebuie să elaboreze statutul auditului intern. Pentru a nu fi afectată capacitatea de evaluare critică a auditorilor interni, ca urmare a rutinei şi executării permanente a aceloraşi sarcini, instituţiile de credit trebuie să asigure, în măsura posibilităţilor, rotirea acestora. Statutul auditului intern trebuie să prevadă dreptul de iniţiativă al auditorului intern şi autoritatea acestuia de a comunica cu orice membru din cadrul personalului instituţiei de credit, de a examina orice activitate, structură a instituţiei de credit, precum şi accesul acestuia la orice înregistrări, fişiere şi informaţii interne, inclusiv la informaţii destinate organelor cu funcţie de conducere, precum şi la procese-verbale şi alte materiale cu caracter similar ale tuturor organelor de decizie şi consultative, care prezintă relevanţă în îndeplinirea atribuţiilor sale. Structura de conducere a instituţiilor de credit poate, în situaţia în care pentru desfăşurarea angajamentelor de audit intern este necesară expertiză specială, pe baza unei fundamentări corespunzătoare, să ia decizia externalizării activităţii de audit intern în privinţa unor activităţi în sensul desfăşurării acesteia în coparticipare sau prin subcontractare. Desfăşurarea activităţii de audit intern în coparticipare se realizează utilizând pentru efectuarea angajamentelor de audit intern atât personalul propriu ce activează în cadrul funcţiei de audit intern, cât şi resurse externe. Desfăşurarea activităţii de audit intern pe bază de subcontractare are în vedere situaţiile în care un angajament de audit intern sau doar o parte a acestuia este realizată de către un partener extern, de obicei pentru o perioadă limitată de timp. În cazul externalizării activităţii de audit intern, organele cu funcţie de supraveghere şi organele cu funcţie de conducere rămân responsabile pentru adecvarea şi funcţionarea eficace a sistemului de control intern şi a auditului intern. Coordonatorul activităţii de audit intern trebuie să facă o evaluare a furnizorului extern în domeniul auditului intern, în vederea creării condiţiilor necesare pentru desfăşurarea corespunzătoare a activităţii de audit intern şi să prezinte propunea spre aprobarea structurii de conducere. Un bun control intern previne mai multe fraude decât ar putea descoperi vreodată un bun auditor.
28
Capitolul 7 Auditarea proceselor si tehnicilor de evaluare a riscurilor
In continuare vom prezenta doar riscurile care trebuie să fie urmărite şi care sunt recunoscute de către BASEL II şi preluate de către BNR. Astfel, auditorul intern trebuie să observe riscurile ce se pot manifesta la un moment dat în cadrul băncii pe fiecare departament şi global, nelimitându-se doar la un anumit risc care este caracteristic funcţiunii auditate. De exemplu, în cadrul departamentului de credite, la prima vedere, putem spune că ne vom întâlni doar cu riscul de credit, dată fiind denumirea departamentului care ne trimite la o astfel de abordare. Dar nimic nu este mai fals comparativ cu opinia emisă anterior. Aici, vom putea descoperi că şi riscul de dobândă, valutar sau chiar şi cel operaţional ar putea avea manifestări într-o măsură mai mare sau mai mică. În ceea ce priveşte riscul operaţional, există o graniţă foarte sensibilă între a determina dacă o pierdere este aferentă riscului operaţional sau celui de credit (ex. nerambursarea unui credit pentru că debitorul a prezentat la bancă documente false, acest eveniment fiind pus sub umbrela riscului operaţional). Pentru a avea în minte întreaga gamă de riscuri ce ar putea să apară la un moment dat în cadrul băncii, schema de mai jos este cât se poate de relevantă.(dupa Dedu Vasile, Curs audit bancar, Bucureşti):
29
În general, la sfârşitul anului, atunci când are loc un bilanţ al activităţii funcţiei audit intern pentru a stabili dacă planul pe anul respectiv a fost îndeplinit şi întocmirea planului de audit pentru anul viitor care va include şi eventualele misiuni nerealizate, coordonatorul departamentului de audit intern va întocmi o matrice de risc pentru fiecare departament care va avea ca rezultat o notă. Această notă va fi comparată cu intervalele prestabilite şi încadrată într-unul din ele care va specifica şi frecvenţa auditului pentru respectivul department (trimestrial, semestrial, anual, o dată la doi ani, trei ani, etc.) Indiferent de departamentul auditat, această matrice va trebui să conţină printre altele şi următoarele întrebări sau aspecte (dupa Dedu Vasile, Curs audit bancar, Bucureşti): I. Întrebări referitoare la evaluarea riscului. a. semnificaţia şi riscul inerent al departamentului • care este semnificaţia departamentului auditat în activitatea băncii? • cât de mare este probabilitatea ca riscul să crească sau ca riscuri adiţionale să apară datorită modificărilor în cadrul general al activităţii/afacerii? • există riscuri adiţionale datorită complexităţii activităţii băncii? b. tipuri de risc • Cât de mare este riscul de credit potenţial? • Cât de mare este riscul de piaţă potenţial? • Cât de mare este riscul operaţional potenţial (fără IT)? • Cât de mare este riscul potenţial în sfera IT? • Cât de mare este riscul potenţial generat de participări/ deţinerea de imobile? II. Întrebări referitoare la evaluarea controlului. a. Cadrul general • Sunt cunoscute în mod adecvat riscurile, controalele şi securitatea în rândul membrilor departamentului auditat? • Sunt definite clar interfaţele cu celelalte unităţi/parteneri de outsourcing? • Sunt definite clar responsabilităţile conducerii? • Sunt adecvate numărul, calificarea şi experienţa personalului în legătură cu activitatea departamentului auditat? • Realizarea sarcinilor este descrisă în cadrul unor politici scrise suficient de detaliate, relevante şi actualizate? • Se potrivesc clădirile şi echipamentele tehnice activităţii auditate? b. Gestiunea riscului - în special riscuri inerente
• Există instrumente/precauţii adecvate pentru a identifica, măsura, monitoriza şi controla riscurile? • Sunt limitele adecvate comparativ cu riscurile implicate? • Sunt utilizate metode adecvate pentru identificarea noilor riscuri şi deviaţiilor faţă de standard şi se acţionează adecvat? • Sunt limitate şi gestionate riscurile inerente activităţii auditate? Este conducerea bine informată despre expunerea la risc a unităţii în timp util şi o manieră adecvată? 30
c. Sistemul de control intern • Sunt controalele adecvate şi corect realizate în funcţie de aria de cuprindere şi complexitatea activităţii unităţii? • Este sistemul de control intern periodic revăzut şi modificat conform nevoilor mai ales în momentele de schimbare a mediului de afaceri? • Sunt definite controalele realizate ca intenţionate? • Sunt toate deficienţele abordate eficient şi rezolvate în timp util? d. Conformitatea cu reglementările interne şi externe • sunt respectate toate obligaţiile legale şi de supraveghere? • sunt însuşite toate procedurile şi politicile interne? • personalul şi directorii responsabili sunt familiari cu toate reglementările interne şi externe relevante? Pentru fiecare întrebare se pot întâlni 4 categorii de relevanţă pentru activitatea auditată. Acestea sunt: -nicio relevanţă, -relevanţă scăzută, -relevanţă normală şi -relevanţă mare. De asemenea, se atribuie pe acelaşi principiu note referitoare la riscul ce-l implică fiecare întrebare. Notele riscului sunt de la 1 la 4 şi au acelaşi înţeles ca şi relevanţa: 1-deloc, 2-scăzut, 3-normal, 4-mare. Combinând cele două rezultate, un program automat va determina nota generală pentru activitatea auditată care va fi folosită pentru determinarea frecvenţei auditului.
31
Teste grilă
Bibliografie
• • • • • • • • • • • • • Brezeanu Petre (coordonator), Audit financiar: repere metodologice, etice şi istorice, reglementări internaţionale (ISA) extrase, Editura Cavallioti, Bucureşti, 2008; Dedu Vasile, Gestiune şi audit bancar, Editura Economică, Bucureşti, 2003; Dedu Vasile, Curs audit bancar, Bucureşti, 2005; Dobroţeanu Camelia Liliana, Dobroţeanu Laurenţiu, Audit intern, Editura InfoMega, Bucureşti, 2007; Mihăescu Sorin, Controlul financiar-bancar, Editura Universităţii A.I.Cuza, Iaşi, 2007; Morariu Ana, Suciu Ghe., Stoian Flavia., Audit intern şi guvernanţă corporativă , Editura Universitară, Bucureşti, 2008; Niţu Ion, Control şi audit bancar, Editura Expert, Bucureşti, 2002; Norme şi legislaţie bancară; Norme bancare interne; Regulament BNR 18/2009 privind cadrul de administrare a activităţii instituţiilor de credit, procesul intern de evaluare a adecvării capitalului la riscuri şi condiţiile de externalizare a activităţilor acestora Roxin Luminiţa, Gestiunea riscurilor bancare, Editura Didactică şi Pedagogică R.A. Bucureşti,1997; http://www.aair.ro - site Asociaţia Auditorilor Interni din România http://www.cafr.ro – site Camera Auditorilor Financiari din România.
32
