O R D I N

privind aprobarea Normelor metodologice

de audit intern în sectorul public

 

nr. 105  din  15.07.2013

 

Monitorul Oficial nr.206-211/1430 din 20.09.2013

 

* * *

[Ordinul abrogat, cu excepţia instrucţiunilor suplimentare la fiecare normă, prin Ordinul Ministerului Finanţelor nr.161 din 17.12.2020, în vigoare 22.02.2021]

 

În conformitate cu art.29 litera b) din Legea privind controlul financiar public intern nr.229 din 23 septembrie 2010 (Monitorul Oficial al Republicii Moldova, 2010, nr.231-234, art.730),

ORDON:

1. Se aprobă Normele metodologice de audit intern în sectorul public (conform anexei).

2. Se abrogă Ordinul ministrului finanţelor nr.118 din 29 decembrie 2008 cu privire la aprobarea Normelor metodologice pentru implementarea auditului intern în sectorul public (Monitorul Oficial al Republicii Moldova, 2009, nr.12-15, art.49).

3. Prezentul ordin intră în vigoare la data publicării în Monitorul Oficial al Republicii Moldova.

 

 

 

Anexă

la Ordinul ministrului finanţelor

nr.105 din 15 iulie 2013

 

NORME METODOLOGICE DE AUDIT INTERN ÎN SECTORUL PUBLIC

 

I. DISPOZIŢII GENERALE

1. Cadrul normativ

1.1. Normele metodologice de audit intern în sectorul public (în continuare NMAISP) sînt elaborate în scopul realizării Ordinului ministrului finanţelor nr.113 din 12 octombrie 2012 cu privire la aprobarea Standardelor naţionale de audit intern (Monitorul Oficial al Republicii Moldova, 2012, nr.231-234, art.730).

1.2. Cerinţele pentru crearea unităţilor de audit intern (în continuare, UAI) sînt prevăzute în art.19 al Legii privind controlul financiar public intern nr.229 din 23 septembrie 2010 (în continuare, Legea CFPI).

1.3. Funcţionarea şi atribuţiile UAI sînt reglementate de Carta de audit intern (Regulament-model de funcţionare a unităţii de audit intern), în continuare, Carta, aprobată prin Ordinul ministrului finanţelor nr.139 din 20 octombrie 2010 (Monitorul Oficial al Republicii Moldova, 2010, nr.221-222, art.782).

2. Scopul NMAISP

2.1. NMAISP oferă îndrumarea metodologică necesară pentru aplicarea Standardelor naţionale de audit intern (în continuare, SNAI).

2.2. NMAISP oferă, atît reglementări obligatorii, cît şi recomandări suplimentare privind formularele-tip, exemple practice aferente normelor prezentate.

2.3. Recomandările suplimentare nu sînt obligatorii, însă, în cazul în care nu sînt urmate, conducătorii UAI asigură utilizarea unor alternative potrivite. De asemenea, UAI sînt în drept să elaboreze Instrucţiuni proprii de aplicare a NMAISP, ţinînd cont de specificul entităţii publice, care satisfac cerinţele reglementărilor obligatorii ale NMAISP, SNAI şi ale cadrului normativ relevant.

3. Aplicarea NMAISP

3.1. NMAISP sînt aplicabile tuturor UAI, create în sectorul public al Republicii Moldova.

3.2. Conducătorii UAI stabilesc proceduri interne pentru a asigura respectarea NMAISP de către echipele de audit şi adaptează instrucţiunile proprii în funcţie de necesităţi, pentru a întruni cerinţele prevăzute în SNAI 2040.

 

 

3.3. Proiectele instrucţiunilor proprii de aplicare a NMAISP elaborate în caz de necesitate de conducătorul UAI şi aprobate de conducătorul entităţii publice sînt aplicabile doar după avizarea acestora de către Direcţia de armonizare a controlului financiar public intern din cadrul Ministerului Finanţelor – Unitatea centrală de armonizare (în continuare, UCA).

3.4. Auditorii interni poartă răspundere personală pentru aplicarea NMAISP în activitatea de serviciu.

3.5. În cazul contrazicerii între aplicări a NMAISP, precum şi Codului etic al auditorului intern/Cartei şi SNAI aferent, prioritate se acordă SNAI.

4. Structura NMAISP

4.1. Fiecare NMAISP constă din prevederi obligatorii şi instrucţiuni suplimentare pentru aplicarea SNAI.

4.2. NMAISP conţin referinţe şi textul complet al SNAI, pentru care se aplică, precum şi extrase din Codul etic al auditorului intern şi Cartă.

4.3. NMAISP sînt structurate astfel, încît să asigure reglementarea necesară pentru organizarea activităţii de audit intern şi efectuarea misiunilor de audit intern (în continuare, misiune).

4.4. NMAISP îi ghidează pe auditorii interni în vederea realizării misiunilor şi în gestionarea activităţii lor şi conţin prevederi despre:

a) cadrul normativ şi organizaţional;

b) interacţiunea cu alte părţi implicate, UCA, Curtea de Conturi şi alţii;

c) îndrumări detaliate privind conceptele de bază ale auditului intern (spre exemplu, riscuri, materialitate, probe de audit), precum şi proceduri şi tehnici specifice activităţii de audit intern (spre exemplu, evaluarea sistemului de management financiar şi control, în continuare, MFC), care se utilizează pe parcursul activităţii de audit intern;

d) audite specializate (spre exemplu, auditul TI şi auditul performanţei).

4.5. Tabelul 1 prezintă lista deplină a tuturor NMAISP.

 

 

II. STANDARDELE PROFESIONALE ŞI CADRUL NORMATIV – NMAISP 1

1. Introducere

NMAISP 1 prezintă:

a) definiţia auditului intern şi a rolului său de asigurare şi consiliere;

b) cadrul normativ de reglementare a auditului intern în sectorul public;

c) ierarhia standardelor, normelor şi instrucţiunilor de creare şi funcţionare a UAI în sectorul public;

d) rolurile şi responsabilităţile conducătorilor UAI, după cum este definit în Cartă.

2. Definiţia auditului intern

2.1. SNAI definesc auditul intern ca fiind o activitate independentă şi obiectivă, care le oferă managerilor asigurare şi consultanţă, desfăşurată pentru a îmbunătăţi activitatea entităţii publice. Aceasta are menirea să ajute entitatea publică în atingerea obiectivelor sale, evaluînd printr-o abordare sistematică şi metodică sistemul MFC şi oferind recomandări pentru consolidarea eficacităţii acestuia.

2.2. Definiţia auditului intern se regăseşte în SNAI 2100.

 

 

2.3. NMAISP defineşte două tipuri de misiuni în activitatea de audit intern:

a) misiuni de asigurare, care constituie o examinare obiectivă de către auditorul intern a elementelor probante pentru a furniza o evaluare independentă şi obiectivă privind procesele de management al riscurilor, de control şi de guvernare. Caracterul şi domeniul de aplicare al misiunilor de asigurare sînt determinate de către auditorul intern;

b) misiuni de consiliere, care constituie activităţi cu caracter consultativ şi sînt desfăşurate la solicitarea specifică din partea beneficiarului misiunii de consiliere. Caracterul şi domeniul de aplicare al misiunilor de consiliere sînt convenite cu beneficiarul misiunii de consiliere. În timpul desfăşurării misiunilor de consiliere, auditorul intern trebuie să menţină obiectivitatea şi să nu-şi asume responsabilitate managerială.

3. Cadrul normativ

Instituirea UAI în sectorul public este reglementată în art.19 al Legii CFPI.

4. Structura cadrului normativ

Figura 1 prezintă structura ierarhică a cadrului normativ cu privire la auditul intern în sectorul public al Republicii Moldova.

 

 

Figura 1. Structura ierarhică a cadrului normativ privind auditul intern

 

5. Standardele naţionale de audit intern

SNAI au fost aprobate prin Ordinul ministrului finanţelor nr.113 din 12.10.2012 (Monitorul Oficial al Republicii Moldova, 16.11.2012, nr.231-234, art.730) şi sînt aplicabile tuturor UAI din sectorul public.

6. Codul etic al auditorului intern

Codul etic al auditorului intern a fost aprobat prin Ordinul ministrului finanţelor nr.139 din 20 octombrie 2010 (Monitorul Oficial al Republicii Moldova, 2010, nr.221-222, art.782). Prevederile Codului etic al auditorului intern reprezintă reguli obligatorii de conduită în activitatea auditorilor interni din sectorul public.

7. Carta de audit intern

7.1. Carta de audit intern (Regulament-model de funcţionare a unităţii de audit intern) a fost aprobată prin Ordinul ministrului finanţelor nr.139 din 20 octombrie 2010.

7.2. Carta constituie un element esenţial de reglementare a activităţii UAI în cadrul entităţii publice. Misiunea, competenţele şi responsabilităţile sînt definite şi comunicate în scopul de a preciza rolul auditorilor interni şi, de asemenea, de a furniza UCA, precum şi conducătorului UAI, cîteva dintre criteriile de evaluare a activităţii de audit intern.

7.3. SNAI prevăd obligativitatea definirii misiunii, competenţei şi responsabilităţii UAI în Cartă:

 

 

7.4. Prevederile Cartei sînt obligatorii pentru activitatea auditorilor interni din sectorul public, iar conducătorii UAI sînt responsabili să asigure definirea atribuţiilor, drepturilor şi restricţiilor în Cartă în conformitate cu SNAI.

8. Normele metodologice de audit intern în sectorul public

8.1. Ministerul Finanţelor este responsabil de elaborarea normelor metodologice cu privire la aplicarea SNAI în sectorul public al Republicii Moldova.

8.2. Conducătorul UAI este în drept să elaboreze, în caz de necesitate, Instrucţiuni proprii de aplicare a NMAISP, ţinînd cont de specificul entităţii publice, precum şi să elaboreze alte politici şi proceduri pentru a reglementa activitatea de audit intern în cadrul entităţii publice, pentru a întruni cerinţele prevăzute în SNAI 2040.

 

 

9. Monitorizarea aplicării SNAI

Ministerul Finanţelor este responsabil de monitorizarea şi evaluarea calităţii activităţii UAI, prin prisma aplicării SNAI în corespundere cu NMAISP.

10. Independenţa şi obiectivitatea

10.1. SNAI reglementează independenţa activităţii de audit intern, cît şi obiectivitatea auditorilor interni:

 

 

11. Regulamentul privind raportarea activităţii de audit intern în sectorul public

11.1. Regulamentul privind raportarea activităţii de audit intern în sectorul public este elaborat întru realizarea prevederilor art.28 din Legea CFPI, SNAI, prezentelor NMAISP, Cartei.

11.2. Regulamentul privind raportarea activităţii de audit intern în sectorul public stabileşte forma, modul şi termenele de prezentare a Raportului privind activitatea de audit intern în sectorul public.

12. Regulamentul privind certificarea auditorilor interni din sectorul public

12.1. Regulamentul privind certificarea auditorilor interni din sectorul public este elaborat în temeiul art.29 litera g) din Legea CFPI, cît şi pct.6, subpct.66) din Regulamentul privind organizarea şi funcţionarea Ministerului Finanţelor, aprobat prin Hotărîrea Guvernului nr.1265 din 14 noiembrie 2008.

12.2. Scopul Regulamentului privind certificarea auditorilor interni din sectorul public constă în reglementarea procesului de examinare a pregătirii profesionale şi a experienţei practice a auditorilor interni/ angajaţilor unităţilor de audit intern din cadrul autorităţilor administraţiei publice centrale şi locale, instituţiilor publice, precum şi autorităţilor/instituţiilor autonome care gestionează mijloace ale bugetului public naţional.

 

III. CICLUL AUDITULUI INTERN – NMAISP 2

1.1. Ciclul auditului intern constă din patru etape, precum este expus în figura 2.

 

 

Figura 2. Ciclul auditului intern

 

1.2. Activitatea de audit intern începe cu elaborarea Planului strategic şi anual al activităţii de audit intern.

1.3. Misiunile sînt desfăşurate în scopul de a evalua funcţionalitatea sistemului MFC prin colectarea probelor de audit întru justificarea constatărilor de audit.

1.4. Raportul de audit prezintă contextul misiunii, constatările de audit şi recomandările de audit privind îmbunătăţirea sistemului curent de MFC şi este distribuit managerului unităţii auditate şi managerului entităţii publice, după caz, şi altor părţi interesate.

1.5. Conducătorul UAI este obligat să creeze şi să implementeze un sistem de supraveghere a acţiunilor din partea managerilor operaţionali întru implementarea recomandărilor de audit.

1.6. Conducătorul entităţii publice asigură crearea condiţiilor necesare implementării eficiente a recomandărilor de audit.

1.7. Eficacitatea şi valoarea adăugată a auditului intern depinde de capacitatea entităţii publice de a modifica corespunzător procesele şi procedurile pentru a minimiza riscurile, deoarece scopul general este de a atinge un echilibru optim între costul activităţilor de control şi riscurile prevenite.

 

IV. PLANIFICAREA ACTIVITĂŢII UNITĂŢII DE AUDIT INTERN – NMAISP 3

1. Introducere

1.1. Planul strategic al activităţii de audit intern (în continuare, planul strategic) şi planul anual al activităţii de audit intern (în continuare, planul anual) sînt de o importanţă majoră pentru organizarea activităţii UAI. Resursele de audit intern sînt limitate şi sînt orientate spre evaluarea celor mai importante domenii, care asigură gestionarea eficientă a întregii entităţi publice.

1.2. Planul strategic reprezintă un rezumat al principalelor decizii de planificare a activităţii UAI întru realizarea misiunii acesteia, prin alocarea resurselor (inclusiv umane, financiare) pentru realizarea obiectivelor stabilite. Planul strategic prezintă un beneficiu pentru UAI prin configurarea unică a resurselor destinate să îndeplinească aşteptările părţilor interesate. Planul anual derivă din planul strategic sub forma misiunilor, care sînt realizate în următoarele 12 luni.

1.3. NMAISP 3 prezintă etapele, care trebuie urmate în scopul elaborării unui plan strategic (de regulă 3 ani) şi unui plan anual.

1.4. NMAISP 3 se referă şi la necesitatea de a prevedea în planul anual şi planul strategic al UAI misiuni ad-hoc, ţinînd cont de schimbările mediului intern şi extern al entităţii publice, cît şi preocupările managerului entităţii privind buna guvernare.

1.5. UAI planifică şi desfăşoară activitatea lor, ţinînd cont de prevederile SNAI.

 

 

2. Elaborarea planului strategic

2.1. Scopul planului strategic este de a identifica necesităţile de audit (sisteme şi procese) şi de a aloca resursele necesare şi disponibile pentru a satisface aceste necesităţi.

2.2. Etapele principale ale procesului de planificare strategică sînt:

a) definirea misiunii UAI;

b) înţelegerea obiectivelor operaţionale, sistemelor şi proceselor din entitatea publică;

c) gruparea sistemelor şi proceselor entităţii publice;

d) obţinerea aşteptărilor părţilor interesate;

e) evaluarea riscurilor;

f) determinarea perioadei planului strategic şi frecvenţei misiunilor;

g) evaluarea necesarului de resurse;

h) comunicarea şi aprobarea planului strategic;

i) actualizarea planului strategic.

2.3. Abordarea planificării strategice în baza riscurilor oferă următoarele avantaje:

a) un audit comprehensiv – metodologia bazată pe abordarea de sus în jos a sistemelor permite oferirea asigurărilor precum că toate sistemele majore sînt incluse;

b) un audit eficient – orientarea resurselor spre domeniile, unde resursele sînt cele mai necesare;

c) valoarea adăugată a auditului intern – conştientizare sporită a obiectivelor, sistemelor, proceselor şi riscurilor de către managerii operaţionali.

3. Definirea misiunii UAI

3.1. Misiunea UAI este elaborată în baza misiunii din Cartă şi conturează scopul primordial al activităţii de audit intern, ce planifică să realizeze în viitor şi modul în care se încadrează în planul strategic al entităţii publice.

3.2. Misiunea este aceeaşi pentru toţi auditorii interni, precum şi pentru părţile interesate interne şi externe.

3.3. Planul strategic este elaborat în baza misiunii, determinînd esenţial modul în care aceasta va fi realizată.

3.4. Desfăşurarea unei evaluări a stării curente a activităţii de audit intern ajută la identificarea aspectelor ce trebuie incluse în planul strategic.

3.5. O tehnică este de a efectua o analiză SWOT (puncte forte, puncte slabe, oportunităţi şi ameninţări) a misiunii UAI.

3.6. Scopul unei analize SWOT este de a identifica factorii interni şi externi principali, care au importanţă în realizarea planului.

3.7. Tabelul 2 prezintă definiţia componentelor analizei SWOT.

 

 

3.8. Un exemplu ilustrativ al analizei SWOT este oferit în pct.16.1. din NMAISP 3.

4. Înţelegerea obiectivelor operaţionale, sistemelor şi proceselor din entitatea publică

4.1. Următoarea etapă constă în înţelegerea obiectivelor operaţionale ale entităţii publice. Astfel, auditorii interni caută răspunsuri la următoarele întrebări:

Care este misiunea entităţii?

Care sînt funcţiile de bază ale entităţii?

Care sînt principalele obiective ale entităţii?

4.2. Auditorii interni percep obiectivele fundamentale, de nivel superior, şi convin asupra lor cu managerii entităţii. Deseori, aceste obiective sînt specificate în planul strategic/ planul anual de activitate al entităţii publice.

4.3. Ulterior înţelegerii obiectivelor entităţii publice, sînt necesare analize pentru înţelegerea sistemelor/ proceselor auditabile ale MFC.

4.4. Sistemele şi procesele auditabile sînt parte a activităţilor entităţii publice pentru care pot fi definite obiective de audit valabile şi care pot fi auditate.

4.5. Sistemele şi procesele auditabile se pot regăsi în următoarele surse de informaţii:

a) planul strategic/ planul anual de activitate al entităţii publice şi planurile fiecărei subdiviziuni structurale în parte;

b) regulamentul de funcţionare a entităţii publice şi regulamentele interne ale subdiviziunilor structurale;

c) bugete;

d) rapoarte anuale şi concluzii;

e) organigrame;

f) rapoarte de audit extern şi alte rapoarte de control.

5. Gruparea sistemelor şi proceselor entităţii publice

5.1. Sistemele şi procesele pentru auditare pot fi divizate în următoarele grupuri:

a) sisteme/ procese manageriale – spre exemplu, planificarea, raportarea activităţii;

b) sisteme/ procese de suport – spre exemplu, recrutarea şi promovarea personalului, achiziţii publice, evidenţă contabilă;

c) sisteme/ procese operaţionale – spre exemplu, elaborarea politicilor în domeniul sănătăţii, înmatricularea şi examinarea studenţilor etc.

5.2. Înţelegerea intercorelaţiilor între sisteme şi procese este o parte necesară a planificării şi influenţează modul de definire (denumirea) a sistemelor şi proceselor.

5.3. Aria de acoperire a misiunii de audit intern este important să fie determinată în baza unei viziuni interfuncţionale a entităţii publice – adică desfăşurarea unor misiuni “orizontale” în baza întregului proces operaţional. Spre exemplu, sistemele contabile sau de management operaţional pot prezenta riscuri critice pentru cîteva subdiviziuni structurale în ansamblu şi, prin urmare, sînt examinate pe orizontală.

5.4. Divizarea sistemelor şi proceselor pe categorii este efectuată din următoarele motive:

a) permite formularea unor concluzii despre un şir de sisteme/ procese, care ţin de responsabilitatea unui manager ierarhic superior;

b) constatările formulate pentru un domeniu pot fi atribuite mai multor domenii (spre exemplu, o activitate de control inadecvată dintr-un proces operaţional poate indica existenţa unor activităţi de control inadecvate în cadrul altor procese).

6. Obţinerea aşteptărilor părţilor interesate

6.1. La elaborarea planului strategic, auditorii interni discută aşteptările părţilor interesate ţinînd cont de prevederile SNAI.

 

 

6.2. La această etapă este necesar de a solicita opinia managerului entităţii publice şi managerilor operaţionali despre importanţa sistemelor/ proceselor, activităţile de control existente şi mediul de control din entitatea publică.

6.3. Discuţiile cu părţile interesate au loc în mod deschis şi se axează pe:

a) principalele obiective ale entităţii publice şi rolul fiecărei subdiviziuni structurale în parte în procesul de realizare a obiectivelor;

b) principalele riscuri care pot afecta realizarea obiectivelor;

c) rezultatele activităţii de audit intern şi extern, pentru ultimul an;

d) orice domeniu, pentru care părţile interesate nu dispun de asigurări rezonabile privind eficacitatea sistemului MFC sau eficienţa operaţională a subdiviziunilor structurale, care ar dori să fie auditate.

7. Evaluarea riscurilor

7.1. Conducătorul UAI elaborează planul strategic, bazîndu-se pe o evaluare a riscurilor, ţinînd cont de prevederile SNAI.

 

 

7.2. Conducătorul UAI elaborează metode de evaluare a riscurilor în baza valorii tranzacţiilor, bugetului, fluxului personalului, materialităţii, structurii organizaţionale, complexităţii cadrului normativ, constatărilor de audit precedente etc. Orice abordare este mai mult sau mai puţin subiectivă, dar sînt utilizate diverse tehnici pentru efectuarea analizei sistematice şi relativ obiective. Utilizarea acestor tehnici susţine raţionamentul de audit în ceea ce priveşte prioritatea şi frecvenţa misiunilor. Din aceste considerente, conducătorul UAI aduce la cunoştinţa managerului entităţii publice că analiza riscurilor este efectuată în baza raţionamentului profesional.

7.3. Evaluarea riscurilor se documentează pe deplin.

7.4. În general, entităţile publice se confruntă cu următoarele riscuri:

a) instabilitate politică;

b) schimbări frecvente în legislaţie;

c) conflictul de interese;

d) evidenţă contabilă insuficientă şi incorectă;

e) imagine negativă şi deteriorarea reputaţiei;

f) fraudă, corupţie;

g) utilizarea contrar destinaţiei, irosirea şi pierderea patrimoniului;

h) planificare incorectă şi decizii greşite;

i) sisteme informaţionale inadecvate.

7.5. În baza unui şir de criterii de risc, se determină scorul riscurilor pentru fiecare sistem/ proces. Auditorii interni analizează criteriile de risc şi decid care dintre acestea se vor aplica unităţii auditate.

7.6. Un exemplu de determinare a scorului riscului este oferit în pct.16.2 din NMAISP 3.

8. Determinarea perioadei planului strategic şi frecvenţei misiunilor

8.1. Perioada optimă pentru un plan strategic este de trei ani. Aceasta reprezintă un echilibru rezonabil între perioada viitoare, pentru care sînt prevăzute circumstanţele de activitate ale entităţii publice şi necesitatea de a evalua sistemele şi procesele semnificative pentru o perioadă de timp realistă.

8.2. Conducătorul UAI este în drept să selecteze o perioadă mai îndelungată pentru planul strategic, dacă această decizie este justificată.

8.3. Frecvenţa, cu care fiecare sistem/ proces va fi auditat, se stabileşte în baza scorului riscurilor aferent sistemului/ procesului cu aplicarea raţionamentului profesional.

8.4. Modelul prezentat în figura 3 serveşte drept referinţă pentru un plan strategic pentru trei ani.

 

 

Figura 3. Model-referinţă pentru un plan strategic pentru trei ani

 

8.5. Planul strategic prevede auditarea mai frecventă a sistemelor/ proceselor cu riscuri înalte pentru a oferi asigurare că acestea sînt ţinute sub control. În decursul primei misiuni sînt identificate detaliat activităţile de control, pe care se pune un accent deosebit. În decursul următoarelor misiuni, aceste activităţi de control sînt testate în continuare, după confirmarea faptului că obiectivele sistemului/ procesului şi obiectivele de control au rămas neschimbate.

8.6. Sistemele/ procesele cu riscuri medii necesită misiuni mai puţin frecvente, fiindcă chiar dacă nu sînt auditate într-un anumit an, expunerea la riscuri este relativ mică. Ulterior, auditorul intern ţine cont de rezultatele misiunilor precedente, cu condiţia ca informaţiile şi probele colectate ulterior să confirme că au avut loc puţine schimbări.

8.7. În cazul sistemelor/ proceselor cu riscuri reduse, misiunile pot fi efectuate mai rar, fiecare misiune oferind asigurări suplimentare minime. Examinarea periodică a sistemelor/ proceselor cu riscuri reduse oferă asigurări, precum că expunerea la risc nu s-a schimbat între timp.

8.8. Scopul planului strategic nu este de a aborda detaliat toate aspectele sistemului MFC anual, ci de a obţine o acoperire suficientă a principalelor domenii, pentru a permite formarea unei opinii generale.

9. Evaluarea necesarului de resurse

9.1. Pentru elaborarea planului strategic conducătorul UAI determină necesarul de resurse, ţinînd cont de prevederile SNAI.

 

 

9.2. La etapa respectivă, se determină resursele necesare pentru realizarea planului strategic.

9.3. Resursele sînt de două tipuri:

a) resurse pentru desfăşurarea misiunilor;

b) resurse pentru gestionarea activităţii UAI.

9.3. Resursele necesare pentru auditarea fiecărui sistem/ proces depind de dimensiunea şi complexitatea unităţii auditate. Necesarul de resurse se estimează, ţinînd cont de activităţile desfăşurate la fiecare etapă a misiunii şi activitatea de supervizare directă a acestora.

9.4. Este necesar să se asigure un raport rezonabil între costul misiunii şi beneficiile scontate ale acesteia. Beneficiile includ recomandări de îmbunătăţire a sistemului/ procesului auditat şi asigurări privind conformitatea, eficienţa şi siguranţa acestuia.

9.5. Conducătorul UAI nu stabileşte un buget standard pentru fiecare misiune, dar ţine cont de complexitatea acesteia şi volumul de lucru necesar.

9.6. În scopul asigurării eficienţei, auditorii interni tind să minimizeze resursele utilizate pentru fiecare misiune.

9.7. Resursele pentru gestionarea activităţii UAI includ resursele pentru:

a) elaborarea şi actualizarea planului strategic şi planului anual;

b) şedinţe de lucru (aferente altor activităţi decît cele de realizare şi supervizare a misiunii);

c) întocmirea rapoartelor de activitate;

d) instruire;

e) stabilirea obiectivelor individuale, evaluarea performanţelor profesionale;

f) concedii medicale, concedii de odihnă anuale.

9.8. Auditorii interni nu oferă asigurări depline precum că toate riscurile majore, cu care se confruntă entitatea publică, sînt sau vor fi evaluate. Nivelul de asigurare, pe care îl oferă auditorii interni, depinde de nivelul şi calitatea resurselor disponibile. Aceasta este condiţionată de faptul, că resursele sînt limitate şi nu acoperă necesităţile entităţii publice.

9.9. La elaborarea planului strategic se ţine cont şi de următorii factori:

a) un raport rezonabil între periodicitatea auditării sistemelor/ proceselor cu grad înalt de risc şi celor cu grad mediu şi mic;

b) timpul necesar pentru a utiliza specialişti competenţi într-un anumit domeniu, spre exemplu, auditul TI;

c) amplasarea unităţilor auditate.

10. Comunicarea şi aprobarea planului strategic

10.1. Conducătorul UAI comunică managerului entităţii planul strategic şi resursele necesare, ţinînd cont de prevederile SNAI.

 

 

10.2. Astfel, planul strategic este prezentat managerului entităţii pentru examinare şi aprobare. În caz de necesitate, planul strategic este discutat cu managerul entităţii în timpul procesului de aprobare.

10.3. După aprobare, în conformitate cu prevederile Legii CFPI, o copie a planului strategic este remisă către UCA.

10.4. Conducătorul UAI analizează posibilitatea de a comunica planul strategic către toţi angajaţii entităţii publice.

11. Actualizarea planului strategic

11.1. În funcţie de schimbarea mediului intern şi extern în care activează entitatea, este necesar de a actualiza anual planul strategic.

11.2. În cadrul actualizării planului strategic, conducătorul UAI analizează modificarea:

a) mediului intern, obiectivelor şi riscurilor UAI;

b) evaluării riscurilor aferente sistemelor/ proceselor auditabile;

c) aşteptărilor părţilor interesate;

d) structurii organizaţionale;

e) cadrului normativ;

f) bugetului entităţii publice.

11.3. Rezultatele misiunilor precedente pot conduce, de asemenea, la actualizarea planului strategic.

12. Elaborarea planului anual

12.1. Utilizînd frecvenţa misiunilor şi timpul estimat în planul strategic, auditorii interni determină valoarea medie a necesităţilor anuale de misiuni. Astfel, planul anual include partea planului strategic sub forma misiunilor, care sînt realizate în următoarele 12 luni.

12.2. Planul anual include:

a) misiuni de asigurare/ consiliere;

b) urmărirea implementării recomandărilor de audit;

c) misiuni ad-hoc;

d) activităţi de gestionare a UAI.

12.3. Conducătorul UAI indică în planul anual personalul şi alte resurse necesare realizării componentelor acestuia.

13. Misiuni de asigurare/ consiliere

13.1. La compartimentul respectiv, Conducătorul UAI include în planul anual:

a) titlul misiunii, definit în baza sistemelor/ proceselor auditabile, în funcţie de (i) frecvenţa auditării şi (ii) resursele disponibile estimate în planul strategic;

b) subdiviziunile structurale (entităţile subordonate) implicate;

c) auditorii interni responsabili (echipa de audit);

d) indicator de produs/ rezultat;

e) perioada de realizare a misiunii.

13.2. Conducătorul UAI ţine cont de principalele constatări ce indică modificarea evaluării riscurilor. Diminuarea riscurilor generează necesitatea de a amîna anumite misiuni, iar sporirea acestora contribuie la planificarea misiunilor suplimentare în scopul evaluării domeniilor specifice.

13.3. De asemenea, conducătorul UAI ţine cont de:

a) modificarea structurii organizaţionale (a entităţii publice/ UAI);

b) implementarea noilor sisteme informaţionale;

c) perioade cu volume mari de lucru;

d) alţi factori.

14. Urmărirea implementării recomandărilor de audit

14.1. La acest compartiment, conducătorul UAI reflectă:

a) titlul misiunii de urmărire a implementării recomandărilor de audit;

b) subdiviziunile structurale (entităţile subordonate) implicate;

c) auditorii interni responsabili;

d) indicator de produs/ rezultat;

e) perioada de realizare a misiunii de urmărire a implementării recomandărilor de audit;

f) note.

15. Misiuni ad-hoc

15.1. Necesitatea modificării planului anual intervine din mai multe motive, precum ar fi:

a) reorganizarea entităţii publice;

b) modificarea priorităţilor;

c) opinia managerului entităţii publice cu privire la gradul de prioritate a anumitor activităţi;

d) suspiciunea unei fraude sau a iregularităţilor semnificative, astfel indicînd riscuri mai înalte într-un anumit domeniu;

e) evoluţia sau modificarea riscurilor;

f) solicitarea, de către managerul entităţii publice, a auditării anumitor subiecte mai devreme decît este planificat în planul anual.

15.2. Conducătorii UAI menţin un echilibru între acceptarea unor astfel de solicitări şi necesitatea de a urma planul anual pentru a oferi un nivel adecvat de asigurări în legătură cu principalele riscuri identificate. Prin urmare, se discută cu managerul entităţii publice beneficiile obţinute prin acceptarea solicitării şi impactul asupra planului anual. Rezultatele acestor discuţii se documentează.

15.3. În cazul cînd conducătorul UAI acceptă efectuarea unei misiuni de audit intern, care nu a fost inclusă în planul anual, activităţile din plan sînt replanificate şi planul anual revizuit este prezentat managerului entităţii publice spre aprobare. Ulterior, planul anual revizuit şi aprobat este remis către Curtea de Conturi.

15.4. Conducătorul UAI planifică resurse pentru misiuni ad-hoc reieşind din datele perioadelor precedente.

16. Instrucţiuni suplimentare la NMAISP 3

16.1. Un exemplu ilustrativ al analizei SWOT pentru determinarea punctelor forte, punctelor slabe, oportunităţilor şi ameninţărilor UAI se prezintă în tabelul 3.

 

 

16.2. În procesul de evaluare a riscurilor sînt utilizate anumite criterii de risc, în baza cărora se calculează scorul riscului.

16.3. În figura 4, se prezintă un exemplu de criterii generale de evaluare a riscului pentru calcularea scorului acestuia.

 

 

Figura 4. Criterii generale de risc, utilizate în evaluarea riscurilor

 

16.4. Pentru elaborarea planului strategic poate fi utilizată următoarea metodă de evaluare a riscurilor.

16.5. Astfel, conform acestei metode, sînt utilizate patru criterii de risc:

a) materialitatea;

b) mediul de control/vulnerabilitatea;

c) sensibilitatea;

d) preocupările managerului entităţii publice.

16.6. Fiecărui criteriu de risc i se atribuie un anumit indice între 1 şi 5.

16.7. În tabelul 4 se explică modul de atribuire a acestui indice.

 

 

16.8. De asemenea, fiecărui criteriu de risc i se atribuie o anumită pondere, utilizînd raţionamentul semnificaţiei relative a acestuia. Aceste ponderi variază în funcţie de tipul entităţii publice. În continuare prezentăm un exemplu de ponderi aplicabile:

 

 

16.9. Indicele şi ponderile sînt combinate într-o formulă, care se utilizează pentru calcularea scorului riscului. Spre exemplu:

 

Scorul riscului = (A × 3) + (B × 2) + (C × 2) + (D × 4)

 

16.10. Formula se aplică pentru calculul scorului riscului pentru fiecare sistem/ proces. După aceasta, sistemele/ procesele se clasifică în baza următoarei matrice, atribuindu-le scor de risc înalt, mediu, redus:

 

 

16.11. Această metodă poate fi modificată cu uşurinţă, adică pot fi utilizate mai multe criterii de risc, mai multe categorii de risc – foarte înalt, înalt, mediu, redus, foarte scăzut. În acest caz (mai multe criterii de risc/ mai multe categorii de risc), va fi necesar să se utilizeze alte ponderi pentru fiecare criteriu de risc şi alte valori ale scorului pentru fiecare categorie de risc.

16.12. Scorul riscului se exprimă totdeauna prin cifre întregi. Este important să se ţină cont de faptul că multe criterii de risc sînt intuitive şi nu se bazează pe valori absolute.

16.13. La etapa iniţială, conducătorul UAI poate utiliza o metodă foarte simplă de evaluare a riscurilor în baza unei şedinţe cu managerul entităţii publice, în cadrul căreia se analizează principalele riscuri, se atribuie fiecărui sistem/ proces categoria respectivă de risc (de exemplu, înalt, mediu, redus), ulterior, se clasifică sisteme/ procesele pe care auditorii interni le vor evalua în mod prioritar.

 

V. PLANIFICAREA MISIUNII DE AUDIT INTERN – NMAISP 4

1. Introducere

1.1. În NMAISP 3 se prezintă procesul de elaborare a planului strategic şi planului anual. Planul anual rezultă din planul strategic, şi are menirea de a soluţiona principalele riscuri operaţionale ale unităţii auditate. La această etapă se identifică caracterul general şi titlul misiunii.

1.2. NMAISP 4 analizează activitatea de planificare detaliată necesară pentru a identifica principalele obiective de audit, care urmează a fi realizate în timpul misiunii şi modalitatea în care acestea vor fi testate în baza unui program de lucru al misiunii de audit intern (în continuare, programul de lucru).

1.3. Auditorii interni planifică misiunea, ţinînd cont de prevederile SNAI.

 

 

2. Etapele principale de planificare a misiunii de audit intern

2.1. În figura 5 sînt prezentate patru etape principale de planificare a unei misiuni.

 

 

Figura 5. Etapele principale de planificare a misiunii de audit intern

 

3. Activităţile de pregătire

3.1. Activităţile iniţiale de pregătire a misiunii constau din:

a) stabilirea titlului misiunii;

b) determinarea membrilor echipei de audit;

c) elaborarea şi aprobarea Ordinului privind efectuarea misiunii de audit.

4. Stabilirea titlului misiunii de audit intern

4.1. Titlul misiunii de audit intern (în continuare, titlul misiunii) se stabileşte ţinînd cont de prevederile SNAI.

 

 

4.2. Titlul misiunii descrie succint şi explicit aria de aplicabilitate şi principalele obiective ale misiunii de audit intern (în continuare, obiectivele misiunii).

4.3. Titlul misiunii este stabilit în timpul elaborării planului anual. Şeful echipei de audit analizează corespunderea, consecvenţa şi actualitatea titlului misiunii şi, în caz de necesitate, recomandă conducătorului UAI modificarea acestuia.

4.4. Titlul misiunii este formulat printr-o frază completă.

5. Resursele

5.1. Necesarul de resurse alocate misiunii se stabileşte ţinînd cont de prevederile SNAI.

 

 

5.2. Conducătorul UAI stabileşte resursele necesare pentru realizarea obiectivelor misiunii, prin determinarea:

a) membrilor echipei de audit;

b) altor resurse necesare efectuării misiunii.

5.3. La determinarea membrilor echipei de audit, conducătorul UAI:

a) analizează cunoştinţele şi competenţele necesare pentru efectuarea misiunii şi determină numărul de auditori interni;

b) identifică existenţa unor eventuale funcţii sau interese, deţinute de către auditorii interni în raport cu unitatea auditată, în scopul evitării conflictelor de interese;

c) desemnează şeful echipei de audit. Şeful echipei de audit dispune de suficientă autoritate, aptitudini manageriale, abilităţi şi cunoştinţe în domeniul auditat.

5.4. La determinarea altor resurse necesare efectuării misiunii, conducătorul UAI:

a) atrage asistenţă de specialitate şi consultanţă, dacă sînt necesare cunoştinţe şi competenţe suplimentare într-un anumit domeniu;

b) determină resursele necesare realizării misiunii, altele decît cele legate de personal (spre exemplu, cheltuieli de transport).

6. Ordinul privind efectuarea misiunii de audit intern

6.1. În scopul realizării misiunii se emite un Ordin privind efectuarea misiunii de audit intern (în continuare, Ordinul misiunii), care conferă autoritate oficială de a desfăşura misiunea. Ordinul misiunii întruneşte următoarele aspecte:

a) specifică aria de aplicabilitate a misiunii;

b) indică locul de efectuare a misiunii (subdiviziunea structurală);

c) oferă informaţii privind componenţa echipei de audit;

d) specifică relaţiile de raportare în realizarea misiunii;

e) specifică datele concrete de prezentare a proiectului raportului de audit şi raportului de audit final.

6.2. Conducătorul UAI întocmeşte Ordinul misiunii şi îl prezintă spre aprobare managerului entităţii publice.

7. Planificarea preliminară a misiunii de audit intern

7.1. La planificarea misiunii auditorii interni iau în consideraţie aspectele reflectate în SNAI.

 

 

7.2. Şeful echipei de audit este responsabil de planificarea preliminară a misiunii.

7.3. Planificarea preliminară a misiunii constă în colectarea informaţiilor (fără analiza detaliată a acestora) şi obţinerea cunoştinţelor despre unitatea auditată.

7.4. La această etapă, auditorii interni obţin informaţii, care vor facilita efectuarea misiunii, şi anume, despre procese, obiective, riscuri, activităţi de control etc. şi care vor necesita o atenţie specială în decursul acesteia.

7.5. Ca rezultat al planificării preliminare, se elaborează Planul misiunii de audit. Un model al Planului misiunii de audit este prezentat în secţiunea cu Instrucţiuni suplimentare.

8. Colectarea datelor

8.1. Membrii echipei de audit colectează informaţii despre unitatea auditată utilizînd următoarele surse de informaţii:

- organigrama entităţii publice (după caz);

- acte normative şi legislative relevante unităţii auditate;

- regulament intern de activitate a subdiviziunii structurale;

- descrieri grafice/ narative ale proceselor;

- informaţii privind managementul riscurilor;

- planuri de activitate a subdiviziunii structurale;

- rapoarte de activitate a subdiviziunii structurale;

- rapoarte de audit intern şi extern precedente şi alte rapoarte de control.

9. Analiza datelor

9.1. Întru înţelegerea ariei de aplicabilitate a misiunii, membrii echipei de audit analizează datele colectate. Examinarea preliminară permite acumularea de informaţii despre unitatea auditată fără o verificare detaliată a acestora. Scopul analizei datelor constă în:

- înţelegerea activităţii unităţii auditate;

- identificarea domeniilor care necesită o analiză mai aprofundată;

- obţinerea de informaţii utile pentru realizarea misiunii.

9.2. Indiferent de volumul datelor colectate, materialitatea şi riscurile sînt conceptele-cheie, aplicate pentru a identifica următoarele aspecte:

a) procesele de bază ale unităţii auditate;

b) riscurile semnificative aferente obiectivelor operaţionale;

c) principalele activităţi de control pentru atenuarea riscurilor semnificative.

10. Planul misiunii de audit

10.1. Planul misiunii de audit include:

- obiectivele misiunii;

- ariei de aplicabilitate a misiunii;

- obiectivele şi riscurile operaţionale;

- metodele şi tehnicile de audit care vor fi utilizate;

- principalele etape ale misiunii;

- termenele stabilite pentru prezentarea versiunii proiect şi finale a raportului de audit;

- echipa de audit.

10.2. Planul misiunii de audit este întocmit de către şeful echipei de audit, în baza planului anual, şi se aprobă de către conducătorul UAI.

10.3. Elementele Planului misiunii de audit servesc drept indicatori în procesul de supervizare a misiunii.

11. Obiectivele misiunii de audit intern

La stabilirea obiectivelor misiunii, auditorii interni ţin cont de prevederile SNAI.

 

 

11.1. Auditorii interni formulează obiectivele misiunii ţinînd cont de natura, funcţiile specifice şi circumstanţele domeniului auditat.

11.2. Obiectivele misiunii sînt convenite cu conducătorul UAI.

11.3. Auditorii interni definesc obiectivele misiunii, răspunzînd la întrebarea “De ce efectuăm acest audit?”.

12. Aria de aplicabilitate a misiunii de audit intern

12.1. Aria de aplicabilitate a misiunii se determină, ţinînd cont de prevederile SNAI.

 

 

12.2. Aria de aplicabilitate a misiunii este reflectată în titlul misiunii şi este stabilită în cadrul planificării anuale şi strategice.

12.3. Aria de aplicabilitate a misiunii, este formulată explicit, spre exemplu:

a) evaluarea respectării cadrului de reglementare a procesului “X” în perioada ianuarie – iunie a anului “Y”;

b) evaluarea eficienţei procesului “X”.

13. Obiectivele operaţionale ale unităţii auditate şi riscurile asociate acestora

13.1. Managerul unităţii auditate este responsabil de stabilirea obiectivelor operaţionale, cît şi de identificarea riscurilor asociate acestor obiective. La stabilirea obiectivelor operaţionale se utilizează criteriile metodei “SMART”:

a) Specific – clar şi simplu, fără nici o posibilă alternativă de interpretare greşită;

b) Măsurabil – cuantificat în termeni cantitativi sau calitativi;

c) Abordabil – posibil de atins, ţinînd cont de aptitudinile, capacităţile, resursele, timpul disponibil şi constrîngerile externe;

d) Relevant – corespunde priorităţilor şi reflectă contextul şi mediul în care activează unitatea auditată;

e) încadrate în Timp – conţine un termen sau o perioadă de realizare.

13.2. Obiectivele operaţionale ale unităţii auditate sînt discutate în cadrul şedinţei de deschidere pentru a asigura faptul că nu există interpretări diferite în privinţa obiectivelor procesului sau sistemului supus auditului.

13.3. În procesul planificării misiunii, auditorii interni identifică şi evaluează riscurile esenţiale ţinînd cont de prevederile SNAI.

 

 

13.4. Discutarea riscurilor constituie o parte importantă a şedinţei de deschidere, deoarece conducerea unităţii auditate cunoaşte mai bine nivelul expunerii la riscuri.

14. Metodele şi tehnicile de audit

14.1. Auditorii interni prezintă şi discută cu unitatea auditată modul în care intenţionează să-şi atingă obiectivele misiunii, expun tipurile de probe ce vor fi colectate şi testele ce vor fi realizate pe parcursul misiunii.

14.2. Pe parcursul etapei lucrului în teren, auditorii interni utilizează următoarele metode de audit:

a) interviuri;

b) analiza documentaţiei;

c) verificarea anumitor calcule sau etape;

d) contrapunerea documentelor, informaţiilor, bazelor de date, rapoartelor;

e) observaţii la faţa locului ce ţin de sistemele TI, protecţia activelor, protecţia sănătăţii şi siguranţă etc.;

f) analiza sistemelor automatizate (programelor informatice);

g) chestionare;

h) liste de verificare;

i) testarea de audit;

j) eşantionarea;

k) descrierea/ documentarea proceselor.

14.3. Punerea în discuţie a metodelor şi tehnicilor de audit, ce vor fi utilizate de auditorii interni în cadrul misiunii, este importantă din două motive:

a) pentru a evita afirmaţiile ulterioare ale unităţii auditate privind insuficienţa probelor de audit colectate pentru atingerea obiectivelor misiunii;

b) pentru a minimiza cheltuielile pentru efectuarea misiunii. Spre exemplu, personalul unităţii auditate utilizează timp pentru a oferi date şi alte informaţii auditorilor interni, oferind răspunsuri la interpelările de audit şi participînd la interviuri. Informarea în prealabil despre volumul de lucru şi discuţiile cu personalul unităţii auditate la etapa de planificare va preveni viitoarele neînţelegeri şi plîngeri din partea acestora la solicitările auditorilor interni.

15. Şedinţa de deschidere

15.1. Organizarea şedinţei de deschidere constă în identificarea problemelor şi subiectelor esenţiale, ce vor fi discutate şi, ulterior, convenite, în cadrul şedinţei de deschidere.

15.2. Astfel, conducătorul UAI:

- stabileşte cu unitatea auditată data şi ora desfăşurării şedinţei de deschidere;

- informează succint unitatea auditată despre obiectivele şedinţei de deschidere;

- remite unităţii auditate Ordinul misiunii şi Planul misiunii de audit.

15.3. Scopul şedinţei de deschidere constă în demararea misiunii, precum şi explicarea şi discutarea:

- obiectivele misiunii;

- ariei de aplicabilitate a misiunii (titlul şi alte explicaţii necesare);

- obiectivelor operaţionale ale unităţii auditate şi riscurilor asociate acestora;

- principalelor metode şi tehnici de audit care vor fi utilizate;

- altor aspecte organizatorice, precum persoane de contact, termeni de prezentare a raportului de audit, persoane intervievate, graficul misiunii ş.a.

15.4. În rezultatul şedinţei de deschidere se întocmeşte procesul-verbal al şedinţei de deschidere.

15.5. Alt aspect important, ce trebuie luat în consideraţie la şedinţa de deschidere, este convenirea părţilor implicate asupra unui Program de lucru al misiunii de audit intern.

15.6. Este important să se accentueze faptul că, unitatea auditată nu poate modifica titlul misiunii în timpul şedinţei de deschidere şi pe parcursul misiunii.

15.7. Alte elemente organizatorice sînt prezentate în secţiunea cu Instrucţiuni suplimentare.

16. Procesul-verbal al şedinţei de deschidere

16.1. Scopul procesului-verbal al şedinţei de deschidere constă în confirmarea titlului, ariei de aplicabilitate şi obiectivelor misiunii, precum şi de a prezenta o declaraţie oficială a subiectelor discutate şi convenite în timpul şedinţei de deschidere cu personalul unităţii auditate.

16.2. Procesul-verbal al şedinţei de deschidere este elaborat de către şeful echipei de audit intern şi semnat de către reprezentanţi ai UAI şi unităţii auditate.

17. Programul de lucru al misiunii de audit intern

17.1. Scopul programului de lucru este de a oferi tuturor membrilor echipei de audit indicaţii clare cu privire la rolurile acestora în cadrul misiunii şi perioada de timp de care dispun pentru realizarea etapelor misiunii.

17.2. Auditorii interni elaborează Programul de lucru ţinînd cont de prevederile SNAI.

 

 

17.3. Şeful echipei de audit pregăteşte programul de lucru în baza planului misiunii de audit, ţinînd cont de estimarea resurselor disponibile, numărului total de zile pentru misiune, volumul de lucru necesar pentru realizarea obiectivelor de audit şi termenele-limită stabiliţi de către conducătorul UAI pentru prezentarea versiunii preliminare şi finale a raportului de audit.

17.4. Programul de lucru evaluează în mod realist resursele necesare pentru a realiza misiunea.

17.5. Programul de lucru conţine:

a) titlul misiunii;

b) perioada misiunii;

c) etapele de bază ale misiunii – planificarea, lucrul în teren, raportarea şi gestionarea;

d) activităţile necesare atingerii obiectivelor misiunii, grupate conform etapelor de bază ale misiunii;

e) datele planificate de începere şi finalizare a fiecărei activităţi;

f) numărul de zile alocate pentru fiecare activitate;

g) numărul total de zile alocate pentru întreaga misiune;

h) persoanele care au elaborat, revizuit şi aprobat programul de lucru al misiunii.

17.6. Puncte de reper pentru alocarea resurselor celor patru etape de bază ale misiunii vor fi:

- planificarea – 30% din volumul de lucru;

- lucrul în teren – 50% din volumul de lucru;

- întocmirea raportului de audit – 10% din volumul de lucru;

- gestionarea – 10% din volumul de lucru.

17.7. Pentru aplicarea unui coeficient radical diferit, în special pentru planificarea adecvată a misiunii, trebuie să existe temei justificabil.

17.8. Programul de lucru este aprobat de către conducătorul UAI înainte de începerea lucrului în teren, pentru a asigura faptul că nu a deviat de la planul misiunii de audit şi că resursele alocate sînt suficiente pentru realizarea obiectivelor misiunii. La aprobarea programului de lucru orice divergenţe majore între resursele estimate în planul misiunii de audit şi cele necesare conform programului de lucru al misiunii vor fi soluţionate prin decizii ale conducătorului UAI de a rectifica activităţile propuse sau modifica volumul resurselor alocate pentru misiune.

17.9. Programul de lucru este actualizat dacă pe parcursul misiunii au loc modificări semnificative în ceea ce priveşte alocarea resurselor sau planificarea activităţilor.

17.10. Un model de program de lucru este prezentat în secţiunea cu Instrucţiuni suplimentare.

Instrucţiuni suplimentare la NMAISP 4

18. Şedinţa de deschidere

18.1. Echipa de audit, care participă la şedinţa de deschidere, va determina:

a) moderatorul şedinţei – persoana care va începe şedinţa, o va modera şi va stabili ritmul de lucru în cadrul şedinţei de deschidere;

b) persoana, care va discuta detaliile tehnice – poate fi şeful echipei de audit sau un auditor intern.

18.2. Este important ca aceste două roluri, descrise în pct.18.1, să fie realizate de două persoane diferite. În majoritatea cazurilor, şeful echipei de audit va modera şedinţa, iar un alt auditor îşi va asuma cel de-al doilea rol. Dacă, spre exemplu, conducătorul UAI va participa la şedinţa de deschidere, atunci el va prelua rolul de moderator al şedinţei, iar şeful echipei de audit – cel de-al doilea rol.

18.3. Moderatorul şedinţei va prezenta:

a) mulţumiri acordate unităţii auditate pentru participare la şedinţă şi timpul acordat;

b) scopul şedinţei;

c) titlul misiunii şi informaţii succinte privind viziunea auditorilor interni despre procesul auditat.

18.4. De asemenea, moderatorul şedinţei va acorda o perioadă de timp suficientă unităţii auditate pentru a adresa întrebări înainte de a trece la planificarea în timp a misiunii.

18.5. Persoana care va discuta detaliile tehnice va face prezentarea tehnică a modului de realizare a misiunii şi va conveni asupra programului de lucru al misiunii.

19. Model de Ordin privind efectuarea misiunii de audit intern

 

 

20. Un model al structurii Planului misiunii de audit

 

 

21. Modelul Procesului-verbal al şedinţei de deschidere

 

 

22. Model de Program de lucru al misiunii de audit intern

 

 

VI. LUCRUL ÎN TEREN – NMAISP 5

1. Introducere

1.1. Colectarea şi analiza ulterioară a unor informaţii suficiente, sigure, relevante şi utile aferente obiectivelor misiunii (probe de audit) reprezintă principala trăsătură a etapei lucrului în teren.

1.2. Toate activităţile, efectuate la etapa lucrului în teren, ţin de testarea uneia sau mai multor afirmaţii şi întrebări de audit, rezultate din obiectivele misiunii prin colectarea probelor de audit.

1.3. NMAISP 5 analizează:

a) evaluarea riscurilor şi programul de testare;

b) identificarea şi colectarea datelor;

c) probele de audit;

d) testarea de audit – teste de conformitate şi teste substanţiale;

e) analiza şi evaluarea datelor;

f) documentarea informaţiilor;

g) şedinţa de finalizare a lucrului în teren.

1.4. Auditorii interni, în cadrul misiunii, efectuează lucrul în teren, ţinînd cont de prevederile SNAI.

 

 

2. Principalele activităţi ale etapei lucrului în teren

2.1. Etapa lucrului în teren a unei misiuni cuprinde programul de testare, colectarea probelor, documentarea şi şedinţa de finalizare a lucrului în teren (vezi figura 6).

 

 

Figura 6. Principalele activităţi ale etapei lucrului în teren

 

3. Evaluarea riscurilor şi Programul de testare

3.1. Riscurile sînt un factor important care trebuie să fie luat în consideraţie la etapa lucrului în teren.

3.2. Auditorii interni evaluează riscurile inerente la această etapă pentru a selecta care activităţi de control trebuie să fie analizate şi ce teste vor fi efectuate în timpul evaluării controalelor.

3.3. Auditorii interni examinează riscurile aferente obiectivelor de control ale procesului auditat, evaluează riscurile inerente, identifică şi selectează activităţile de control care urmează a fi examinate, testează controalele preconizate şi determină nivelul riscurilor reziduale.

3.4. În cadrul misiunilor de consiliere auditorii interni, la etapa de planificare, pot să nu considere detectarea şi testarea riscurilor, dar aceştia vor examina orice expunere la riscuri identificate în cadrul acestor misiuni.

3.5. În scopul planificării şi desfăşurării testelor de audit, auditorii interni elaborează Formularul de evaluare a riscurilor (vezi NMAISP 10). Relaţia dintre riscuri, obiective ale controlului şi programul de testare ajută auditorii interni să înţeleagă scopul şi importanţa testului.

3.6. Auditorii interni planifică fiecare test pentru a minimiza necesarul de resurse. Fiecare test trebuie să conţină obiective clare.

3.7. Un program de testare este întocmit pentru toate activităţile, indiferent dacă acestea se referă la teste de conformitate sau substanţiale.

3.8. Un program de testare specifică:

a) procesul auditat;

b) riscuri aferente;

c) obiectivul controlului;

d) descrierea testului (spre exemplu, verificarea listelor de control, sumarul erorilor identificate şi corectate, un anumit tip de active etc.);

e) perioada de realizare a testelor;

f) responsabilul.

3.9. Un model de program de testare şi tabel cu teste, cît şi un exemplu de tabel cu teste este prezentat în secţiunea cu Instrucţiuni suplimentare.

4. Identificarea şi colectarea datelor

4.1. Auditorii interni colectează informaţii cu privire la toate elementele ce ţin de obiectivele şi aria de aplicabilitate a misiunii.

4.2. Ulterior, auditorii interni utilizează proceduri analitice în examinarea şi identificarea informaţiilor. Procedurile analitice de audit sînt realizate studiind şi comparînd relaţiile dintre informaţiile financiare şi celelalte informaţii.

4.3. Tehnicile, care urmează a fi utilizate de auditorii interni, şi sursele de informaţii, care vor fi consultate, sînt prezentate în tabelul 5.

 

 

5. Probele de audit

5.1.Probele de audit reprezintă informaţiile utilizate de auditorul intern pentru a ajunge la concluziile, ce stau la baza constatărilor de audit.

5.2. Probele de audit sînt colectate la fiecare etapă a lucrului în teren şi pot include probe obţinute, atît în timpul misiunii curente, cît şi pe parcursul misiunilor precedente.

5.3. În baza informaţiilor colectate din diferite surse şi procedurilor analitice aplicate, auditorul intern formulează concluzii prin utilizarea unor argumente logice şi documentează probele de audit pentru susţinerea concluziilor respective.

5.4. Probele de audit sînt divizate în:

- probe documentare, care includ documente, rapoarte, acte normative, regulamente interne, înregistrări, corespondenţă, contracte, facturi, date electronice etc.;

- probe obţinute din declaraţii, care includ interviuri, afirmaţii etc.;

- probe analitice, care includ extrase din contul bancar, calcule, grafice şi alte tipuri de probe obţinute în rezultatul aplicării procedurilor analitice de audit;

- probe fizice, care includ observări, fotografieri etc.

5.5. Probele de audit dispun de trei caracteristici diferite. Probele de audit sînt:

 

 

Figura 7. Principalele caracteristici ale probelor de audit

 

5.6. Suficienţa reprezintă o măsură a cantităţii probelor de audit. Probele de audit trebuie să fie faptice şi convingătoare pentru a susţine constatările/ concluziile auditorului intern în mod obiectiv.

5.7. Cantitatea necesară a probelor de audit depinde de categoria riscului/ activitatea de control testată (cu cît mai mare este riscul, cu atît mai multe probe de audit sînt necesare) şi de calitatea acestor probe de audit (cu cît calitatea este mai înaltă, cu atît mai puţine probe de audit vor fi necesare). O probă de audit este suficientă dacă ea este de asemenea funcţională şi corespunzătoare astfel încît o persoană să ajungă la aceeaşi concluzie ca şi auditorul intern.

5.8. Relevanţa reprezintă o măsură a calităţii probelor de audit. Auditorii interni colectează şi oferă probe de audit, care trebuie să se refere la riscul/ activitatea de control/ procesul examinat şi corespund obiectivelor misiunii de audit intern.

5.9. Anumite proceduri analitice de audit pot oferi probe de audit relevante anumitor constatări, şi pot fi lipsite de relevanţă pentru alte constatări. Deseori, auditorul intern obţine probe de audit din diverse surse sau de natură diferită, care sînt relevante pentru aceeaşi afirmaţie/ constatare de audit. Probele de audit obţinute pentru o anumită constatare, cum ar fi spre exemplu existenţa fizică a activelor, nu pot înlocui probele de audit necesare pentru altă constatare, spre exemplu evaluarea activelor.

5.10. Credibilitatea probelor de audit este influenţată de sursa şi de natura lor şi depinde de circumstanţele individuale în care au fost obţinute. Probele de audit care stau la baza constatărilor şi concluziilor trebuie să fie obţinute din surse de încredere, adică adecvate şi consistente, şi nu pot fi interpretate în mod diferit.

5.11. Sînt stabilite cîteva reguli generale privind probele de audit sigure:

- probele de audit sînt mai sigure dacă sînt obţinute din surse independente (din afara unităţii auditate);

- probele de audit, obţinute din interiorul unităţii auditate, sînt mai sigure dacă activităţile de control aferente, sînt eficiente;

- probele de audit obţinute direct sînt mai sigure decît probele de audit obţinute în mod indirect sau prin deducere;

- probele de audit documentare sînt mai sigure decît probele de audit verbale;

- probele de audit în baza documentelor în original sînt mai sigure decît probele de audit în baza unor copii sau faxuri.

5.12. Pe parcursul misiunilor de consiliere, în funcţie de obiectivele şi aria de aplicabilitate a acestora, auditorul intern colectează diferite tipuri de probe de audit. Pentru a accepta o misiune de consiliere, conducătorul UAI, de comun cu unitatea auditată, analizează dacă UAI dispune de suficiente capacităţi pentru a colecta probe de audit şi justifica obiectivele misiunii. La etapa raportării rezultatelor misiunii de consiliere, auditorul intern specifică în ce bază au fost formulate constatările, în special în cazurile în care acestea nu corespund practicii obişnuite de colectare a unor probe de audit suficiente, relevante şi sigure.

6. Testarea de audit

6.1. Testarea de audit este o activitate de bază a lucrului în teren şi reprezintă un instrument de colectare a probelor de audit.

6.2. Elaborarea programului de testare şi desfăşurarea propriu-zisă a testelor se bazează pe identificarea şi evaluarea riscurilor, ţinînd cont de obiectivele misiunii, şi are ca scop testarea unor obiective de control (ca parte a activităţilor de control) pentru a obţine probe de audit ce vor susţine constatările auditorului intern.

6.3. În timpul analizei controalelor, testele abordează următoarele obiective ale misiunii (obiective de control):

- în cadrul procesului auditat sînt instituite activităţile de control preconizate conform cadrului normativ (teste de conformitate);

- activităţile de control au funcţionat eficient (au întrunit obiectivele de control şi au diminuat riscurile reziduale) întreaga perioadă analizată (teste substanţiale).

6.4. În funcţie de obiectivele misiunii, de obicei, în cadrul unui audit al performanţei, testele abordează următoarele obiective ale misiunii (obiective de control):

- economicitatea – costurile resurselor alocate pentru atingerea rezultatelor estimate ale unei activităţi, cu menţinerea calităţii corespunzătoare a acestor rezultate, sînt minime;

- eficienţa – raportul dintre rezultatele obţinute şi resursele utilizate pentru obţinerea acestora;

- eficacitatea – gradul de îndeplinire a obiectivelor planificate pentru fiecare dintre activităţi (raportul dintre efectul planificat şi rezultatul efectiv al activităţii respective).

6.5. În cadrul unui audit financiar (proces/ tranzacţie financiară), testele abordează următoarele obiective ale misiunii (obiective de control):

- conformitatea – tranzacţiile financiare sînt conforme cu cadrul normativ (legi, regulamente, instrucţiuni, ordine etc.);

- plenitudinea – toate tranzacţiile financiare sînt incluse în registre/ rapoarte;

- existenţa – tranzacţiile financiare au avut loc în realitate, iar activele (numerarul, utilajul, clădirile) reflectate în evidenţă există cu adevărat;

- corectitudinea – tranzacţiile financiare sau valoarea activelor au fost determinate corect.

6.6. Un test în cadrul unui proces financiar poate să abordeze, de exemplu, următorul obiectiv de control: “determinarea faptului, dacă toate încasările în numerar sînt înregistrate în Registrul de evidenţă a numerarului (plenitudinea), dacă totalurile au fost calculate corect şi au fost înregistrate în conturile contabile (corectitudinea)”.

6.7. În cadrul procesului de testare de audit, auditorii interni efectuează două tipuri de teste:

- teste de conformitate;

- teste substanţiale.

7. Testele de conformitate

7.1. Testele de conformitate reprezintă testele de audit efectuate pentru a analiza dacă există activităţile de control preconizate şi pentru a evalua modul de instituire a acestora. Acestea sînt cele mai frecvente teste efectuate de auditorul intern în timpul misiunilor de asigurare.

7.2. Există diverse tipuri de teste de conformitate, cum ar fi:

- observarea activităţilor de control, intervievarea personalului – pentru a evalua dacă, pentru diminuarea riscurilor, sînt instituite activităţi de control şi obiectivele de control sînt realizate. Spre exemplu, personalul este întrebat dacă înţeleg acţiunile de control ce trebuie realizate şi rolul acestora. Acest test poate oferi probe, precum că activităţile de control funcţionează la momentul observării/ interviului, însă nu oferă probe, precum că ele funcţionează în general (în alte perioade de timp);

- revizuirea probelor documentare ale activităţilor de control – spre exemplu, revizuirea tranzacţiilor pentru a remarca dacă listele de verificare au fost autorizate şi semnate în mod corespunzător; revizuirea listei erorilor identificate şi corectate. Un document semnat nu indică neapărat faptul, că o anumită activitate de control a fost realizată – acesta a putut fi semnat şi fără a fi verificat. Prin urmare, această probă de audit este deseori combinată cu observări şi interviuri pentru a obţine probe mai sigure, precum că activităţile de control funcţionează în mod corespunzător;

- testarea modului în care o tranzacţie (sau document) trece prin proces/ sistem – are drept scop de a verifica dacă activităţile de control sînt instituite şi funcţionează. Totuşi, relevanţa probelor de audit trebuie examinată cu atenţie, căci faptul că un proces/ sistem testat se dovedeşte a fi corect nu oferă probe, precum că activităţile de control au funcţionat, fiindcă tranzacţia (sau documentul) ar fi putut fi corectă la momentul introducerii în proces/ sistem;

- trecerea prin proces/ sistem a unor date de testare – spre exemplu, introducerea unei facturi greşite pentru a remarca dacă va fi respinsă de către sistemul de evidenţă contabilă. Teste de acest tip trebuie utilizate cu atenţie, în baza acordului conducerii unităţii auditate şi cu supravegherea persoanelor responsabile, fiindcă pot fi introduse, în mod neintenţionat, erori în proces/ sistem.

7.3. Un exemplu de interviu şi un exemplu de test de contrapunere sînt prezentate în secţiunea cu Instrucţiuni suplimentare.

8. Testele substanţiale

8.1. Testele substanţiale sînt procedurile analitice menite să testeze eficacitatea activităţilor de control (gradul de atingere a obiectivelor de control), adică plenitudinea, legalitatea, corectitudinea şi valabilitatea tranzacţiilor sau documentelor trecute prin proces/ sistem sau valabilitatea oricărui obiectiv al misiunii, care poate fi verificată în mod independent ca parte a unei misiuni de consiliere.

8.2. Testele substanţiale, de asemenea, sînt parte a analizei şi evaluării datelor (vezi următorul capitol), din cadrul etapei lucrului în teren a unei misiuni.

8.3. Testele substanţiale sînt efectuate cu scopul:

a) de a oferi managementului probe suplimentare privind dimensiunea erorilor sau iregularităţilor, generate de controalele slabe;

b) de a identifica domeniile specifice, în care există aceleaşi erori sau iregularităţi.

8.4. Testele substanţiale includ evaluarea informaţiilor şi datelor prin studierea relaţiilor între acestea, investigarea şi testarea datelor, documentelor, tranzacţiilor, soldurilor.

8.5. Testele substanţiale pot lua forma efectuării repetate a activităţilor de control, spre exemplu, contrapunerea repetată a datelor bancare pentru a se asigura că această contrapunere a fost efectuată corect.

9. Analiza şi evaluarea datelor

9.1. Analiza şi evaluarea datelor este următoarea etapă a lucrului în teren şi se efectuează prin proceduri analitice de audit, care reprezintă nişte mijloace eficiente şi eficace pentru analiza şi evaluarea informaţiilor şi datelor colectate în timpul unei misiuni.

9.2. Evaluarea este rezultatul comparării acestor informaţii şi date cu rezultatele scontate, identificate şi dezvoltate de către auditorul intern.

9.3. Procedurile analitice sînt utile pentru a identifica:

a) diferenţele neplanificate sau lipsa diferenţelor estimate;

b) posibile erori;

c) iregularităţi sau posibile fraude;

d) alte tranzacţii sau evenimente neobişnuite.

9.4. Procedurile analitice cuprind, de exemplu:

- compararea informaţiilor sau datelor perioadei curente cu cele similare din perioada precedentă sau cu bugetele/ previziunile;

- studiul relaţiilor dintre informaţiile financiare şi informaţiile nefinanciare corespunzătoare (de exemplu, înregistrările contabile aferente plăţii salariilor comparate cu evoluţia numărului mediu de salariaţi);

- studiul relaţiilor existente între diferite elemente de informare (de exemplu, fluctuaţiile valorilor contabilizate ale dobînzii, comparate cu evoluţiile soldurilor datoriilor aferente);

- compararea informaţiilor privind mai multe subdiviziuni operaţionale sau informaţiilor sectoriale de acelaşi tip;

- proporţii, tendinţe şi analize de regresie, analize ale similitudinii, previziuni şi informaţii economice exterioare.

9.5. Procedurile analitice pot utiliza valori monetare, cantităţi fizice, proporţii şi procentaje.

9.6. Auditorul intern ia în calcul factorii de mai jos pentru a determina în ce măsură trebuie folosite procedurile de audit, deoarece acestea din urmă îl ajută să identifice condiţiile care pot determina apariţia sau utilizarea unor proceduri suplimentare/ complementare:

- importanţa sectorului examinat;

- validitatea activităţilor de control;

- disponibilitatea şi încrederea în informaţii şi date (financiare);

- gradul de precizie scontat al procedurilor analitice utilizate.

9.7. După evaluarea acestor factori, auditorul intern trebuie să ia în calcul şi să folosească, dacă este necesar, alte proceduri analitice pentru a atinge obiectivele misiunii.

9.8. În cazul în care procedurile analitice evidenţiază relaţii sau rezultate neaşteptate, auditorul intern examinează şi evaluează aceste relaţii şi rezultate. Aceste examinări şi evaluări trebuie să conducă la utilizarea interviurilor, chestionarea angajaţilor sau folosirea altor proceduri analitice pînă cînd auditorul intern obţine explicaţiile şi certitudinea satisfăcătoare. Relaţiile sau rezultatele neaşteptate care sînt obţinute cu ajutorul procedurilor analitice, dar nu sînt explicate, pot indica fapte importante, precum o posibilă eroare, iregularitate sau fraudă. Rezultatele care nu sînt suficient de explicite trebuie comunicate de către auditorul intern conducătorului UAI.

10. Eşantionarea în auditul intern

10.1. În procesul de colectare a probelor de audit nu este necesar ca auditorul intern să verifice fiecare element, cu excepţia unui număr mai mic de tranzacţii sau documente. Dacă auditorul intern testează mai puţin de 100% din totalul tranzacţiilor sau documentelor – atunci se aplică eşantionarea.

10.2. Procesul de eşantionare reprezintă aplicarea procedurilor analitice de audit pentru o cantitate mai mică de 100% de unităţi dintr-o anumită categorie de acţiuni/ tranzacţii/ documentate, astfel încît orice unitate de eşantionare să poată fi selectată. Aceasta permite auditorului intern să obţină şi să evalueze probele de audit despre anumite caracteristici ale unităţilor selectate pentru a formula sau a contribui la formularea unei concluzii despre unitatea auditată (vezi NMAISP 16).

11. Documentarea informaţiilor

11.1. Auditorul intern întocmeşte documentele de lucru care servesc la documentarea tuturor activităţilor, ca parte a etapei lucrului în teren. Aceste documente consemnează informaţiile obţinute şi analizele făcute şi trebuie să confirme constatările şi recomandările de audit.

11.2. Şeful echipei de audit revizuieşte toate documentele de lucru elaborate de membrii echipei de audit.

11.3. Documentele de lucru sînt păstrate în dosare curente de audit şi servesc în general la:

- planificarea, executarea şi revizuirea misiunii;

- furnizarea principalului document suport pentru raportul de audit;

- documentarea realizării obiectivelor misiunii;

- furnizarea unei baze de evaluare a programului de asigurare şi îmbunătăţire a calităţii;

- aducerea unor elemente probante în caz de reclamaţii, investigaţii, controale;

- dezvoltarea profesională a auditorilor interni.

11.4. Conţinutul dosarelor de audit variază în funcţie de misiune.

12. Comunicarea în timpul lucrului în teren

12.1. Pe măsura derulării lucrului în teren, echipa de audit contactează destul de frecvent personalul şi conducerea unităţii auditate. Discuţiile neformale reprezintă o modalitate utilă de obţinere a informaţiilor suplimentare despre potenţialele erori şi puncte slabe, înainte de şedinţa de finalizare a lucrului în teren. Ele au loc astfel, încît auditorul intern să poată fi sigur de faptul că erorile identificate există şi că punctele slabe dintr-un anumit domeniu nu sînt compensate de alte activităţi de control la o altă etapă a procesului/ sistemului.

12.2. Auditorul intern discută toate constatările semnificative cu unitatea auditată pe măsura identificării lor. Unitatea auditată poate oferi informaţii utile şi colabora cu auditorul intern pentru a găsi cea mai bună cale de soluţionare a constatărilor.

12.3. Toate probele de audit colectate, care oferă suspiciuni de fraudă sau corupţie, sînt păstrate în confidenţialitate şi discutate cu conducătorul UAI.

13. Şedinţa de finalizare a lucrului în teren

13.1. Etapa lucrului în teren se finalizează cu o şedinţă de închidere, cu participarea echipei de audit şi conducerii unităţii auditate. Scopul şedinţei este de a obţine aprobarea constatărilor şi recomandărilor de audit preliminare. Indiferent cît de calitativ nu ar fi efectuată misiunea, pot exista erori sau neînţelegeri despre faptele ce stau la baza constatărilor şi, ulterior, care influenţează formularea recomandărilor de audit. Prezentarea constatărilor şi recomandărilor către unitatea auditată oferă asigurări suplimentare, precum că constatările se bazează pe fapte sigure, iar recomandările oferite sînt realizabile.

13.2. Oferind unităţii auditate posibilitatea de a analiza şi a discuta constatările şi recomandările de audit preliminare, totodată se iniţiază procesul de înţelegere şi acceptare a lor.

13.3. Auditorul intern efectuează o evaluare preliminară a importanţei constatărilor de audit. Şedinţa de finalizare a lucrului în teren trebuie să se axeze pe cele mai importante subiecte.

14. Instrucţiuni suplimentare la NMAISP 5

14.1. Ulterior, se prezintă un model de formular al Programului de testare, în care se descriu testele, care au legătură directă cu obiectivele de control şi riscurile, termenele de realizare a acestora, precum şi auditorul intern responsabil de executarea testului.

 

 

14.2. Ulterior, se prezintă un model de formular al testului, care decurge din Programul de testare, ce urmează a fi realizat la etapa lucrului în teren.

 

 

14.3. Ulterior, se prezintă un model de formular al Interviului.

 

 

14.5. Ulterior, se prezintă un exemplu de Listă de verificare, întocmită în baza contrapunerii sumelor din planul de finanţare şi planul de efectuare a achiziţiilor privind mărfurile, lucrările/serviciile.

 

 

VII. RAPORTUL DE AUDIT – NMAISP 6

1. Introducere

1.1. Rolul auditului intern este de a oferi asigurări cu privire la funcţionarea adecvată a sistemelor manageriale, precum şi de a oferi recomandări pentru îmbunătăţirea acestora. Prin urmare, comunicarea corespunzătoare a constatărilor şi recomandărilor de audit este esenţială pentru a asigura că funcţia de audit intern aduce o valoare adăugată entităţii publice.

1.2. Raportul de audit este cel mai important rezultat al procesului de audit şi prezintă rezultatele activităţii de audit intern. Acest raport este unicul produs al activităţii echipei de audit pe care managerul entităţii publice îl primeşte. Raportul de audit – fiind întocmit şi prezentat bine, promovează modificările necesare şi încurajează conducerea să ia acţiuni corective.

1.3. SNAI analizează cîteva subiecte ale comunicării şi raportării activităţii de audit intern, care vor fi descrise ulterior în secţiuni aparte.

1.4. SNAI accentuează importanţa comunicării rezultatelor activităţii de audit intern persoanelor relevante, utilizînd stilul corespunzător pentru a asigura acceptarea şi, ulterior, implementarea recomandărilor de audit de către unitatea auditată sau managerul entităţii publice.

 

 

1.5. Raportul de audit are trei obiective principale (vezi figura 8):

- să informeze managerul entităţii publice despre o situaţie prin comunicarea rezultatelor activităţii de audit intern;

- să convingă managerul entităţii publice de faptul, că comentariile şi recomandările auditorilor interni sînt valabile şi valoroase;

- să genereze rezultate prin a convinge managerul entităţii publice să ia măsurile corespunzătoare.

 

 

Figura 8. Obiectivele principale ale unui raport de audit

 

1.6. Raportul de audit trebuie să deţină următoarele trăsături:

- corectitudine – raportul este justificat şi reflectă informaţii corecte, bazate pe fapte;

- claritate – raportul este scris succint şi clar. Raportul va fi complet şi nu va necesita interpretare sau comentarii verbale;

- obiectivitate – constatările şi recomandările de audit sînt obiective şi, pe cît posibil, măsurabile, ceea ce ajută la identificarea importanţei subiectelor abordate;

- concizie – raportul se referă la subiect şi are legătură cu aria de aplicabilitate a misiunii, ceea ce nu înseamnă că el este succint;

- imparţialitate – raportul menţine un echilibru diplomatic privind punctele vulnerabile ale unităţii auditate. Accentul se pune asupra îmbunătăţirilor viitoare, nu pe critica nejustificată a persoanelor sau evenimentelor din trecut;

- oportunitate – raportul este elaborat în timp oportun;

- remediere – se face referire la acţiunile de remediere.

2. Etapele de întocmire a raportului de audit

2.1. Etapele de întocmire a raportului de audit sînt prezentate în figura 9.

 

 

Figura 9. Procesul de întocmire a raportului de audit

 

3. Formularea constatărilor de audit

3.1. Constatările preliminare de audit sînt prezentate unităţii auditate în formă scrisă, înainte de şedinţa de finalizare a lucrului în teren. După aceasta, constatările de audit sînt înscrise în proiectul raportului de audit.

3.2. O constatare bună de audit are patru caracteristici. Ea întruneşte:

a) situaţia – indică punctul slab;

b) criteriul – precizează în baza căror standarde sau criterii s-a ajuns la această concluzie;

c) efectul – indică ce efect a avut constatarea;

d) cauza – precizează de ce s-a întîmplat aşa.

3.3. Constatările de audit se descriu astfel, încît să se indice legătura între probele de audit, punctele slabe, riscurile şi obiectivele misiunii şi controlului, concomitent oferind premise pentru recomandări de audit utile pentru unitatea auditată.

3.4. La formularea constatărilor de audit, auditorul intern utilizează raţionamentul profesional pentru a evalua importanţa fiecărei constatări şi specifică această evaluare la compartimentul constatări. Evaluarea respectivă presupune compararea situaţiei dorite cu situaţia reală.

3.5. Constatările de audit sînt clasificate în raportul de audit conform importanţei lor: majoră, medie şi minoră. Este mai bine să se utilizeze mai multe criterii pentru a determina importanţa constatărilor de audit.

3.6. Constatările de audit abordează astfel de elemente ca:

- caracterul adecvat al activităţilor de control;

- măsura în care activităţile de control sînt efectuate şi contribuie la realizarea obiectivelor de control;

- măsura în care resursele sînt suficiente pentru executarea sarcinilor şi responsabilităţilor de control;

- distribuirea resurselor în comparaţie cu priorităţile (controlul riscurilor semnificative);

- utilizarea eficientă a resurselor: lipsa suprapunerilor activităţilor de control, excesul activităţilor de control, activităţi de control inutile;

- abilitatea sistemului actual de a reacţiona la schimbări (volum de lucru sporit, modificări în cadrul normativ, servicii noi sau extinse etc.).

3.7. Formularea constatărilor de audit, în baza probelor de audit, va fi precisă, specifică şi nu generală. Auditorul intern evită astfel de afirmaţii ca “în multe cazuri”, “cea mai mare parte a”, “sume semnificative” etc. Opiniile exprimate prin termeni de genul “multe” sau “mari” sînt înlocuite cu informaţii precise şi obiective. Spre exemplu: “eşantionul a cuprins 5% din toate cele 1000 facturi, reprezentînd 750000 lei din totalul sumei de 2,5 milioane lei.”

3.8. Toate evaluările controalelor sînt prezentate cît de exact posibil, identificînd ce parte a sistemului nu funcţionează şi de ce. Afirmaţiile de genul “MFC (controlul intern) este inadecvat/ ineficace/ ineficient”, fără explicaţii suplimentare şi fără a face legătura cu impactul, importanţa şi probabilitatea producerii riscurilor, vor fi evitate.

4. Formularea recomandărilor de audit

4.1. Scopul recomandărilor de audit este de a prezenta schimbările posibile, care vor apropia situaţia identificată (constatările de audit) de situaţia dorită (spre exemplu, controale care atenuează în mod adecvat riscurile inerente).

4.2. Auditorul intern nu va căuta soluţii ideale, fără a ţine cont de fezabilitatea acestora. Ei vor analiza următoarele întrebări:

- “Este oare recomandarea realizabilă?”;

- “Corespunde oare recomandarea necesităţilor conducerii (planurilor, priorităţilor, etc.) – în special atunci cînd există mai multe soluţii posibile pentru o anumită constatare?”;

- “Ce resurse sînt necesare pentru a obţine situaţia dorită în limita posibilităţilor curente?”;

- “Este posibilă obţinerea situaţiei dorite prin utilizarea mai eficientă a resurselor existente?”;

- “Sînt necesare resurse suplimentare?” – spre exemplu, introducerea de programe TI, instruiri suplimentare, resurse umane, fonduri bugetare suplimentare, instrucţiuni, manuale, regulamente etc.

4.3. De obicei, la formularea recomandărilor de audit, auditorul intern începe cu analiza unei “situaţii dorite” corelată cu obiectivele entităţii publice.

4.4. Auditorul intern evită formularea unor recomandări de audit generale, şi anume, recomandarea utilizării anumitor instrumente şi mijloace (proceduri, instrucţiuni, manuale, programe TI), fără a menţiona modul în care acestea vor oferi valoare adăugată unităţii auditate.

4.5. Recomandările de audit sînt discutate cu unitatea auditată înainte de a revizui proiectul raportului de audit. Această revizuire este efectuată de către conducătorul UAI sau de către un funcţionar desemnat să analizeze constatările şi recomandările de audit din numele conducătorului UAI. De obicei, acesta este şeful echipei de audit.

5. Structura raportului de audit

5.1. Raportul de audit este prezentat în format şi structură standard, după cum este stabilit de către conducătorul UAI şi trebuie să includă următoarele elemente:

a) sumarul executiv;

b) introducerea – cuprinde obiectivele misiunii, aria de aplicabilitate şi perioada misiunii;

c) contextul administrativ – include descrierea obiectivelor operaţionale ale procesului/ sistemului auditat pentru a înţelege constatările şi recomandările de audit;

d) constatările de audit;

e) recomandările de audit;

f) concluziile şi opiniile generale, dacă este cazul;

g) anexe cu informaţii justificative.

5.2. Raportul de audit succint poate să nu conţină sumarul executiv.

6. Revizuirea proiectului raportului de audit

6.1. Referitor la calitatea comunicării rezultatelor, SNAI prevăd următoarele.

 

 

6.2. Şeful echipei de audit şi conducătorul UAI efectuează o revizuire de nivelul întîi şi doi a proiectului raportului de audit în procesul întocmirii acestuia.

6.3. Revizuirile de nivelul întîi şi doi sînt efectuate înainte de şedinţa de închidere a misiunii.

6.4. Şeful echipei de audit este responsabil de revizuirea periodică a documentelor de lucru pe parcursul misiunii. În mod ideal, această revizuire trebuie să fie efectuată după finalizarea fiecărei etape de bază a misiunii.

6.5. Scopul revizuirii periodice a documentelor de lucru este de a asigura faptul că:

- există documentaţie adecvată pentru toate constatările de audit, cu referinţe la documentele de lucru justificative – există documente de lucru corespunzătoare/ program de testare cu surse de date, principii de selectare a eşantionului de date, explicaţii ale simbolurilor utilizate în documentele de lucru şi concluzii. Toate documentele de lucru/ programul de testare includ referinţe la etapa specifică a misiunii şi la constatarea de audit aplicabilă;

- constatările au fost formulate şi clasificate după importanţă;

- au fost elaborate recomandări de audit pentru toate constatările de audit şi au fost ierarhizate după importanţă;

- există o evidenţă clară a tuturor etapelor programului de lucru.

6.6. Revizuirea de către conducătorul UAI este efectuată înainte de şedinţa de închidere a misiunii în baza proiectului raportului de audit, întocmit de echipa de audit.

6.7. Conducătorul UAI analizează toate subiectele desemnate de către şeful echipei de audit ca fiind semnificative.

6.8. În timpul revizuirii de nivelul doi, conducătorul UAI acordă atenţie specială următoarelor aspecte/ trăsături:

a) corectitudine – dacă toate afirmările se bazează pe probe de audit ferme. Conducătorul UAI verifică un mic eşantion a celor mai importante recomandări de audit pentru a se convinge că acestea sînt susţinute de constatări de audit şi probe de audit justificative;

b) claritate – dacă raportul de audit transmite în mod clar utilizatorului ideile prezentate de auditorul intern la momentul întocmirii acestuia. Dacă raportul de audit nu este clar, mai este nevoie de a continua lucrul în teren sau cercetările?;

c) concizie – excluderea tuturor elementelor inutile, care nu au nici o legătură sau semnificaţie pentru aria de aplicabilitate a misiunii. Cuvintele, propoziţiile şi paragrafele care nu ajută auditorul intern să abordeze tema principală a raportului de audit sînt excluse;

d) limbajul şi tonul – dacă limbajul şi tonul raportului de audit este compatibil cu semnificaţia constatărilor de audit şi, în caz de necesitate, oferă raportului de audit comentarii pozitive.

6.9. Conducătorul UAI efectuează o examinare intermediară a documentelor de lucru în decursul unei misiuni în următoarele cazuri:

- dacă auditorii interni, desemnaţi pentru realizarea misiunii/ unei anumite sarcini, nu deţin suficientă experienţă în domeniul auditat;

- dacă auditorii interni raportează constatări de audit semnificative chiar la începutul misiunii.

7. Şedinţa de închidere a misiunii

7.1. Scopul şedinţei de închidere a misiunii este:

a) obţinerea din partea unităţii auditate a acordului cu privire la opinia şi recomandările de audit;

b) oferirea posibilităţii de a contesta opinia auditorului intern înainte de emiterea oficială a raportului de audit;

c) convenirea asupra formulării constatărilor de audit;

d) obţinerea acordului privind recomandările de audit;

e) convenirea asupra unui grafic pentru primirea comentariilor la constatările de audit în cazul dezacordului cu echipa de audit.

7.2. Echipa de audit pregăteşte o prezentare verbală a proiectului raportului de audit (de exemplu, o prezentare Microsoft Office Power Point), axată pe constatările şi recomandările de audit oferite şi orientează discuţiile spre acţiunile ce trebuie realizate de către unitatea auditată.

7.3. La şedinţa de închidere a misiunii participă echipa de audit şi reprezentanţii unităţii auditate, inclusiv conducerea unităţii auditate. În caz de necesitate, la şedinţa de închidere a misiunii poate participa conducătorul entităţii publice (sau o persoană delegată de acesta) şi conducătorul UAI.

7.4. La şedinţa de închidere a misiunii nu sînt necesare comentarii exacte şi definitive privind formularea constatărilor şi recomandărilor de audit. Discuţiile se axează pe examinarea posibilităţii de aplicare în practică a recomandărilor de audit de către unitatea auditată.

7.5. În cazul dezacordului cu constatările şi recomandările de audit, conducerea unităţii auditate formulează şi prezintă în formă scrisă echipei de audit (către UAI) comentarii la constatările şi recomandările de audit, în termenele stabilite în timpul şedinţei de închidere a misiunii.

8. Raportul de audit final

8.1. Raportul de audit este finalizat în baza proiectului raportului de audit, cu reflectarea în acesta a comentariilor unităţii auditate şi ţinînd cont de obiecţiile supervizorului (conducătorului UAI), dacă există.

8.2. În cazul acceptării comentariilor parvenite de la unitatea auditată, echipa de audit modifică constatările şi recomandările de audit, cu indicarea acestui fapt în raportul de audit final.

8.3. În cazul neacceptării comentariilor parvenite de la unitatea auditată, echipa de audit poate anexa aceste comentarii la raportul de audit final, pentru a oferi managerului entităţii publice o mai mare cunoştinţă de cauză în luarea deciziei privind acceptarea constatărilor şi recomandărilor de audit.

8.4. Pentru a asigura respectarea deplină a SNAI, conducătorul UAI finalizează revizuirea raportului de audit final înainte de transmiterea lui managerului entităţii publice.

9. Nerespectarea SNAI

9.1. Dacă pe parcursul misiunii auditorii interni nu pot garanta respectarea Codului etic al auditorului intern şi SNAI, circumstanţele şi raţionamentul auditorilor interni vor fi înregistrate şi raportate conducătorului UAI.

9.2. În cazul nerespectării Codului etic al auditorului intern şi SNAI, acest fapt se va menţiona în raportul de audit final, ţinînd cont de prevederile SNAI.

 

 

9.3. Faptul că SNAI au fost sau nu respectate trebuie menţionat în raportul de audit final. În acest sens, conducătorul UAI:

- confirmă că misiunea a fost realizată în conformitate cu SNAI, sau

- comunică neconformitatea cu SNAI, identificînd domeniile de nerespectare a SNAI şi modul în care acestea influenţează misiunea.

10. Comunicarea rezultatelor

10.1. Conducătorul UAI comunică rezultatele finale ale misiunii părţilor corespunzătoare, ţinînd cont de prevederile SNAI.

 

 

11. Comunicarea rezultatelor către managerul entităţii publice

11.1. Conducătorul UAI remite raportul de audit final către managerul entităţii publice pentru a lua atitudine faţă de constatările şi recomandările de audit.

11.2. Conducătorul entităţii publice:

a) decide măsurile adecvate, dacă sînt necesare de întreprins, ca răspuns la constatările de audit din raportul de audit;

b) decide de a accepta şi implementa recomandările de audit din raportul de audit.

11.3. Din motive de cost sau din alte considerente, conducătorul entităţii publice poate accepta riscul de a nu întreprinde nimic privind unele constatări şi recomandări de audit.

11.4. În aceste cazuri, conducătorul UAI, aplicînd prevederile SNAI, evaluează riscul acceptat de către managerul entităţii publice (toleranţa la risc) şi discută cu el aceste aspecte.

 

 

12. Comunicarea rezultatelor către unitatea auditată şi alte părţi interesate

12.1. Ulterior deciziei managerului entităţii publice pe marginea constatărilor şi recomandărilor de audit, conducătorul UAI imprimă şi transmite raportul de audit către unitatea auditată şi alte părţi interesate, dacă este necesar.

12.2. Raportul de audit este însoţit de o scrisoare în care se menţionează termenul-limită pentru a fi elaborat Planul de acţiuni privind implementarea recomandărilor de audit.

12.3. Alte părţi interesate pot fi:

- alte subdiviziuni structurale din cadrul entităţii publice, care sînt vizate de către constatările şi recomandările de audit;

- adjuncţi ai managerului entităţii publice;

- alte persoane din afară entităţii publice;

- alte entităţi.

12.4. Conducătorul UAI decide, în conformitate cu SNAI, de a remite sau nu raportul de audit altor părţi interesate, care trebuie să asigure utilizarea adecvată a rezultatelor misiunii.

13. Planul de acţiuni privind implementarea recomandărilor de audit

13.1. Unitatea auditată este responsabilă de a elabora proiectul Planului de acţiuni privind implementarea recomandărilor de audit (în continuare, Planul de acţiuni).

13.2. În proiectul Planului de acţiuni se includ activităţi privind implementarea recomandărilor de audit din raportul de audit, în dependenţă de decizia managerului entităţii publice.

13.3. De asemenea, în proiectul Planului de acţiuni se includ termene de realizare şi persoane responsabile de implementare.

13.4. Proiectul Planului de acţiuni este remis de către unitatea auditată către UAI. Conducătorul UAI examinează proiectul Planului de acţiuni.

13.5. Ulterior examinării proiectului Planului de acţiuni de către conducătorul UAI, unitatea auditată îl transmite spre aprobare managerului entităţii publice.

13.6. În anumite circumstanţe, unitatea auditată poate decide să nu implementeze sau să amîne implementarea anumitor recomandări de audit din Planul de acţiuni aprobat anterior. Această decizie poate fi determinată de mai multe motive:

- schimbare esenţială a structurii organizaţionale a entităţii publice;

- un eveniment nou, care modifică riscurile inerente şi presupune alte activităţi de control;

- modificarea volumului resurselor disponibile pentru implementarea Planului de acţiuni;

- perioade de implementare prea scurte.

14. Erorile semnificative

14.1. În cazul în care un raport de audit conţine o eroare semnificativă, conducătorul UAI emite un act adiţional la raportul de audit, indicînd natura şi proporţiile erorii şi oferă materialele suplimentare necesare pentru a revizui conţinutul raportului de audit, aplicînd prevederile SNAI.

 

 

14.2. Actul adiţional este numerotat şi oferit tuturor beneficiarilor raportului de audit.

14.3. Dacă se dovedeşte că raportul de audit conţine o greşeală semnificativă, conducătorul UAI ia în consideraţie necesitatea de a emite un alt raport rectificat, care să prezinte informaţii corecte.

15. Instrucţiuni suplimentare la NMAISP 6

15.1. În acest capitol sînt prezentate explicaţii suplimentare privind constatările şi recomandările de audit, cît şi unele instrucţiuni privind elaborarea raportului de audit.

16. Explicaţii suplimentare privind constatările de audit

16.1. În această secţiune sînt oferite explicaţii suplimentare privind caracteristicile unei bune constatări de audit, care trebuie să întrunească:

a) situaţia – ce este?

b) criteriul – ce trebuie să fie?

c) efectul – şi ce dacă?

d) cauza – de ce s-a întîmplat aşa?

16.2. Situaţia se referă la natura şi dimensiunea constatării de audit. Deseori ea răspunde la întrebarea: “ce nu a mers bine?”. În mod normal, o descriere clară şi exactă a situaţiei poate fi obţinută prin compararea de către auditorul intern a rezultatelor cu criteriile de evaluare corespunzătoare.

16.3. Criteriul stabileşte legitimitatea constatării de audit prin identificarea criteriilor de evaluare şi răspunde la întrebarea: “în baza căror standarde s-a ajuns la această constatare?”. În cazul auditelor financiare şi de conformitate, asemenea criterii ar putea întruni exactitatea, materialitatea, consistenţa sau conformitatea cu principiile/ regulile contabile aplicabile şi cerinţele legale. În cazul auditelor performanţei (economiei, eficienţei, eficacităţii), criteriile ar putea fi definite prin:

- declaraţii privind misiunea sau obiectivele operaţionale;

- standarde privind performanţele, producţia şi costurile;

- acorduri contractuale;

- politici şi proceduri;

- alte criterii externe de încredere.

16.4. Efectul identifică impactul real sau potenţial al situaţiei şi răspunde la următoarea întrebare: “ce efect a avut?”. Semnificaţia sau importanţa unei situaţii este, de obicei, examinată după efectul său. În cazul auditelor performanţei, efectul poate fi măsurat prin determinarea gradului de diminuare a eficienţei şi economiei, sau a măsurii în care obiectivele nu au fost atinse (eficacitate). Acestea sînt deseori exprimate în valori cantitative, spre exemplu fonduri băneşti, numărul personalului angajat, unităţi de producţie, cantitatea de material, numărul tranzacţiilor, sau perioade de timp. Dacă efectul real nu poate fi determinat, semnificaţia situaţiei poate fi uneori indicată prin utilizarea efectelor potenţiale sau nemateriale.

16.5. Cauza identifică motivele, ce stau la baza situaţiilor sau constatărilor de audit nesatisfăcătoare, şi răspunde la întrebarea: “de ce s-a întîmplat aşa?”. Dacă situaţia în cauză persistă o perioadă îndelungată sau se intensifică, vor fi descrise de asemenea şi cauzele acestor particularităţi ale situaţiei. Identificarea cauzei unei situaţii sau constatări de audit nesatisfăcătoare reprezintă o premisă, în baza căreia pot fi formulate recomandări de audit semnificative pentru acţiuni corective. Cauza poate fi evidentă sau poate fi identificată prin raţionament deductiv, dacă recomandarea de audit indică o modalitate specifică şi practică de corectare a situaţiei. Neidentificarea cauzei într-o constatare poate semnifica de asemenea faptul că motivul nu a fost determinat din cauza unei limitări sau imperfecţiuni ale activităţii de audit, sau a fost omisă pentru a evita confruntarea directă cu funcţionarii responsabili.

17. Explicaţii suplimentare privind recomandările de audit

17.1. Recomandările de audit identifică acţiunile de remediere propuse şi răspund la întrebarea: “ce trebuie să facem?”. Relaţia dintre recomandarea de audit şi cauza principală a situaţiei trebuie să fie clară şi logică. Dacă există o legătură, acţiunea recomandată va fi fezabilă şi direcţionată în mod corespunzător.

17.2. Recomandările de audit specifică în mod exact ce trebuie să fie schimbat sau corectat. Modul, în care vor fi efectuate schimbările, ţine deja de responsabilitatea unităţii auditate.

17.3. Recomandările generale (spre exemplu, de a acorda mai multă atenţie, de a întări controalele, de a realiza un studiu) nu trebuie utilizate în raportul de audit, însă ele deseori sînt adecvate pentru rapoartele sumare pentru a atrage atenţia managerului entităţii publice asupra constatărilor de audit.

17.4. Beneficiile, obţinute în rezultatul realizării acţiunilor recomandate, trebuie menţionate, cu excepţia cazurilor cînd acestea sînt evidente. Costul implementării şi menţinerii recomandărilor de audit trebuie întotdeauna comparat cu riscul respectiv.

17.5. Recomandările de audit trebuie înaintate persoanelor/ subdiviziunilor structurale capabile să le implementeze. Este inutil ca recomandările de audit să fie înaintate persoanelor/ subdiviziunilor structurale lipsite de autoritatea de a întreprinde acţiuni pentru a le implementa.

17.6. Exemple de recomandări de audit nepotrivite, prea generale:

- “descrierea unei activităţi de control”,

- “efectuarea unei analize”,

- “sporirea supravegherii din partea conducerii”,

- “elaborarea unui regulament nou”,

- “respectarea legii, regulamentului”,

- “angajaţii responsabili trebuie sancţionaţi în conformitate cu cadrul normativ”,

- “angajaţii trebuie să respecte procedurile/ instrucţiunile/ manualul”.

17.7. Exemple de recomandări adecvate:

- “divizarea sarcinilor în formă scrisă pentru funcţia de înregistrare a facturilor fiscale în sistemul contabil şi de vizare a acestora”,

- “secţiunea “X” din regulamentul intern trebuie modificată cu introducerea unor criterii mai clare”,

- “nivelul de raportare a persoanei X trebuie modificat, pentru ca aceasta să nu mai raporteze persoanei Y,

- “unitatea auditată trebuie să elaboreze şi să aplice o listă de control/ verificare pentru a asigura îndeplinirea cerinţelor obligatorii de verificare a operaţiunilor pe conturile bancare în cel mai eficient mod”,

- “funcţionarii trebuie să utilizeze tabele Excel pentru a înregistra toate datele şi pentru a asigura că suma totală este calculată corect, înainte de a o introduce în sistem”.

18. Explicaţii suplimentare privind raportul de audit

18.1. Raportul de audit dispune de următoarea structură:

a) sumar executiv;

b) introducere;

c) context administrativ;

d) constatări de audit;

e) recomandări de audit;

f) concluzii şi opinii generale;

g) anexe.

19. Sumarul executiv

19.1. Sumarul executiv este un rezumat al raportului de audit destinat conducătorilor superiori şi este scris astfel, încît să prezinte succint elementele separate ulterioare din raportul de audit.

19.2. Sumarul executiv include paragrafe succinte privind:

- introducerea, recapitulînd principalele elemente ale misiunii (titlul, unitatea auditată, durata);

- contextul administrativ, necesar pentru a percepe constatările şi recomandările de audit;

- cele mai importante constatări de audit, grupate în mod logic;

- cele mai importante recomandări de audit;

- răspunsul unităţii auditate privind dezacordul, dacă există, faţă de constatările sau recomandările de audit;

- o concluzie succintă, care să încurajeze citirea raportului pentru a afla informaţii mai precise şi mai detaliate.

20. Introducerea

20.1. Introducerea cuprinde următoarele elemente:

a) aria de aplicabilitate, denumirea unităţii auditate şi obiectivele misiunii;

b) descrierea metodologiei de audit;

c) toate limitările ariei de aplicabilitate a misiunii, cum ar fi: lipsa documentaţiei necesare pentru revizuire, personal indisponibil pentru intervievare, cît şi impactul unor astfel de limitări asupra rezultatelor misiunii;

d) persoanele intervievate, atît din cadrul entităţii publice, cît şi din exteriorul ei. De obicei, lista persoanelor intervievate se prezintă într-o anexă la raportul de audit;

e) perioada misiunii şi auditorii interni care au efectuat misiunea.

21. Contextul administrativ

21.1. Contextul administrativ trebuie să fie descris astfel încît cititorul unui raport de audit să înţeleagă în ce conjunctură sînt prezentate constatările şi recomandările de audit.

21.2. Contextul administrativ poate să includă:

- obiectivele operaţionale ale procesului/sistemului auditat;

- posibilele modificări ale cadrului legislativ sau alte evenimente sau probleme semnificative, care ar putea influenţa procesul de implementare a recomandărilor de audit.

22. Constatările de audit

22.1. Constatările de audit trebuie să fie scrise separat pentru ca recomandarea de audit aferentă constatării să fie uşor înţeleasă şi să fie clar cine este responsabil de implementarea acesteia. Constatările de audit sînt grupate pentru a susţine recomandările de audit de nivel înalt.

22.2. Auditorul intern trebuie să evalueze în mod critic propriile constatări de audit pentru a confirma că vor putea fi justificate şi vor forma o bază bună pentru oferirea recomandărilor de audit. Dacă este posibil, constatările de audit trebuie evaluate critic de către un alt membru al echipei de audit, care nu a participat la formularea acestora.

22.3. Toate constatările de audit se clasifică conform importanţei lor: majoră, medie şi minoră. Este mai bine să se utilizeze mai multe criterii pentru a determina importanţa constatărilor de audit.

22.4. Situaţia generală a constatărilor de audit poate fi prezentată sub formă de matrice (vezi figura 10), clasificate după impact probabil şi conformitatea cu cadrul normativ, spre exemplu:

- constatările de importanţă majoră (pentru care sînt necesare acţiuni urgente) sînt înscrise în boxele roşii, care sînt notate cu litera R;

- constatările de importanţă medie (pentru care sînt necesare acţiuni, însă nu urgente) sînt înscrise în boxele galbene, care sînt notate cu litera G;

- constatările de importanţă minoră (acţiuni recomandabile) sînt înscrise în boxele verzi, care sînt notate cu litera V.

 

Figura 10. Exemplu de reprezentare a situaţiei generale a constatărilor de audit

 

22.5. Pentru alte tipuri de analize pot fi utilizate alte criterii, spre exemplu materialitatea, măsurată în termeni financiari. Totuşi, factorii vor fi combinaţi în mod similar. Constatările de audit clasificate în acest mod vor avea un aspect ştiinţific, însă factorii sînt deseori evaluaţi utilizînd raţionamentul. Dacă rezultatele obţinute duc la o altă clasificare a constatărilor de audit, decît s-a aşteptat auditorul intern, atunci ar fi bine să se revadă criteriile.

23. Recomandările de audit

23.1. Recomandările de audit prezintă opinia auditorilor interni despre modalitatea de abordare a constatărilor de audit şi descriu situaţia finală, care trebuie atinsă pentru a atenua riscurile, a respecta regulamentele sau a realiza obiectivele operaţionale.

23.2. Toate recomandările de audit se clasifică în recomandări cu prioritate înaltă, medie şi redusă.

23.3. O practică bună este clasificarea recomandărilor de audit după criteriul dublu, format din impactul obţinut în rezultatul implementării recomandării de audit şi fezabilitatea acesteia. Fezabilitatea poate include o evaluare generală a costului implementării.

23.4. La fel ca şi în cazul constatărilor de audit, situaţia generală a recomandărilor de audit poate fi prezentată sub formă de matrice (vezi figura 11), spre exemplu:

- recomandările cu prioritate înaltă sînt înscrise în boxele roşii, care sînt notate cu litera R;

- recomandările cu prioritate medie sînt înscrise în boxele galbene, care sînt notate cu litera G;

- recomandările cu prioritate redusă sînt înscrise în boxele verzi, care sînt notate cu litera V.

 

 

Figura 11. Exemplu de reprezentare a situaţiei generale a recomandărilor de audit

 

23.5. Pentru anumite misiuni, relaţia dintre recomandările şi constatările de audit este că pentru o anumită constatare pot fi oferite mai multe recomandări de audit sau o singură recomandare poate fi formulată pentru cîteva constatări de audit.

23.6. În această situaţie este o practică bună să se prezinte legătura între constatări şi recomandări de audit, după cum este indicat în figura 12.

 

 

Figura 12. Exemplu de ilustrare a relaţiei dintre recomandări şi constatări de audit

 

24. Concluzii

24.1. Secţiunea cu concluzii din raportul de audit va conţine:

- o opinie generală despre constatările şi recomandările de audit prezentate, spre exemplu pentru a oferi o evaluare generală a eficacităţii activităţilor de control asupra întregului sistem;

- constatările şi recomandările de audit într-un context mai larg pentru a oferi recomandări de nivel înalt pentru conducerea superioară.

25. Anexe

25.1. Anexele la raportul de audit prezintă informaţiile necesare unităţii auditate pentru a acţiona pe marginea constatărilor şi recomandărilor de audit, sau informaţiile necesare pentru a susţine constatările de audit.

25.2. Anexele pot include:

- tabele, grafice, diagrame;

- comentariile unităţii auditate în cazul dezacordului privind constatările şi recomandările de audit;

- planul de acţiuni privind implementarea recomandărilor de audit;

- altele.

 

VIII. URMĂRIREA IMPLEMENTĂRII RECOMANDĂRILOR DE AUDIT – NMAISP 7

1. Introducere

1.1. Rolul auditului intern este de a oferi asigurări privind funcţionarea adecvată a sistemului MFC şi de a oferi recomandări pentru îmbunătăţirea acestuia. Prin urmare, este esenţial să se urmărească în mod corespunzător implementarea recomandărilor de audit pentru a asigura că funcţia de audit intern aduce o valoare adăugată entităţii publice.

1.2. NMAISP 7 se referă la:

a) cerinţele faţă de conducătorul UAI pentru a stabili un sistem eficace de urmărire a implementării recomandărilor de audit;

b) acţiunile ce vor fi realizate pentru a urmări implementarea recomandărilor de audit;

c) procedurile instituite pentru urmărirea implementării recomandărilor de audit şi raportarea periodică a modului de implementare a recomandărilor cu o prioritate înaltă şi medie.

1.3. Conducătorul UAI monitorizează implementarea recomandărilor de audit, ţinînd cont de prevederile SNAI.

 

 

2. Sistemul de urmărire a implementării recomandărilor de audit

2.1. Conducătorul UAI instituie un sistem eficace de urmărire a implementării tuturor recomandărilor de audit.

2.2. NMAISP 6 “Raportul de audit” prevede clasificarea tuturor recomandărilor de audit în funcţie de prioritatea implementării (înaltă, medie, redusă).

2.3. Clasificarea recomandărilor de audit în raportul de audit determină modul în care acestea vor fi urmărite.

2.4. Orice sistem, stabilit de conducătorul UAI, va asigura:

a) cel puţin o acţiune de urmărire a implementării recomandărilor de audit dintr-un anumit raport de audit;

b) urmărirea corespunzătoare a deciziilor luate şi acţiunilor efectuate în baza recomandărilor de audit cu prioritate înaltă şi medie. Conducătorul UAI adoptă procese mai puţin riguroase pentru recomandările de audit medii, însă oricum ele sînt urmărite de către auditorii interni;

c) colectarea datelor despre deciziile finale luate în legătură cu implementarea recomandărilor de audit cu prioritate redusă, doar în baza răspunsurilor unităţii auditate. Nu este necesar ca auditorii interni să urmărească modul de implementare a recomandărilor de audit din această categorie;

d) raportarea către managerul entităţii publice a situaţiei privind implementarea recomandărilor de audit.

2.5. În figura 13 sînt prezentate principalele elemente şi etape ale procesului de urmărire a implementării recomandărilor de audit, care trebuie instituit de către conducătorul UAI.

 

 

Figura 13. Procesul de urmărire a implementării recomandărilor de audit

 

2.6. Procesul de urmărire a implementării recomandărilor de audit asigură înregistrarea domeniilor supuse celor mai majore riscuri şi gestionarea acestora la un nivel corespunzător de responsabilitate. Prin urmare, recomandările de audit ce aduc entităţii publice cea mai mare valoare adăugată prin oferirea unor soluţii la un cost rezonabil pentru constatările majore sînt înregistrate separat şi raportate conducerii superioare.

2.7. Procesul de urmărire a implementării recomandărilor de audit asigură monitorizarea modului de implementare a recomandărilor cu cea mai înaltă valoare adăugată. Este necesar, la etapa raportării activităţii, să se accentueze legătura între constatări şi recomandări pentru a se asigura că conducerea superioară le va înţelege corect şi deplin.

2.8. În figura 14 sînt prezentate principalele acţiuni de urmărire a implementării recomandărilor de audit.

 

 

Figura 14. Principalele acţiuni de urmărire a implementării recomandărilor de audit

 

2.9. Există patru nivele de acţiuni de urmărire a implementării recomandărilor de audit:

a) informaţii verbale – cea mai simplă modalitate de urmărire a implementării recomandărilor de audit este contactarea unităţii auditate de către şeful echipei de audit pentru a obţine informaţii verbale despre progresele înregistrate. Această modalitate de urmărire se efectuează rapid, însă oferă probe limitate despre întreprinderea acţiunilor pe marginea recomandărilor de audit;

b) formular – acest nivel de urmărire implică utilizarea unui formular (chestionar) pentru a obţine o confirmare în formă scrisă, precum că unitatea auditată a efectuat acţiunile corespunzătoare. Un răspuns în scris, sub forma unui raport, va oferi probe de calitate mai bună privind măsurile întreprinse, însă nici această modalitate nu implică o verificare independentă din partea auditorului intern a acţiunilor efectuate pentru implementarea recomandărilor;

c) verificare ulterioară – verificarea ulterioară constituie efectuarea unei vizite scurte la unitatea auditată şi o interacţiune mai directă între auditorul intern şi unitatea auditată pentru colectarea probelor ce demonstrează că s-au întreprins măsuri;

d) audit ulterior – auditul ulterior reprezintă o misiune deplină, obiectivele căreia includ revizuirea totală sau parţială a modului, în care unitatea auditată a implementat recomandările de audit.

2.10. Conducătorul UAI decide asupra metodelor sau combinaţiilor de metode utilizate pentru urmărirea implementării recomandărilor de audit pentru fiecare misiune. Spre exemplu, conducătorul UAI ar putea decide: (i) să urmărească pe cale verbală acţiunile întreprinse privind implementarea recomandărilor de audit cu prioritate redusă, (ii) să solicite confirmări în scris aferente acţiunilor întreprinse privind implementarea recomandărilor de audit cu prioritate medie şi (iii) să efectueze verificări ulterioare a implementării recomandărilor de audit cu prioritate înaltă.

3. Planificarea acţiunilor de urmărire a implementării recomandărilor de audit

3.1. Un grafic aproximativ de implementare a recomandărilor de audit este pregătit în timpul şedinţei de închidere a misiunii, de către unitatea auditată de comun cu echipa de audit.

3.2. În planul de acţiuni, unitatea auditată stabileşte termene-limită de implementare a recomandărilor de audit. Perioada de timp exactă se convine şi cu conducătorul UAI. Scopul este de a verifica dacă riscurile au fost aduse la un nivel acceptabil şi este oferită o perioadă de timp rezonabilă pentru a permite implementarea recomandărilor de audit.

3.3. Acţiunile de urmărire a implementării recomandărilor de audit sînt planificate la etapa elaborării planului anual.

3.4. Dacă aceste acţiuni de urmărire implică o verificare ulterioară, auditorul intern confirmă încă o dată graficul de lucru detaliat cu 1 – 2 săptămîni înainte de data verificării, specificată în planul anual, pentru a se asigura că unitatea auditată a întreprins suficiente acţiuni de implementare pentru a justifica verificarea ulterioară. Este mai bine de amînat verificarea ulterioară cu 1 – 2 săptămîni, decît de efectuat verificarea ulterioară atunci, cînd încă nu au fost finalizate acţiunile prevăzute în planul de acţiuni.

4. Informaţii verbale

4.1. Informaţiile verbale sînt solicitate de către şeful echipei de audit care a realizat misiunea, care cunoaşte bine constatările şi recomandările de audit. Cu toate acestea, este utilizată o listă de verificare simplă şi răspunsurile se notează pentru a putea fi utilizate mai tîrziu, atunci cînd conducătorul UAI va elabora Raportul privind implementarea recomandărilor de audit.

5. Formular privind implementarea recomandărilor de audit

5.1. Cea mai simplă modalitate de urmărire a implementării recomandărilor de audit este de elabora un formular, în care unitatea auditată va înscrie răspunsurile sale privind acţiunile de implementare a recomandărilor de audit. Formularul poate fi utilizat pentru a prezenta informaţii, atît despre acţiunile efectuate, cît şi despre dificultăţile apărute în procesul de implementare a recomandărilor de audit (spre exemplu, recomandări neclare/ necesitatea de a realiza alte acţiuni înainte de a putea implementa anumite recomandări de audit).

5.2. O abordare alternativă ar fi ca conducătorul UAI să solicite de la unitatea auditată un raport privind acţiunile realizate pentru implementarea recomandărilor de audit. Formatul raportului este determinat de către conducătorul UAI, de comun cu unitatea auditată, în baza formularului.

5.4. În conformitate cu planul anual, UAI transmite către unitatea auditată formularul spre completare cu specificarea perioadei de timp.

5.5. Acest document va conţine elementele de identificare (titlul misiunii, numărul de referinţă al documentului), recomandările de audit, descrierea activităţilor din planul de acţiuni, responsabil, data executării (planificată/ realizată), precum şi gradul implementării (neimplementat, parţial implementat şi implementat).

5.6. Formularul nominalizat/ raportul unităţii auditate se păstrează în dosarul curent al misiunii.

6. Verificarea ulterioară

6.1. Verificarea ulterioară reprezintă o misiune de scurtă durată, realizată de auditorul intern, pentru a obţine probe privind implementarea recomandărilor de audit. O verificare ulterioară poate dura de la cîteva ore, pînă la o săptămînă. Aria de aplicabilitate este determinată în baza raportului de audit iniţial şi a obiectivelor misiunii, precum şi de acţiunile efectuate de la data prezentării raportului de audit.

6.2. Principala diferenţă între verificarea ulterioară şi informaţiile verbale/ chestionare şi rapoarte scrise, este că auditorul intern colectează probe suplimentare privind implementarea recomandărilor de audit. În mod normal, verificarea ulterioară este necesară pentru monitorizarea implementării recomandărilor de audit cu prioritate înaltă.

6.3. Planificarea unei verificări ulterioare va cuprinde:

a) examinarea planului de acţiuni pentru a identifica obligaţiile asumate în conformitate cu recomandările de audit;

b) identificarea probelor de audit necesare, care vor oferi asigurări precum că rezultatele preconizate au fost obţinute;

c) determinarea testelor necesare, în afară de interviu. Spre exemplu, auditorul intern poate efectua o verificare integrală a noilor activităţi de control introduse sau poate obţine copii ale noilor instrucţiuni sau fişe ale postului, elaborate pentru divizarea sarcinilor.

6.4. Ca rezultat al verificării ulterioare se întocmeşte un raport succint privind urmărirea implementării recomandărilor de audit, în care sînt prezentate acţiunile efectuate de către unitatea auditată pentru a implementa recomandările de audit.

6.5. Raportul privind urmărirea implementării recomandărilor de audit include:

a) descrierea succintă a recomandărilor de audit din raportul de audit;

b) un rezumat al acţiunilor efectuate pentru a implementa recomandările de audit;

c) evaluarea situaţiei curente, dacă recomandările de audit au fost implementate;

d) aspectele nesoluţionate, dacă recomandările de audit iniţiale mai sînt relevante;

e) oferirea unor recomandări de audit noi sau modificarea celor iniţiale (dacă este cazul);

f) planul de acţiuni revizuit de către unitatea auditată (dacă este cazul);

g) concluzia generală privind impactul situaţiei curente asupra nivelului de expunere la riscuri.

6.6. Raportul privind urmărirea implementării recomandărilor de audit poate fi elaborat sub forma unui tabel, în care sînt prezentate succint recomandările de audit iniţiale, acţiunile întreprinse şi descrierea succintă a principalelor constatări în timpul verificării ulterioare.

6.7. Versiunea finală a raportului privind implementarea recomandărilor de audit se prezintă tuturor persoanelor care au primit raportul de audit iniţial, precum şi altor părţi interesate, dacă este cazul.

6.8. Verificarea ulterioară oferă auditorilor interni posibilitatea de a verifica calitatea şi relevanţa recomandărilor de audit şi de a obţine un răspuns din partea unităţii auditate privind valoarea adăugată oferită de auditul intern.

6.9. Toate informaţiile colectate în timpul verificării ulterioare se păstrează în dosarele relevante, pentru a asigura o documentare corectă şi deplină a rezultatelor activităţii de audit intern.

7. Auditul ulterior

7.1. În cazul cînd recomandările de audit au o importanţă substanţială, conducătorul UAI poate decide efectuarea unei alte misiuni în viitorul apropiat. În acest caz, verificarea ulterioară se transformă într-o misiune ulterioară, care este inclusă în planul anual şi efectuată în mod corespunzător.

8. Raportarea către managerul entităţii

8.1. Conducătorul UAI stabileşte un mecanism de monitorizare a implementării recomandărilor de audit la nivelul întregii entităţi publice, în rezultatul consolidării acţiunilor de urmărire a implementării recomandărilor de audit pentru fiecare raport de audit/ misiune.

8.2. Conducătorul UAI convine cu managerul entităţii publice asupra modalităţii de raportare a implementării recomandărilor de audit în întreaga entitate publică. Mecanismul respectiv trebuie să includă rapoarte periodice şi alte prezentări anuale ale situaţiei privind implementarea recomandărilor de audit.

8.3. Informaţia pentru raportarea către managerul entităţii publice va fi obţinută din acţiunile de urmărire a implementării recomandărilor de audit pentru fiecare misiune.

9. Actualizarea riscurilor şi planurilor

9.1. În afară de evaluarea periodică a riscurilor, efectuată în timpul elaborării planului strategic şi planului anual, informaţiile obţinute în timpul misiunilor oferă contribuţii sistematice, corecte şi relevante pentru procesul de management riscurilor în cadrul entităţii publice.

9.2. Conducătorul UAI are responsabilitatea de a oferi informaţii privind orice modificare a expunerii la riscuri în cadrul entităţii către persoanele responsabile de identificarea, evaluarea, înregistrarea, monitorizarea şi controlul riscurilor.

9.3. Ca rezultat al procesului urmăririi implementării recomandărilor de audit, conducătorul UAI analizează măsura în care planul strategic şi planul anual trebuie revizuit pentru a reflecta informaţiile obţinute.

10. Instrucţiuni suplimentare la NMAISP 7

10.1. Ulterior, se prezintă un exemplu de formular pentru urmărirea implementării recomandărilor de audit.

 

 

IX. GESTIONAREA ŞI EVALUAREA CALITĂŢII ACTIVITĂŢII

DE AUDIT INTERN – NMAISP 8

1. Introducere

1.1. Conducătorul UAI trebuie să gestioneze în mod eficient activitatea de audit intern pentru a se asigura, că ea aduce valoare adăugată entităţii publice. NMAISP analizează acţiunile necesare pentru a asigura realizarea activităţii de audit intern în conformitate cu cele standardele internaţional acceptate. Aceste standarde sînt premisele principale pentru generarea valorii adăugate în activitatea de audit intern.

1.2. NMAISP examinează responsabilităţile manageriale specifice pentru pregătirea activităţii de audit intern de calitate şi nu oferă îndrumări cu privire la practicile şi tehnicile manageriale generale.

1.3. Conducătorul UIA gestionează activitatea de audit intern, ţinînd cont de prevederile SNAI.

 

 

1.4. Conducătorul UAI are obligaţia de a gestiona activitatea de audit intern în mod adecvat, pentru ca:

- activitatea de audit intern să răspundă obiectivelor generale şi celor privind responsabilităţile descrise în Cartă;

- resursele UAI să fie utilizate în mod eficace şi eficient;

- activitatea de audit intern să fie realizată conform Legii CFPI, SNAI, NMAISP şi Codului etic al auditorului intern.

1.5. Gestionarea eficace şi eficientă a resurselor UAI presupune ca conducătorul UAI să aibă un rol major în recrutarea şi dezvoltarea profesională a angajaţilor UAI.

1.6. SNAI, NMAISP şi legislaţia relevantă domeniului auditului intern, dar şi cerinţele aplicabile ale mediului în care entităţile publice funcţionează, impun necesitatea evaluării, interne sau externe, a performanţei şi calităţii activităţii de audit intern, cu scopul:

a) evaluării conformităţii activităţii cu cadrul normativ relevant şi SNAI;

b) identificării metodelor de îmbunătăţire a politicilor şi practicilor de audit intern;

c) comparării eficienţei resurselor, metodologiilor şi practicilor utilizate cu aşteptările managementului superior şi unităţilor auditate;

d) examinării percepţiei organizaţionale asupra misiunilor de asigurare şi consiliere desfăşurate;

e) analizării deficienţelor calitative şi stabilirii oportunităţilor şi acţiunilor pentru îmbunătăţirea continuă a activităţii.

1.7. Evaluarea funcţiei de audit intern aduce următoarele beneficii la nivel strategic şi organizaţional:

a) ajută la alinierea obiectivelor activităţii de audit intern la obiectivele entităţii publice;

b) furnizează o imagine fidelă asupra calităţii activităţii de audit intern în comparaţie cu bunele practici;

c) clarifică gradul de îndeplinire de către funcţia de audit intern a aşteptărilor şi cerinţelor managementului/ altor părţi interesate;

d) creează premisele dezvoltării planurilor de acţiuni pentru maximizarea valorii adăugate asupra activităţii entităţii publice.

2. Programul de asigurare şi îmbunătăţire a calităţii

2.1. Conducătorul UAI elaborează şi actualizează un program de asigurare şi îmbunătăţire a calităţii pentru toate aspectele activităţii de audit intern. Acest program trebuie să formeze concluzii privind calitatea activităţii de audit intern şi să ducă la recomandări corespunzătoare de îmbunătăţire.

2.2. Scopul programului de asigurare şi îmbunătăţire a calităţii este de a oferi asigurări rezonabile diferitor părţi interesate ale activităţii de audit intern, precum că aceasta:

a) se efectuează în conformitate cu Legea CFPI, propria Cartă, SNAI, Codul etic al auditorului intern şi prezentele NMAISP;

b) operează în mod eficace şi eficient;

c) contribuie la guvernare, managementul riscurilor şi control în cadrul entităţii publice;

d) cuprinde întregul “univers de audit”;

e) abordează riscurile aferente activităţii de audit intern;

f) este percepută de părţile interesate că aduce o valoare adăugată, îmbunătăţeşte operaţiunile şi contribuie la realizarea obiectivelor entităţii publice.

2.3. Programul de asigurare şi îmbunătăţire a calităţii se aplică tuturor aspectelor activităţii de audit intern, iar responsabilitatea principală pentru implementarea acestuia revine conducătorului UAI. Pentru a acoperi toate aspectele, programul de asigurare şi îmbunătăţire a calităţii trebuie să fie aplicat eficient la trei niveluri (perspective) fundamentale:

1) nivelul misiunii;

2) nivelul activităţii de audit intern;

3) perspectiva externă.

2.4. Programul de asigurare şi îmbunătăţire a calităţii cuprinde:

- evaluări interne – monitorizare continuă şi evaluări periodice a calităţii, organizate ca parte a gestiunii şi supravegherii activităţii de audit intern;

- evaluări externe – aprecieri externe independente a calităţii, care trebuie organizate cel puţin o dată la fiecare cinci ani.

3. Evaluările interne

3.1. Evaluările interne presupun efectuarea de verificări permanente, prin care conducătorul UAI examinează eficacitatea normelor interne pentru a aprecia dacă procedurile de asigurare a calităţii misiunilor sînt aplicate în mod satisfăcător, garantînd calitatea rapoartelor de audit. În acest cadru, supravegherea realizării misiunilor permite depistarea deficienţelor, iniţierea acţiunilor necesare de îmbunătăţire a viitoarelor misiuni şi planificarea activităţilor de perfecţionare profesională.

3.2. Evaluările interne ale calităţii constau din două părţi legate între ele:

a) monitorizarea continuă;

b) autoevaluarea periodică.

4. Monitorizarea continuă

4.1. Monitorizarea continuă oferă asigurarea faptului că procesele existente funcţionează eficient pentru a asigura desfăşurarea calitativă a fiecărei misiuni. Conducătorul UAI realizează acest obiectiv, mai întîi de toate, prin activităţi de monitorizare continuă, inclusiv a (i) planificării şi supravegherii misiunilor, (ii) practicilor de lucru standard, (iii) procedurilor privind documentele de lucru şi semnare a lor, (iv) a revizuirii rapoartelor de audit.

4.2. Mecanismele suplimentare includ:

- obţinerea de reacţie de la unităţile auditate şi alte părţi interesate;

- evaluarea pregătirii misiunii înainte de lucrul în teren, analizînd aspecte de genul aprobării preliminare a ariei de aplicabilitate, bune practici inovative, ore alocate şi resurse atribuite (cunoştinţe);

- utilizarea listelor de verificare sau automatizării auditului intern pentru a oferi asigurare privind faptul dacă procesele adoptate de UAI (de ex. politicile şi manualele de proceduri de audit intern) sînt respectate;

- utilizarea sistemelor de înregistrare a timpului de lucru şi a realizării planului anual, pentru a determina dacă este utilizat timp corespunzător pentru diferite aspecte ale misiunii, precum şi pentru domeniile cu risc înalt şi cele complicate sau complexe;

- analizarea altor indicatori de performanţă pentru a măsura satisfacţia părţilor interesate.

4.3. Monitorizarea activităţii zilnice de audit este responsabilitatea şefului echipei de audit, care elaborează programul de lucru, efectuează misiunea conform programului de lucru convenit şi prezintă conducătorului UAI pentru examinare un proiect de raport de audit în cadrul limitelor responsabilităţii, atribuite de către acesta din urmă.

4.4. Rolul nemijlocit al şefului echipei de audit implică următoarele sarcini:

a) întocmirea ordinului privind efectuarea misiunii de audit intern, pentru a fi semnat de către conducătorul UAI;

b) pregătirea agendei şedinţei de deschidere şi conducerea acestei şedinţe, chiar dacă conducătorul UAI este prezent la şedinţă;

c) stabilirea programului de lucru şi determinarea resurselor necesare pentru a efectua misiunea;

d) asigurarea executării adecvate şi la timp a misiunii pentru a se încadra în termenele-limită, specificate în ordinul privind efectuarea misiunii de audit intern;

e) supravegherea derulării misiunii şi verificarea lucrului executat de către auditorii interni, pentru a se asigura că aria de aplicabilitate rămîne adecvată şi că testele de audit efectuate oferă probe de audit admisibile pentru susţinerea constatărilor de audit;

f) supravegherea documentării corespunzătoare a rezultatelor misiunii în dosarele curente de audit şi actualizarea adecvată a dosarelor permanente;

g) prezentarea auditorilor interni, implicaţi în misiune, unităţii auditate;

h) comunicarea cu angajaţii unităţii auditate, pentru a soluţiona orice aspect/ problemă care apare (spre exemplu, solicitarea unor explicaţii sau confirmări pentru erorile serioase depistate);

i) informarea unităţii auditate despre principalele constatări de audit;

j) informarea sistematică a conducătorului UAI despre evoluţia misiunii;

k) prezentarea constatărilor şi recomandărilor de audit preliminare la şedinţa de finalizare a lucrului în teren;

l) pregătirea proiectului raportului de audit.

4.5. Sarcinile şefului echipei de audit privind monitorizarea unei anumite misiuni cuprind perioada de la planificarea misiunii pînă la acţiunile de urmărire a implementării recomandărilor de audit. Volumul monitorizării din partea unui şef al echipei de audit variază în funcţie de abilităţile, experienţa auditorilor interni şi gradul de dificultate a misiunii.

4.6. Monitorizarea misiunii poate include cîteva sau mai multe elemente specificate ulterior:

- desemnarea obligaţiilor auditorilor interni, implicaţi în misiune;

- clarificarea divergenţelor de opinie între auditorii interni, care participă la misiune, cu privire la importanţa constatărilor şi recomandărilor de audit pentru controlul riscurilor identificate;

- monitorizarea activităţilor zilnice (stoparea activităţilor inutile sau atribuirea unor sarcini adiţionale, dacă este cazul);

- revizuirea şi semnarea documentelor de lucru pentru a indica faptul, că au fost elaborate şi finisate în mod satisfăcător;

- determinarea faptului dacă documentele de lucru susţin constatările de audit;

- asigurarea implementării programului de lucru aprobat;

- asigurarea faptului, că raportul de audit este corect, obiectiv, clar, laconic, constructiv şi pregătit la timp;

- evaluarea performanţelor auditorilor interni implicaţi în misiune;

- facilitarea procesului de audit prin oferirea soluţiilor la problemele apărute pe parcursul derulării misiunii;

- efectuarea sarcinilor administrative, delegate de către conducătorul UAI;

- evaluarea contribuţiilor şi eforturilor membrilor echipei de audit, aprecierea succeselor şi criticarea constructivă a acţiunilor, ce trebuie îmbunătăţite sau finalizate;

- propunerea către conducătorul UAI privind a necesităţilor de instruire identificate;

- revizuirea, din numele echipei de audit, a eficacităţii misiunii, precum şi înaintarea propunerilor şi recomandărilor de îmbunătăţire a procesului pe viitor către conducătorul UAI.

4.7. Toate punctele vulnerabile sau domeniile ce necesită îmbunătăţire trebuie să fie abordate continuu odată ce sînt identificate, iar rezultatele monitorizării continue trebuie să fie raportate către managerul entităţii publice cel puţin anual.

5. Autoevaluarea periodică

5.1. O autoevaluare periodică se concentrează pe lucruri diferite de, dar corelate cu monitorizarea continuă. Auto-evaluările periodice se axează pe aprecierea:

- corespunderii cu Carta, Codul etic al auditorului intern şi SNAI;

- calităţii activităţii, inclusiv respectarea NMAISP în cadrul unor misiuni selectate;

- calităţii monitorizării continue/ supravegherii misiunilor;

- infrastructurii, inclusiv politicilor şi procedurilor ce susţin activitatea de audit intern;

- modalităţilor prin care funcţia de audit intern adaugă valoare entităţii publice;

- realizării indicatorilor de performanţă.

5.2. Autoevaluările periodice trebuie să fie desfăşurate prin:

a) revizuirea corespunderii documentelor de lucru cu Codul etic al auditorului intern, SNAI şi politicile şi procedurile de audit intern de către persoane care nu au fost implicate în misiunile respective;

b) autoevaluarea activităţii de audit intern vis-a-vis de obiectivele/ criteriile stabilite ca parte a programului de asigurare şi îmbunătăţire a calităţii;

c) evaluarea anuală a riscurilor cu scopul planificării anuale a activităţii;

d) revizuirea performanţei activităţii de audit intern şi marcarea celor mai bune practici;

e) întîlniri cu şi raportare periodică a activităţii şi performanţelor către managerul entităţii publice şi alte părţi interesate, la necesitate;

f) rapoarte sistematice cu privire la activitatea de audit intern, conform cerinţelor UCA.

5.3. Un program de autoevaluare bine proiectat oferă conducătorului UAI informaţii privind corespunderea cu SNAI. Programul de asigurare şi îmbunătăţire a calităţii trebuie să documenteze şi să definească o abordare sistematică şi disciplinată faţă de procesul de autoevaluare, inclusiv modul de realizare a autoevaluărilor periodice şi definirea ariei lor de aplicabilitate pentru fiecare an intermediar dintre evaluările externe ale calităţii. Această complinire a monitorizării continue şi autoevaluărilor periodice oferă o structură eficientă pentru o evaluare continuă a conformităţii activităţii de audit intern şi a oportunităţilor de îmbunătăţire.

5.4. Revizuirea documentelor de lucru, ca parte a programului de asigurare şi îmbunătăţire a calităţii, este o cerinţă de bază a unui comportament profesional adecvat. Deciziile luate de către auditorii interni sînt înregistrate complet şi ulterior revizuite. Revizuirea are loc la două niveluri.

5.5. Revizuirea de nivelul întîi este efectuată de şeful echipei de audit, care:

a) verifică executarea integrală a programului de lucru;

b) verifică dacă toate constatările de audit fac parte din graficul testării de audit şi sînt confirmate cu documente de lucru;

c) notează toate întrebările, care apar în timpul revizuirii şi solicită în scris răspunsuri de la auditorul intern respectiv;

d) semnează toate documentele de lucru pentru a demonstra, că acestea au fost revizuite;

e) întocmeşte un rezumat al constatărilor de audit importante, care trebuie aduse la cunoştinţa conducătorului UAI, pentru analiza proiectului raportului de audit.

5.6. Revizuirea de nivelul doi este efectuată de conducătorul UAI pe parcursul examinării proiectului raportului de audit şi documentelor de lucru pentru a se asigura că:

a) misiunea a fost efectuată la un nivel acceptabil, conform programului de lucru prestabilit;

b) toate constatările de audit sînt susţinute adecvat de probe de audit sigure şi relevante şi au fost supuse unei revizuiri detaliate de nivelul întîi;

c) toate chestiunile, care au apărut pe parcursul misiunii, au fost abordate şi raportate în mod corespunzător.

5.7. În caz de necesitate, conducătorul UAI elaborează liste de verificare pentru revizuirea documentelor de lucru cu scopul de a oferi o îndrumare personalului implicat în proces.

5.8. Dovezile de efectuare a funcţiilor de supervizare, înregistrarea acţiunilor efectuate, listele de verificare pentru revizuirea documentelor de lucru sînt documentate şi păstrate în calitate de probe ce demonstrează că activitatea de audit a fost revizuită în mod adecvat. Astfel de informaţii mai reprezintă şi un mijloc de evaluare a calităţii supravegherii misiunii de către şeful echipei de audit.

5.9. Evaluarea internă a performanţelor individuale a auditorilor interni este realizată de către conducătorul UAI cu scopul:

- de a identifica zonele în care activitatea desfăşurată de către fiecare auditor intern necesită îmbunătăţiri;

- de a analiza cauzele, care au determinat o performanţă redusă pentru anumite zone;

- de a discuta cu fiecare auditor intern în parte mijloacele cele mai eficiente pentru îmbunătăţirea performanţei individuale.

5.10. Autoevaluările periodice ar putea include interviuri detaliate şi sondaje ale părţilor interesate, precum şi compararea practicilor şi performanţelor activităţii de audit intern cu bunele practici relevante.

5.11. Autoevaluările periodice sînt de obicei desfăşurate de conducătorul UAI, dar pot participa la acest proces şi alţi specialişti competenţi în auditul intern, din afara UAI. Oricînd e posibil, este avantajos de implicat auditorii interni în activităţile de evaluare a calităţii, în bază de rotaţie. Aceasta va fi o oportunitate utilă de dezvoltare profesională pentru întreg personalul UAI.

5.12. În rezultatul autoevaluării conducătorul UAI trebuie să elaboreze un plan de acţiuni în care să fie abordate domeniile identificate ca avînd nevoie de îmbunătăţire. Acest plan de acţiuni trebuie să includă şi o propunere de încadrare a acţiunilor în timp. Rezultatul autoevaluării, ca parte a programului de asigurare şi îmbunătăţire a calităţii, de comun cu planul de acţiuni se comunică managerului entităţii publice.

5.13. În cazul UAI mici, supervizarea misiunii şi revizuirea documentelor de lucru prezintă provocări specifice. Aceste provocări sînt şi mai complicate cînd în cadrul UAI activează doar un singur auditor intern. În aceste cazuri, utilizarea listelor de verificare poate fi o soluţie utilă în oferirea de asigurare privind calitatea activităţii de audit intern.

6. Evaluările externe

6.1. Evaluările externe trebuie să fie desfăşurate cel puţin o dată la cinci ani de către un evaluator sau echipă de evaluare independentă din afara entităţii publice, care este calificată să practice auditul intern, precum şi procesul de evaluare a calităţii.

6.2. Există două abordări faţă de desfăşurarea evaluării externe:

- o evaluare externă integrală, care implică utilizarea unui evaluator sau echipe de evaluare independente şi calificate pentru a desfăşura întreaga evaluare;

- o validare independentă (externă), care implică utilizarea unui evaluator sau echipe de evaluare pentru a efectua o validare independentă a autoevaluării realizate periodic de către UAI.

6.3. Indiferent de abordare, evaluatorii externi, în cadrul raportului de evaluare, exprimă o opinie privind întregul spectru de activitate de asigurare şi consultanţă care a fost desfăşurată (sau care urma să fi fost desfăşurată) de către UAI, inclusiv corespunderea acesteia cu Codul etic al auditorului intern şi SNAI. Evaluatorii, de asemenea, trag concluzii privind eficienţa şi eficacitatea activităţii de audit intern la atingerea obiectivelor şi îndeplinirea aşteptărilor părţilor interesate. Raportul de evaluare externă mai trebuie să includă, după caz, recomandări privind posibila îmbunătăţire a managementului şi modul în care activitatea de audit intern poate adăuga valoare entităţii publice.

6.4. Ca rezultat al unei evaluări externe trebuie să fie elaborat un plan de acţiuni, care să abordeze oportunităţile identificate. Rezultatele evaluării externe, ca parte a programului de asigurare şi îmbunătăţire a calităţii, trebuie raportate managerului entităţii publice.

6.5. O evaluare externă poate fi desfăşurată atît de persoane, cît şi de alte organizaţii cu experienţa specifică în procesul de evaluare externă a calităţii (ca de exemplu, Institutul Auditorilor Interni sau un prestator de servicii) sau prin intermediul unui proces de revizuire de către o entitate similară.

6.6. Evaluarea de către o entitate similară poate oferi o abordare cost-eficientă pentru a satisface cerinţele SNAI (de exemplu, evaluarea în triunghi). Cu toate acestea, evaluarea de către o entitate similară trebuie să corespundă criteriilor de independenţă şi de calificare prevăzute în SNAI.

6.7. În continuare, sînt enumerate unele din considerentele principale privind independenţa şi calificarea evaluatorului:

- toţi membrii echipei de evaluare care desfăşoară evaluarea externă trebuie să fie independenţi de entitatea publică şi personalul UAI;

- persoanele din cadrul aceleiaşi entităţi publice, dar din cadrul unei alte subdiviziuni structurale sau dintr-o entitate publică aferentă (ca de exemplu, organul ierarhic superior sau o entitate publică cu rol de supraveghere sistematică) nu sînt considerate independente în sensul desfăşurării evaluării externe;

- persoanele care activează în UAI separate, în entităţi publice diferite în cadrul aceluiaşi nivel de guvernare, pot fi considerate independente în sensul desfăşurării evaluărilor externe;

- două entităţi publice nu pot să se revizuiască reciproc.

6.8. Validarea independentă a autoevaluării oferă o alternativă valoroasă pentru a satisface cerinţele SNAI. Această opţiune poate părea utilă în special UAI mici şi celor care au trecut recent printr-o evaluare externă integrală, deoarece trebuie să fie mai ieftine decît evaluările externe integrale.

6.9. Conducătorul UAI examinează aptitudinile şi experienţa relativă a echipei sau evaluatorului ales să desfăşoare evaluarea externă, cît şi potenţialele conflicte de interese şi discută aceste aspecte cu managerul entităţii publice.

7. Conformitatea cu SNAI

7.1. În activitatea de audit intern, conducătorul UAI se conduce de prevederile SNAI.

 

 

7.2. Conducătorul UAI afirmă că “activitatea de audit intern este conformă cu SNAI” doar dacă UAI dispune de un program de asigurare şi îmbunătăţire a calităţii şi rezultatele evaluărilor interne şi externe, ca parte a acestui program, confirmă afirmaţia dată.

7.3. În cazul neconformităţii, conducătorul UAI comunică acest fapt şi implicaţiile respective către managerul entităţii publice.

8. Instrucţiuni suplimentare la NMAISP 8

8.1. Instrucţiunile suplimentare prezintă o abordare eficientă pentru structurarea unui program de asigurare şi îmbunătăţire a calităţii.

8.2. Există multiple modalităţi de elaborare a unui program de asigurare şi îmbunătăţire a calităţii, care depind de dimensiunea, structura şi natura activităţii UAI. Ulterior, se prezintă un exemplu al elementelor-cheie ale unui program de asigurare şi îmbunătăţire a calităţii:

I. Introducere

1. Scopul programului (ca parte a misiunii UAI, inclusiv perfecţionare continuă şi calitate)

2. Arie de cuprindere a programului (toate activităţile/ procesele din cadrul UAI)

3. Roluri şi responsabilităţi de evaluare internă (monitorizare continuă şi autoevaluare periodică)

4. Frecvenţă şi domenii cuprinse de evaluările interne şi externe

5. Metodologie şi scară de evaluare (nu corespunde, parţial corespunde, corespunde, mai mult decît corespunde)

II. Domenii, obiective (indicatori de performanţă/ criterii de evaluare)

a. Domeniul “Gestionarea activităţii”

1. Carta de audit intern:

- scopul, autoritatea şi responsabilitatea UAI sînt documentate în mod oficial într-o Cartă

- misiunea şi strategia UAI este aliniată la strategia entităţii publice

- Carta oferă asigurare că activitatea de audit intern va adăuga valoare şi va îmbunătăţi operaţiunile entităţii publice

- Carta, misiunea, obiectivele şi documentele similare de politici ale UAI sînt implementate în mod eficient

2. Cadrul de reglementare:

- activitatea de audit intern este conformă cu Codul etic al auditorului intern, SNAI şi NMAISP

- activitatea de audit intern corespunde altor acte legislative şi normative în domeniu

3. Independenţa şi obiectivitatea:

- structura, obiectivitatea, rolurile şi responsabilităţile şi procesele de guvernare principale din cadrul activităţii de audit intern sînt adecvate pentru managementul funcţiei respective

- UAI este independentă şi obiectivă în desfăşurarea activităţii sale

- statutul organizaţional al UAI este suficient pentru a-i permite realizarea obiectivelor

- aranjamentele de guvernare organizaţională generală oferă asigurarea independenţei şi obiectivităţii auditorului intern

4. Riscurile care influenţează activitatea de audit intern:

- riscurile care pot influenţa activitatea de audit intern sînt identificate şi gestionate

5. Alocarea resurselor:

- UAI dispune de un nivel adecvat de resurse umane (financiare) şi de TI, care să-i permită realizarea obiectivelor într-un mod eficient şi eficace

b. Domeniul “Practica profesională”

1. Roluri şi responsabilităţi:

- rolurile şi responsabilităţile personalului din cadrul UAI sînt documentate oficial

- UAI îşi îndeplineşte responsabilităţile referitoare la guvernare, management al riscurilor şi control

2. Planificarea pe bază de riscuri:

- procesul de planificare este aliniat la obiectivele strategice ale entităţii publice

- la planificare sînt luate în consideraţie poziţiile conducerii

- planificarea asigură faptul că toate activităţile organizaţiei sînt examinate ca posibile obiecte de audit, sînt supuse unei evaluări a riscurilor, sînt clasificate în ordinea priorităţilor

- planificarea asigură faptul că pentru fiecare misiune selectată au fost stabilite obiective de audit corespunzătoare

3. Planificarea misiunii:

- riscurile relevante procesului/ unităţii auditate au fost evaluate. Obiectivele misiunii reflectă rezultatele evaluării riscurilor

- activităţii de audit îi sînt alocate resurse corespunzătoare pentru identificarea aspectelor semnificative

- sînt elaborate programe de lucru pentru realizarea obiectivelor misiunii.

4. Realizarea misiunii:

- procesele misiuni, inclusiv identificarea informaţiilor, analiza şi evaluarea, asigură faptul că paşii din programul de lucru sînt realizaţi într-un mod eficace şi eficient

- tehnicile de audit, inclusiv automatizarea şi tehnicile asistate de computer, sînt folosite în mod corespunzător, pentru a oferi asigurarea faptului că lucrul este realizat în mod eficient şi eficace

- probele de audit colectate argumentează constatările de audit şi stabilesc cauza şi efectul aspectelor identificate ca avînd nevoie de îmbunătăţire

- informaţiile dobîndite în cadrul misiunii sînt descrise şi păstrate în documentele de lucru pentru a documenta clar desfăşurarea misiunii şi a identifica constatările de audit

- înregistrările sînt ţinute în mod corespunzător

- misiunile sînt supervizate în mod corespunzător cu scop de dezvoltare profesională şi asigurare a faptului că este aplicată conştiinciozitatea profesională

5. Competenţă şi conştiinciozitate profesională:

- UAI posedă colectiv sau obţine cunoştinţe, aptitudini şi alte competenţe pentru a-şi îndeplini atribuţiile

- auditorii interni dau dovadă de conştiinciozitate profesională la îndeplinirea atribuţiilor lor

- este oferită dezvoltarea profesională continuă, pentru a le permite auditorilor interni să-şi sporească cunoştinţele, aptitudinile şi alte competenţe

- dezvoltarea managementului şi liderismului este integrată în activitatea de audit intern

c. Domeniul “Comunicarea”

1. Rapoartele de audit:

- rapoartele de audit prezintă scopul, aria de aplicabilitate şi constatările de audit semnificative, inclusiv cauzele şi efectele lor, concluziile, recomandările de audit şi planul de acţiuni al unităţii auditate pentru abordarea problemelor identificate

- există un proces efectiv care să asigure faptul că rezultatele misiunii sînt prezentate nivelului corespunzător de conducere al unităţii auditate spre discutare şi reacţie

- rapoartele de audit sînt prezentate către managerul entităţii publice pentru reacţie

- forma şi conţinutul comunicării îndeplineşte aşteptările părţilor interesate

- menţiunea “efectuat în conformitate cu SNAI” este utilizată doar în circumstanţele corespunzătoare

2. Monitorizarea ulterioară:

- este instituit un proces adecvat de monitorizare ulterioară, pentru a asigura faptul că acţiunile managerilor sînt implementate efectiv sau a fost acceptat riscul de neimplementare

3. Comunicarea cu părţile interesate:

- practicile de comunicare ale UAI informează managerul entităţii publice şi alte părţi interesate cu privire la activitatea desfăşurată

- există un proces de management şi măsurare a performanţelor pentru a asigura faptul că eficacitatea activităţii de audit intern este optimizată şi recunoscută

- gradul de satisfacţie a unităţii auditate vis-a-vis de misiune este măsurat de către UAI, inclusiv nivelul de profesionalism de care au dat dovadă auditorii interni şi oportunităţile de îmbunătăţire

- gradul de satisfacţie a altor părţi interesate vis-a-vis de misiune şi produsele de audit intern este măsurat

- rolul şi produsele UAI sînt înţelese de către toate părţile interesate şi considerate a aduce plusvaloare

III. Aranjamente de raportare

1. Rezultate ale monitorizării continue, autoevaluărilor periodice şi evaluărilor externe

2. Plan de acţiuni

 

X. DOCUMENTAREA ACTIVITĂŢII DE AUDIT INTERN – NMAISP 9

1. Introducere

1.1. Auditorii interni documentează activitatea de audit pentru a justifica constatările de audit şi facilita analiza şi supervizarea managerială. Documentarea facilitează asigurarea calităţii, revizuirile colegiale şi oferă contribuţii utile pentru alte misiuni din acelaşi domeniu.

1.2. Documentarea activităţii de audit se bazează pe un set de reguli, drepturi şi obligaţii pentru auditorii interni şi unitatea auditată.

1.3. La documentarea activităţii de audit intern, auditorii interni ţin cont de prevederile SNAI.

 

 

1.4. Conducătorul UAI stabileşte reguli cu privire la colectarea, păstrarea, accesul şi prezentarea documentaţiei aferente activităţii de audit intern.

1.5. Documentele de lucru servesc în general la:

- planificarea, executarea şi revizuirea misiunii;

- furnizarea principalului document suport pentru raportul de audit;

- documentarea realizării obiectivelor misiunii;

- furnizarea unei baze de evaluare a programului de asigurare şi îmbunătăţire a calităţii;

- aducerea unor elemente probante în caz de reclamaţii, investigaţii, controale;

- dezvoltarea profesională a auditorilor interni.

2. Drepturi şi obligaţii privind accesul la informaţie

2.1. Auditorul intern este împuternicit să aibă acces la informaţiile şi documentele relevante ariei de aplicabilitate a misiunii.

2.2. Auditorul intern poate efectua misiuni în cadrul unor unităţi auditate, unde accesul este limitat. În acest caz, conducătorul UAI ia toate măsurile necesare pentru a obţine autorizaţiile necesare pentru acces la informaţii secrete/ la localurile cu acces limitat.

2.3. Dacă auditorului intern, din oarecare motive, îi este refuzat accesul la informaţii, persoane, localuri sau documente necesare, ei evaluează măsura în care acest fapt ar putea împiedica atingerea obiectivelor misiunii.

2.4. Dacă auditorul intern nu poate finaliza misiunea, el raportează conducătorului UAI. Dacă conducătorul UAI nu poate asigura obţinerea accesului, această limitare a ariei de aplicabilitate este menţionată în raportul de audit. În cazuri de limitare serioasă a accesului, conducătorul UAI ar putea decide abandonarea misiunii, raportînd despre acest fapt managerului entităţii publice.

2.5. Auditorul intern este obligat să asigure confidenţialitatea şi securitatea datelor cu caracter personal la care a avut acces, în condiţiile stabilite de legislaţia privind protecţia datelor cu caracter personal.

3. Documentarea misiunii

3.1. Eficacitatea lucrului unui auditor intern este apreciată, inclusiv, după calitatea documentelor de lucru produse de acesta. Documentele de lucru demonstrează competenţa, utilizarea conştiinciozităţii profesionale şi reflectă respectarea standardelor profesionale de audit.

3.2. Activitatea de audit intern se documentează adecvat, începînd cu etapele preliminare ale unei misiuni pînă la raportul final. Documentarea tuturor etapelor şi activităţilor efectuate este necesară pentru a justifica constatările şi recomandările de audit din raportul de audit sau raportul privind urmărirea implementării recomandărilor de audit.

3.3. Cantitatea, tipul şi conţinutul documentelor de lucru diferă în funcţie de circumstanţe. Documentele de lucru sînt suficiente pentru a demonstra că constatările de audit se bazează pe fapte demonstrate şi alte informaţii, care au fost deja raportate, şi că au fost respectate standardele profesionale de audit.

3.4. Documentele de lucru dovedesc că:

- misiunea a fost planificată, supervizată şi revizuită corespunzător;

- riscurile au fost suficient evaluate pentru a planifica misiunea;

- perioada de realizare a misiunii şi mărimea testelor este justificată;

- probele de audit au fost obţinute prin aplicarea suficientelor proceduri/ teste de audit;

- probele de audit sînt suficiente, relevante şi de încredere pentru a justifica constatările de audit.

3.5. În procesul colectării informaţiilor necesare justificării constatărilor de audit, auditorul intern analizează documentele şi alte materiale, care au tangenţă cu operaţiunile unităţii auditate, face extrase, copii sau rezumate, precum şi tabele, calcule, inclusiv în format electronic pentru stocarea şi prelucrarea informaţiilor.

3.6. Orice informaţie obţinută în mod verbal, spre exemplu prin intermediul interviurilor, întîlnirilor sau conversaţiilor telefonice, este documentată (prin note, procese-verbale).

3.7. Întîlnirile oficiale, care au loc în timpul misiunii, precum sînt şedinţele de deschidere sau închidere, sînt documentate sub formă de procese-verbale. Asemenea procese-verbale conţin informaţii cu privire la scopul, subiectele principale abordate în timpul discuţiei, participanţi şi deciziile luate sau concluziile făcute.

3.8. Interviurile efectuate cu scopul obţinerii probelor de audit prin intermediul testelor, spre exemplu cele cu privire la funcţionarea controalelor sînt documentate într-un formular de testare.

3.9. În dosarele de audit nu se includ copii ale rapoartelor (financiare), alte informaţii manageriale detaliate, dacă acestea nu aduc valoare adăugată constatărilor de audit. Dacă la un document se face referire în mai multe teste de audit, acesta va fi păstrat şi se vor face trimiteri în caz de necesitate.

3.10. Toate documentele de lucru sînt semnate şi datate de către auditorul intern.

4. Dosarele de audit

4.1. Documentele de audit sînt păstrate în dosare de audit, care sînt organizate într-o manieră standard pentru a facilita utilizarea lor de către conducătorul UAI (la revizuirea documentelor de lucru, monitorizare şi autoevaluare), precum şi de alte persoane autorizate.

4.2. Conducătorul UAI instituie şi menţine un sistem de numerotare şi arhivare a dosarelor de audit (inclusiv a documentelor de lucru), care permite identificarea, accesul şi restabilirea uşoară a tuturor documentelor de lucru aferente activităţii de audit intern.

4.3. Există două seturi de dosare de audit:

a) dosarul permanent;

b) dosarul curent.

5. Dosarul permanent

5.1. Dosarul permanent conţine toate informaţiile de bază esenţiale, permanente şi relevante pentru înţelegerea specificului entităţii publice, care nu se modifică de la an la an.

5.2. Dosarul permanent oferă informaţii iniţiale noilor auditori interni, este examinat la începutul fiecărei misiuni şi este actualizat în cazul unor schimbări majore (la finele fiecărei misiuni).

5.3. Dosarul permanent conţine:

a) lista actelor legislative şi normative, care se referă la domeniul de activitate şi reglementează activitatea entităţii publice;

b) documente, ce conţin descrieri ale activităţilor de control, inclusiv de control financiar;

c) planuri strategice şi anuale;

d) orice alte informaţii, care pot influenţa derularea misiunilor şi analiza riscurilor.

6. Dosarul curent

6.1. Dosarul curent conţine toate informaţiile colectate pe parcursul misiunii curente, necesare pentru a justifica constatările de audit. Astfel, în dosarul curent se documentează activităţile, deciziile şi procesele, de la determinarea obiectivelor misiunii şi ariei de aplicabilitate a misiunii, pînă la finalizarea acţiunilor din planul de acţiuni privind implementarea recomandărilor de audit.

6.2. Dosarul curent conţine:

a) documente colectate înainte de începerea misiunii, inclusiv materiale pe care se bazează iniţierea acesteia (analiza riscurilor);

b) documente aferente planificării misiunii (programul de lucru, agenda şedinţei de deschidere, procesul-verbal al şedinţei de deschidere);

c) materiale de evaluare şi probe de audit, ce includ toate materialele pregătite de către auditorul intern sau primite de la o parte terţă, precum şi afirmaţii ale personalului unităţii auditate (procese-verbale, copii ale documentelor, rezultatele testelor de audit);

d) proiectul raportului de audit, obiecţiile formulate şi raportul de audit;

e) liste de verificare a activităţilor ulterioare, inclusiv rapoarte privind urmărirea implementării recomandărilor de audit.

7. Supervizarea misiunii de audit

7.1. Conducătorul UAI supervizează misiunea de audit, monitorizînd progresele înregistrate şi revizuind periodic activităţile desfăşurate pe parcursul misiunii, în conformitate cu SNAI.

 

 

7.2. Supervizarea se iniţiază la etapa planificării misiunii şi continuă cu verificările, evaluările, raportul şi urmărirea implementării recomandărilor de audit.

7.3. Supervizarea constă în:

a) asigurarea că auditorii interni desemnaţi deţin cunoştinţele, priceperea şi competenţele necesare realizării misiunii;

b) furnizarea instrucţiunilor corespunzătoare la planificarea misiunii şi la elaborarea Programului de lucru;

c) verificarea executării corecte a Programului de lucru, existînd posibilitatea efectuării unor modificări justificate ale acestuia;

d) revizuirea documentelor de lucru pentru ca acestea să conţină elementele probante necesare demonstrării constatărilor şi recomandărilor de audit;

e) asigurarea că raportul de audit este exact, obiectiv, clar, concis, constructiv şi elaborat în termen;

f) asigurarea că obiectivele misiunii sînt atinse;

g) valorificarea oportunităţilor pentru dezvoltarea profesională continuă a auditorilor interni.

8. Instrucţiuni suplimentare la NMAISP 9

8.1. Dosarul permanent poate avea următoarea structură:

1. Informaţii generale:

- cadrul legal şi normativ de reglementare a activităţii entităţii publice

- organigrame

- documente de misiune, obiective strategice şi operaţionale

- planuri şi rapoarte cu privire la performanţă

- informaţii cu privire la evaluarea riscurilor

- deviz de cheltuieli şi buget

2. Rapoarte:

- rapoarte ale Curţii de Conturi

- alte rapoarte ale conducerii

3. Modificări:

- documente cu privire la modificări semnificative etc.

8.2. Dosarul curent poate avea următoarea structură:

1. Iniţierea misiunii şi şedinţa de deschidere:

- documente de context (organigrame, legi, acte normative etc.)

- declaraţia de interese

- ordin privind efectuarea misiunii de audit intern

- planul misiunii de audit

- proces-verbal al şedinţei de deschidere

- programul de lucru al misiunii

2. Analiza controalelor şi evaluarea riscurilor:

- înregistrarea sistemului/ procesului, inclusiv descrieri ale acestora

- CCI

- formular de evaluare a riscurilor

3. Testarea de audit:

- program de testare

- teste

- liste de verificare

4. Raportul de audit:

- proiectul raportului de audit

- proces-verbal al şedinţei de închidere a misiunii

- comentarii ale unităţii auditate privind constatările şi recomandările de audit

- raport de audit final

- planul de acţiuni privind implementarea recomandărilor de audit

5. Urmărirea implementării recomandărilor de audit:

- formular pentru urmărirea implementării recomandărilor de audit

- corespondenţa ulterioară, procese-verbale ale şedinţelor etc.

8.3. Ulterior se prezintă un model de Listă de verificare a documentelor de lucru, care serveşte drept instrument eficient şi efectiv pentru revizuirea documentelor de lucru, supervizarea misiunii, monitorizarea continuă şi autoevaluarea periodică a activităţii de audit intern.

 

 

XI. RISCURILE – NMAISP 10

1. Introducere

1.1. Din moment ce Guvernul a devenit mai complex, angajîndu-se în reforme de amploare, apare necesitatea gestionării proactive, din partea managerilor, a nesiguranţei referitoare la evenimentele viitoare, care ar putea influenţa atingerea obiectivelor entităţii publice, acest proces fiind definit ca “management al riscurilor”.

1.2. În acest context, este importantă înţelegerea deplină a diferitor aspecte ale riscurilor şi gestionării acestora, atît prin prisma responsabilităţilor managerilor, cît şi a auditorilor interni.

1.3. Astfel, NMAISP 11 descrie contextul conceptual privind managementul modern al riscurilor, cît şi rolurile şi responsabilităţile funcţiei de audit intern în vis-a-vis de acest proces.

2. Modelul managementului riscurilor

2.1. Managerii nu mai sînt martori pasivi ai evenimentelor, ce pot influenţa activitatea lor, din contra, ei anticipează evenimentele şi evaluează dacă acestea pot afecta negativ atingerea obiectivelor.

2.2. Astfel, riscul este un eveniment posibil care poate avea impact negativ în ceea ce priveşte atingerea obiectivelor, managementul riscurilor fiind exclusiv o responsabilitatea a managerilor de orice nivel din cadrul entităţii publice.

2.3. Procesul de management al riscurilor presupune ca managerii să identifice, să evalueze, să înregistreze şi să monitorizeze sistematic riscurile ce pot afecta îndeplinirea obiectivelor şi realizarea performanţelor planificate şi să elaboreze măsuri de diminuare a probabilităţii şi/sau impactului riscurilor, astfel încît să se obţină o asigurare rezonabilă privind îndeplinirea obiectivelor entităţii publice.

2.4. Termenii utilizaţi în domeniul de management al riscurilor sînt comuni atît pentru manageri, cît şi pentru auditori interni:

- riscul inerent este riscul, care este aferent obiectivului procesului/ activităţii şi este propriu acestuia. Riscul inerent este riscul care există înainte de a întreprinde anumite activităţi de control;

- riscul controlat este riscul, pentru care sînt implementate activităţi de control pentru atenuarea acestuia;

- riscul rezidual este expunerea la risc, rămasă după implementarea activităţilor de control intern;

- expunerea la riscuri este pericolul potenţial pentru rezultat/ obiectiv, reprezentat de evenimentele cu impact negativ. Această valoarea combină o evaluare, atît a impactului, cît şi a probabilităţii materializării riscului;

- toleranţa la risc este limita autorizată în mod corespunzător a nivelului riscului care poate fi asumat fără a fi diminuat;

- activităţile de control sînt politicile şi procedurile instituite pentru abordarea riscurilor şi atingerea obiectivelor;

- riscul de control este probabilitatea de eşuare a unei activităţi de control, astfel mărind nivelul riscului rezidual.

2.5. Riscul (expunerea la risc) este evaluat în funcţie de:

a) probabilitate;

b) impact.

2.6. Atît probabilitatea de apariţie, cît şi nivelul impactului sînt exprimate pe o scară cu trei nivele:

a) mic;

b) mediu;

c) mare.

2.7. În funcţie de impactul lor asupra entităţii publice, există riscuri la patru niveluri:

- strategice – riscuri aferente misiunii şi scopului fundamental al entităţii publice;

- financiare/ de performanţă – riscuri aferente obiectivelor financiare ale entităţii publice;

- operaţionale – riscuri aferente activităţii operaţionale specifice a entităţii publice, necesare pentru atingerea obiectivelor acesteia;

- de conformitate – riscuri aferente implementării prevederilor actelor legislative şi normative, a reglementărilor şi procedurilor interne.

3. Rolul auditului intern în managementul riscurilor

3.1. În ceea ce priveşte managementul riscurilor, SNAI precizează următoarele.

 

 

3.2. În contextul managementului riscurilor, managerii sînt în drept să decidă de a accepta riscurile inerente sau de a introduce noi activităţi de control pentru diminuarea probabilităţii sau impactului acestora. Astfel, activităţile de control servesc drept pîlnie pentru a atenua unele riscuri inerente, dar nu toate. Riscurile care nu sînt identificate sau atenuate reprezintă riscuri reziduale, acceptate şi potenţial suportate de entitatea publică.

3.3. Astfel, este foarte important pentru auditorii interni să se înţeleagă că managerii sînt responsabili de funcţionarea eficientă şi eficace a sistemului de management al riscurilor. Faptul că auditorii interni (i) utilizează termeni şi abordări similare managementului riscurilor şi (ii) oferă recomandări privind îmbunătăţirea acestuia, nu înseamnă că trebuie să îşi asume vreo responsabilitate privind managementul riscurilor.

3.4. În acest context, responsabilitatea principală a funcţiei de audit intern constă în evaluarea sistemului de management al riscurilor, inclusiv a design-ului sistemului, cît şi funcţionalităţii acestuia, ca oricare alt sistem din cadrul entităţii publice. Acest fapt presupune şi evaluarea activităţilor de control instituite de manageri pentru diminuarea riscurilor.

3.5. Auditorii interni au responsabilitatea să evalueze eficacitatea şi să contribuie la îmbunătăţirea proceselor de management al riscurilor, îndeplinind următoarele atribuţii:

a) analizează dacă toate riscurile semnificative au fost identificate, ulterior, evaluate de către manageri şi au fost luate în consideraţie în procesul de planificare;

b) verifică dacă măsurile de atenuare (activităţile de control) sînt implementate şi funcţionează în modul stabilit;

c) evaluează dacă sistemul de management al riscurilor presupune monitorizarea, actualizarea şi raportarea riscurilor cu care se confruntă entitatea;

d) evaluează probabilitatea riscurilor de fraudă.

3.6. La examinarea funcţionalităţii sistemului de management al riscurilor, auditorii interni stabilesc măsura în care:

- angajaţii gestionează riscurile (cultură, responsabilităţi, conştientizare, instruire, capacităţi);

- atitudinea faţă de riscuri este încorporată în procese (context, organizare, identificare, evaluare, criterii de evaluare, control, revizuire, monitorizare şi raportare);

- riscurile sînt controlate şi managementul acestora contribuie la atingerea obiectivelor (anticipare mai bună, decizii mai bune, revizuire şi asigurare, planificare mai bună, management financiar mai bun).

3.7. La evaluarea managementului riscurilor, auditorii interni utilizează următoarele tehnici şi instrumente:

- intervievarea managerilor şi personalului;

- analiza documentării politicilor şi procedurilor;

- chestionare de evaluare;

- evaluarea eficacităţii şi eficienţei proceselor/ activităţilor de control.

3.8. În ceea ce priveşte misiunile de consiliere, la acordarea suportului către manageri pentru perfecţionarea sistemului de management al riscurilor, auditorii interni nu îşi asumă vreo responsabilitate pentru gestionarea riscurilor, dar pot fi implicaţi în următoarele acţiuni:

a) promovarea beneficiilor generate;

b) instruirea angajaţilor referitor la riscuri;

c) facilitarea perceperii etapelor de management al riscurilor.

3.9. Totuşi, riscurile reprezintă un factor, ce trebuie luat în consideraţie de auditorii interni nemijlocit la toate etapele activităţii de audit intern, şi anume, la:

a) planificarea strategică şi anuală;

b) planificarea misiunii;

c) efectuarea lucrului în teren (asigurare şi consiliere);

d) raportarea rezultatelor.

3.10. Astfel, SNAI conţin şi alte prevederi cu privire la riscuri, pe care auditorii interni trebuie să le respecte. Unele SNAI expuse ulterior nu conţin textul complet al redacţiei acestora, ci doar unele extrase referitoare la riscuri.

 

 

3.11. Astfel, auditorii interni trebuie să dea dovadă de conştiinciozitate profesională privind caracterul adecvat şi eficacitatea proceselor de management al riscurilor, de control şi de guvernare a entităţii publice, precum şi privind probabilitatea existenţei unei erori, fraude, nereguli sau neconformităţi semnificative. De asemenea, auditorii interni trebuie să dispună de suficiente cunoştinţe pentru a evalua riscul de fraudă (şi cum acesta este gestionat de entitatea publică), precum şi cunoştinţe suficiente despre riscurile şi activităţile de control aferente tehnologiilor informaţionale (în continuare, TI).

3.12. Avînd în vedere faptul că managerul entităţii publice tinde să obţină asigurări precum că planul strategic şi planul anual abordează riscurile identificate de către managerii operaţionali, conducătorul UAI planifică activitatea de audit intern în baza identificării şi evaluării (repetate a) riscurilor. Această evaluare a riscurilor se efectuează cel puţin anual.

3.13. Anterior acceptării unei misiuni de consiliere, conducătorul UAI trebuie să ia în calcul măsura în care aceasta poate îmbunătăţi procesul de management al riscurilor, cît şi toate operaţiunile entităţii publice.

3.14. NMAISP 3 oferă instrucţiuni clare privind abordarea riscurilor de către auditorii interni la etapa planificării strategice şi anuale a activităţii de audit intern.

3.15. De asemenea, la etapa de planificare a misiunii, auditorii interni efectuează o evaluare a riscurilor aferente unităţii auditate, această evaluare fiind reflectată în obiectivele misiunii.

3.16. NMAISP 4 oferă instrucţiuni clare privind abordarea riscurilor de către auditorii interni la etapa planificării misiunii.

3.17. La etapa lucrului în teren, auditorii interni examinează detaliat riscurile aferente procesului auditat, prin aplicarea diferitor tehnici şi instrumente de analiză şi evaluare.

3.18. În raportul de audit, auditorii interni expun constatările şi recomandările de audit referitor la măsura în care unitatea auditată controlează riscurile. De asemenea, conducătorul UAI include în rapoartele periodice adresate managerului entităţii publice, de asemenea, aspectele legate de riscurile semnificative, inclusiv riscurile de fraudă şi corupţie, şi de controlul acestora.

3.19. În cazul în care conducătorul UAI consideră că managerul entităţii publice a acceptat un nivel intolerabil al riscului rezidual, acesta discută aspectele respective cu managerul entităţii publice.

3.20. Astfel, la diferite etape a activităţii de audit intern, auditorii interni abordează riscurile în mod diferit:

a) la planificarea strategică şi anuală:

- analiza riscurilor aferente obiectivelor entităţii publice;

- evaluarea riscurilor inerente la fiecare nivel (riscuri strategice, riscuri financiare/ de performanţă, riscuri operaţionale şi riscuri de conformitate);

- stabilirea domeniilor prioritare care vor fi cuprinse de misiunile viitoare;

b) la planificarea misiunilor:

- determinarea obiectivelor misiunii;

- examinarea riscurilor potenţiale aferente obiectivelor misiunii;

- evaluarea riscurilor inerente în legătură cu obiectivele unităţii auditate (riscuri operaţionale) şi cunoştinţele despre eficacitatea controalelor (riscuri de conformitate);

- selectarea domeniilor pentru analiză şi testare în scopul realizării obiectivelor misiunii;

c) la realizarea misiunilor (asigurare şi consiliere):

- examinarea riscurilor aferente obiectivelor sistemului/ procesului auditat;

- evaluarea riscurilor inerente ale obiectivelor de control/ activităţilor de control (riscuri operaţionale şi de conformitate);

- identificarea şi selectarea activităţilor de control ce urmează a fi examinate/ testate;

- testarea activităţilor de control;

- determinarea nivelului riscurilor reziduale;

- examinarea altor informaţii despre riscurile inerente şi reziduale;

- actualizarea planului anual şi/sau strategic ca rezultat al evaluării riscurilor;

- anunţarea managerului entităţii publice privind riscurile identificate inacceptabil de înalte;

d) la raportare:

- raportarea concluziilor şi constatărilor de audit la nivel de riscuri reziduale;

- oferirea recomandărilor de audit privind abordarea riscurilor reziduale inacceptabile.

3.21. În concluzie, auditorii interni trebuie să facă distincţie clară între responsabilităţile de management al riscurilor, şi anume:

- responsabili de implementarea şi funcţionarea sistemului de management al riscurilor sînt managerul entităţii publice şi managerii operaţionali;

- auditorii interni abordează managementul riscurilor: (i) în cadrul unei misiuni de asigurare pentru a evalua acest sistem (analogic oricărui alt sistem din cadrul entităţii publice), (ii) în cadrul fiecărei misiuni de asigurare (la fiecare etapă a misiunii) şi (iii) în cadrul unei misiuni de consiliere (pentru a acorda asistenţă managerilor la implementarea sistemului de management al riscurilor).

4. Riscul de audit

4.1. O trăsătură cheie a activităţii de audit intern este că auditorul intern efectuează teste selective de audit pentru a colecta probe de audit, în baza cărora îşi formează o opinie privind atingerea obiectivelor misiunii. Orice examinare selectivă presupune riscul inerent că eşantionul testat nu va reprezenta totalitatea din care a fost selectat şi că constatarea/ concluzia sau opinia nu va fi corectă. Acest risc mai este numit şi “risc de audit”.

4.2. Astfel, riscul de audit se referă la posibilitatea ca raportul de audit să prezinte o opinie greşită privind obiectul auditat şi acest risc trebuie să fie controlat de către auditorul intern.

4.3. Pentru a minimiza riscul de audit, auditorii interni evaluează riscul inerente fiecărei etape a misiunii pentru a determina:

a) care sînt obiectivele misiunii;

b) care domenii trebuie examinate pentru a realiza obiectivele stabilite ale misiunii;

c) care activităţi de control trebuie analizate şi ce teste de audit trebuie efectuate;

d) care este prioritatea constatărilor şi recomandărilor de audit incluse în raportul de audit.

4.4. O modalitate comună de a diminua riscul de audit constă în analiza, în primul rînd, a probabilităţii de apariţie a unui risc de eroare, fraudă, neregularitate sau neconformitate în cadrul domeniului auditat. În acest caz, riscul de audit este considerat la etapa examinării unui anumit domeniu şi presupune decizia de a aloca un volum mai mic sau mai mare de lucru, în cazul aplicării eşantionării de audit.

5. Instrucţiuni suplimentare la NMAISP 10

5.1. Instrucţiunile suplimentare la NMAISP 10 oferă exemple de riscuri aferente diferitor procese sau sisteme, de asemenea, prezintă un model şi un exemplu de Formular de evaluare a riscurilor.

5.2. În tabelul ulterior, se prezintă exemple de riscuri aferente proceselor/ sistemelor care pot fi auditate.

 

 

5.3. Ulterior, se prezintă un model al Formularului de evaluare a riscurilor, care poate fi utilizat în scopul identificării şi evaluării riscurilor în dependenţă de probabilitatea şi impactul acestora.

 

 

5.4. Ulterior, se prezintă un exemplu de “Formular de evaluare a riscurilor”, întocmit la evaluarea procesului de achiziţii publice de mărfuri, lucrări şi servicii cu valoare mică.

 

 

XII. EVALUAREA CONTROALELOR ŞI GUVERNĂRII – NMAISP 11

1. Introducere

1.1. Natura activităţii de audit intern se defineşte printr-o abordare sistematică şi metodică de evaluare şi îmbunătăţire a proceselor de management al riscurilor, de control şi guvernării, precum şi prin nivelul de calitate atins în exercitarea atribuţiilor de activitate.

1.2. Obiectivul evaluării proceselor de management al riscurilor, de control şi guvernării este de a oferi o asigurare rezonabilă ca acestea funcţionează după cum s-a prevăzut şi că vor permite entităţii publice să-şi atingă obiectivele propuse. Un alt obiectiv este de a propune recomandări pentru îmbunătăţirea modului de funcţionare a entităţii publice, atît privind eficienţa, cît şi eficacitatea operaţiunilor acesteia.

1.3. În acelaşi timp, obiectivul de bază al procesului de management este de a obţine:

- informaţii operaţionale şi financiare relevante şi corecte;

- utilizare eficace şi eficientă a resurselor;

- protejare a activelor şi pasivelor;

- respectarea cadrului de reglementare a activităţii;

- identificare şi control al riscurilor;

- scopuri şi obiective operaţionale atinse.

1.4. Auditorii interni evaluează întregul proces de planificare, de organizare şi de gestionare pentru a stabili dacă există o asigurare rezonabilă că scopurile şi obiectivele vor fi atinse. Informaţia globală necesară aprecierii managementului în ansamblul său este obţinută prin evaluarea de către auditul intern a tuturor sistemelor, proceselor, operaţiunilor, funcţiilor şi activităţilor din cadrul entităţii publice.

1.5. SNAI, de asemenea, abordează această responsabilitate primară a activităţii de audit intern.

 

 

1.6. Managerul entităţii publice, inclusiv managerii operaţionali, concep şi organizează sistemele de management al riscurilor, de control şi guvernare astfel încît să obţină o asigurare rezonabilă precum că obiectivele stabilite sînt atinse într-o manieră eficace şi eficientă. Orice măsură luată de aceştia pentru a creşte probabilitatea că obiectivele vor fi atinse reprezintă un control. Controalele sînt instituite la orice nivel şi în orice proces şi pot fi preventive, curente sau de detectare. Conceptul sistemului de control presupune existenţa unui ansamblu integrat de componente şi activităţi utilizate pentru a atinge scopurile şi obiectivele stabilite.

1.7. NMAISP 10 abordează responsabilităţile auditului intern privind funcţionarea sistemului de management al riscurilor, pe cînd prezenta NMAISP prezintă rolurile şi activităţile specifice ale auditorilor interni privind evaluarea şi contribuţia la îmbunătăţirea proceselor de control şi guvernare a entităţii publice.

1.8. Auditorii interni evaluează sistemul MFC, inclusiv eficacitatea activităţilor de control, ţinînd cont de prevederile SNAI.

 

 

2. Procesele de control

2.1. Misiunea de bază a managerilor este implementarea şi menţinerea proceselor de guvernare a entităţii publice cu obţinerea asigurărilor că procesele de management al riscurilor şi de control sînt eficace. Procesele de control au scopul de a facilita gestionarea riscurilor şi îndeplinirea obiectivelor stabilite la orice nivel în cadrul entităţii publice. Suplimentar, procesele de control (activităţile de control) trebuie să asigure respectarea următoarelor condiţii:

a) informaţii şi rapoarte corecte;

b) operaţiuni realizate în mod eficace şi eficient;

c) active şi pasive protejate;

d) acţiuni şi decizii conforme cu cadrul normativ.

2.2. Managerii operaţionali trebuie să instituie, ulterior, să evalueze procesele de control din domeniul lor de responsabilitate. Aceştia, de asemenea, trebuie să asigure monitorizarea continuă a funcţionalităţii activităţilor de control. Auditorii interni, la rîndul lor, trebuie să ofere asigurări în ceea ce priveşte gradul de eficacitate a acestor procese de control.

3. Evaluarea proceselor de control

3.1. Provocarea de bază a auditului intern constă în evaluarea eficacităţii proceselor de control (activităţilor de control) din cadrul entităţii publice pe baza numeroaselor evaluări individuale. Aceste evaluări provin, în mare parte, din misiuni, dar pot utiliza şi rezultatele autoevaluărilor sistemului MFC efectuate de către managerul entităţii publice, cît şi rezultatele activităţii auditorilor externi.

3.2. Pe măsura desfăşurării misiunilor, auditorii interni comunică către managerul operaţional şi managerul entităţii (prin intermediul constatărilor de audit) observaţiile lor privind punctele slabe identificate în procesele de control, cît şi măsurile pentru a remedia punctele slabe sau pentru a atenua consecinţele acestora (prin intermediul recomandărilor de audit).

3.3. Ca parte a responsabilităţilor implicite, managerii operaţionali sînt responsabili de evaluarea activităţilor de control din cadrul proceselor de care sînt responsabili. Aceste evaluări sînt, de asemenea, un mijloc util de colaborare dintre manageri şi auditorii interni.

3.4. Auditorii interni utilizează mai multe instrumente/ abordări pentru a evalua activităţile de control (proceselor de control), printre care:

a) CCI;

b) documentarea procesului;

c) studiul.

3.5. Aceste instrumente sînt sau pot fi utilizate, fie combinat sau separat, de către auditorul intern la etapa lucrului în teren ca parte componentă a programului de lucru (vezi NMAISP 4 şi NMAISP 5).

3.6. Scopurile de bază ale acestor instrumente este de a stabili:

a) obiectivele de control, respectiv, activităţile de control instituite;

b) eficacitatea activităţilor de control, inclusiv gradul de control al riscurilor;

c) activităţile de control adecvate procesului auditat pentru menţinerea riscurilor la un nivel rezonabil.

3.7. Aceste elemente sînt descrise mai în detalii în secţiunea privind studiul activităţilor de control.

4. Chestionarul de control intern

4.1. Auditorii interni analizează activităţile de control (procesele de control) existente, căutînd răspunsuri la un set de întrebări, acestea constituind CCI. Întrebările sînt utilizate pentru a identifica punctele forte/ slabe şi sînt structurate astfel, încît răspunsurile să ofere o descriere a procesului auditat şi să identifice dacă activităţile de control există şi funcţionează.

4.2. Întrebările din CCI se formulează uşor de înţeles şi pot fi închise sau deschise. Acestea pot fi utilizate, de asemenea, de către auditorii interni la desfăşurarea interviurilor pentru o documentare mai realistă a procesului auditat, inclusiv a activităţilor de control.

4.3. Răspunsurile şi/sau comentariile obţinute de la unitatea auditată prin CCI oferă concluzii preliminare şi îndrumări utile pentru activităţile ulterioare ale misiunii, şi anume, pentru documentarea procesului/ studiul aprofundat al activităţilor de control, respectiv, testarea de audit.

4.4. CCI se utilizează deseori cînd destinatarii acestuia sînt mai multe persoane sau acestea se află în locaţii diferite/ îndepărtate.

4.5. Un exemplu de CCI este prezentat în secţiunea cu instrucţiuni suplimentare.

5. Documentarea procesului

5.1. Documentarea proceselor este o responsabilitate a managerilor operaţionali şi se efectuează pentru a determina cel mai econom şi eficient mod de a gestiona riscurile identificate şi a atinge obiectivele stabilite. Aceste activităţi încep cu pregătirea unei descrieri a proceselor din domeniul de responsabilitate, care trebuie să fie suficient de detaliate pentru a identifica principalele riscuri şi activităţi de control ce vor fi utilizate pentru a preveni aceste riscuri.

5.2. Documentarea proceselor prezintă principalele acţiuni, fluxul de documente/date şi activităţile de control întreprinse în cadrul întregului proces pentru diminuarea riscurilor identificate.

5.3. Chiar dacă din punctul de vedere al responsabilităţilor manageriale, documentarea proceselor trebuie să asigure stabilirea obiectivului, resurselor, activităţilor executate şi rezultatului procesului, auditorul intern utilizează documentarea proceselor ţinînd cont de aceleaşi obiective, dar fiind menţionate mai cu seamă obiectivele referitoare la activităţile de control şi riscurile aferente.

5.4. În cazul în care unitatea auditată nu dispune de procese documentate, la solicitarea acesteia, auditorul intern acordă asistenţă la documentarea procesului auditat.

5.5. Auditorul intern înregistrează informaţiile detaliate, care prezintă o imagine clară a funcţionării procesului, în scopul facilitării îndeplinirii obiectivelor misiunii. La această etapă, auditorul intern identifică toate activităţile de control, ca ulterior să le evalueze şi să propună măsuri de remediere.

5.6. Surse de informaţii utilizate la documentarea procesului pot fi:

- prevederi ale cadrului normativ;

- regulamente, organigrame, fişe ale postului;

- ghiduri, manuale şi alte instrucţiuni;

- planuri, rapoarte şi alte date statistice;

- dosare de audit precedente;

- CCI;

- interviuri, şedinţe de lucru.

5.7. Auditorul intern poate utiliza două metode de documentare a procesului, şi anume:

a) descrierea grafică (diagrama, flowchart-ul)

b) descrierea narativă.

5.8. Auditorul intern, ţinînd cont de avantajele şi dezavantajele fiecăreia, optează pentru una din metodele menţionate anterior sau pentru o combinaţie a acestora.

5.9. Un exemplu de Descriere grafică şi un exemplu de Descriere narativă sînt prezentate în secţiunea cu instrucţiuni suplimentare la prezenta NMAISP. Descrierea grafică a procesului face uz de un set de simboluri, a căror semnificaţie este prezentată în Capitolul XIX.

6. Studiul activităţilor de control

6.1. Studiul aprofundat al activităţilor de control tinde să scoată în evidenţă:

a) obiectivele de control şi activităţile de control aferente instituite în cadrul procesului auditat;

b) eficacitatea activităţilor de control, adică măsura în care aceste activităţi de control diminuează riscurile aferente procesului auditat;

c) activităţile de control adecvate procesului auditat pentru menţinerea riscurilor identificate la un nivel rezonabil.

6.2. Auditorul intern trebuie să ţină cont la orice etapă a analizei controalelor de următorul lanţ/ relaţie:

obiectiv – risc – obiectiv de control – activitate de control.

6.3. Auditorul intern utilizează pe parcursul studiului activităţilor de control orice informaţie utilă obţinută prin sau ca rezultat al CCI şi/sau documentării procesului.

6.4. Studiul activităţilor de control poate fi axat pe obiective, riscuri, controale sau etape ale procesului auditat:

- studiul axat pe obiective ale procesului tinde să identifice cel mai bun mod de atingere a obiectivelor procesului auditat şi control al riscurilor aferente. Acest studiu începe prin identificarea activităţilor de control care “participă” la îndeplinirea obiectivelor procesului şi continuă cu determinarea riscurilor reziduale;

- studiul axat pe riscuri tinde în primul rînd să identifice riscurile legate de realizarea obiectivelor procesului auditat. Auditorul intern începe prin întocmirea listei tuturor obstacolelor, ameninţărilor şi riscurilor care pot împiedica realizarea unui obiectiv al procesului auditat, ulterior examinînd activităţile de control şi verifică dacă acestea sînt suficiente pentru gestionarea riscurilor identificate;

- studiul axat pe controale studiază, în primul rînd, buna funcţionare a activităţilor de control existente. Auditorul intern apreciază măsura în care activităţile de control contribuie la atenuarea riscurilor. Scopul acestui studiu este de a identifica şi analiza diferenţa dintre eficacitatea reală a controalelor şi eficacitatea aşteptată a acestora;

- studiul axat pe etape ale procesului auditat vizează examinarea, în primul rînd, a multiplelor activităţi/ paşi intermediari ai procesului auditat. Auditorul intern evaluează, actualizează, validează şi, ulterior, propune măsuri de îmbunătăţire şi raţionalizare atît a etapelor, cît şi activităţilor de control din cadrul procesului auditat. Astfel, poate fi identificată inutilitatea unor controale sau necesitatea instituirii unor noi controale.

6.5. Auditorul intern identifică riscurile, ţinînd cont, dar nelimitîndu-se la următoarele categorii de riscuri:

a) financiare/ de performanţă (pierderea veniturilor, deteriorarea sau pierderea activelor sau numerarului, divizarea insuficientă a sarcinilor, cheltuieli frauduloase, achiziţii ineficiente, pierderi din fluctuaţia cursului valutar etc.);

b) operaţionale (incapacitate sau întrerupere a funcţionării, informaţie nesigură, insuficientă sau neprotejată etc.);

c) de conformitate (nerespectare a cerinţelor cadrului normativ, standardelor, şi altor reglementări).

6.6. Auditorul intern poate identifica riscuri, care nu sînt abordate de activităţile de control existente, astfel, identificînd necesitatea potenţială a instituirii unor controale suplimentare preconizate.

6.7. Obiectivele de control determină instituirea activităţilor de control în cadrul unui anumit proces pentru a controla riscurile aferente. Astfel, ulterior identificării şi evaluării riscurilor, auditorul intern determină obiectivele de control adecvate cu care va compara activităţile de control existente în cadrul procesului auditat.

6.8. În funcţie de obiectivele misiunii, auditorul intern identifică obiectivele de control, ţinînd cont, dar nelimitîndu-se la următoarele categorii de obiective:

a) legalitate/ regularitate/ conformitate;

b) autenticitate/ corectitudine;

c) existenţă/ plenitudine;

d) oportunitate/ eficacitate;

e) eficienţă/ economicitate.

6.9. Auditorul intern identifică activităţile de control, ţinînd cont, dar nelimitîndu-se la următoarele categorii:

a) ex-ante/ de prevenire (divizarea sarcinilor, proceduri de autorizare, siguranţa fizică a activelor, limitarea accesului etc.);

b) curente/ de supraveghere (politici şi proceduri scrise, direcţii clare de raportare, supraveghere, raportarea erorilor etc.);

c) ex-post/ de detectare/ de verificare (verificări aritmetice şi contabile, contrapuneri, verificarea conformităţii etc.).

6.10. Majoritatea proceselor conţin o combinaţie a acestor trei categorii. De asemenea, punctele slabe ale unui tip de control pot fi compensate prin alt tip de control.

6.11. Auditorul intern stabileşte şi evaluează următoarele caracteristici ale activităţilor de control:

- corespunderea (cu cadrul de reglementare şi cu obiectivele de control);

- eficacitatea (obiectivele de control sînt atinse);

- eficienţa (costul activităţilor de control este echilibrat cu riscurile controlate).

6.12. Un exemplu de riscuri, obiective de control, activităţi de control şi relaţia dintre acestea este prezentat în secţiunea cu instrucţiuni suplimentare. De asemenea, în instrucţiunile suplimentare sînt prezentate unele caracteristici ale activităţilor de control care nu întrunesc condiţiile menţionate anterior, şi anume: corespundere, eficacitate şi eficienţă.

7. Evaluarea guvernării

7.1. Entitatea publică adoptă diverse structuri, strategii şi procese pentru a se asigura că:

- satisface principiile de etică şi aşteptările societăţii civile;

- respectă cadrul normativ şi reglementările aferente în vigoare;

- funcţionează eficace conform strategiilor şi planurilor sale, atît pe termen scurt, cît şi pe termen lung;

- informează părţile vizate, inclusiv societatea civilă, privind deciziile, acţiunile, gestiunea şi rezultatele sale.

7.2. Toate mijloacele folosite de o entitate pentru a atinge aceste obiective corespund conceptului general de proces de guvernare a entităţii.

7.3. Eficacitatea guvernării depinde direct şi în principal de conducerea entităţii. Practicile adoptate de o entitate în ceea ce priveşte guvernarea reprezintă rezultatul unei culturi unice şi în continuă evoluţie, care influenţează rolurile, condiţionează comportamentele, determină strategiile şi obiectivele, măsoară performanţele şi defineşte responsabilităţile.

7.4. Toate persoanele din entitate şi din afara acesteia, dar care au legătură cu entitatea publică, sînt într-o anumită măsură responsabile pentru cultura etică a entităţii publice. Dată fiind complexitatea şi răspîndirea proceselor de decizie în majoritatea entităţilor publice, fiecare persoană trebuie încurajată să promoveze şi să apere etica, indiferent dacă acest rol i-a fost delegat oficial sau neoficial.

7.5. Respectiv, şi auditorii interni trebuie să contribuie activ la susţinerea culturii etice în cadrul entităţii publice, acordîndu-se acestora o încredere şi integritate sporită. De asemenea, auditorii interni trebuie să dispună de competenţele necesare pentru promovarea eficace a unei conduite etice şi capacităţile de a determina managerii şi personalul să respecte obligaţiile care le revin, atît pe plan juridic, cît şi în ceea ce priveşte etica sau societatea civilă.

7.6. La evaluarea guvernării entităţii publice, auditorii interni se conduc de prevederile SNAI.

 

 

7.7. Auditorii interni trebuie să evalueze periodic climatul etic din cadrul entităţii publice şi eficacitatea strategiilor, planurilor, obiectivelor şi altor procese puse în aplicare pentru a atinge nivelul dorit de conformitate cu normele de etică.

7.8. Auditorii interni trebuie să aprecieze prezenţa şi eficacitatea următoarelor elemente, care reprezintă semnul unei culturi etice puternice:

a) existenţa unui cod de conduită etică clar şi uşor de înţeles;

b) demonstraţii frecvente şi dovezi ale comportamentului etic exemplar al managerilor, persoanelor influente;

c) strategii, programe şi planuri de acţiuni privind susţinerea şi consolidarea culturii etice;

d) existenţa unor proceduri şi procese care permit identificarea presupuselor nerespectări ale codului de conduită etică, precum şi a dovezilor de conduită necorespunzătoare;

e) declaraţii ale angajaţilor care atestă că aceştia sînt informaţi privind normele şi procedurile de conduită etică;

f) accesul la dezvoltarea profesională care permite angajaţilor să promoveze şi să apere etica;

g) anchete/ studii periodice în rîndul angajaţilor pentru a aprecia climatul etic.

8. Rapoarte privind controalele şi guvernarea

8.1. Conducătorul UAI raportează periodic, cel puţin trimestrial, către managerul entităţii publice privind rezultatele activităţii de audit intern, conform prevederilor SNAI.

 

 

8.2. Aceste rapoarte prezintă inclusiv informaţii privind starea proceselor de control şi guvernare din cadrul entităţii publice.

8.3. Informaţia privind activităţile de control trebuie să sublinieze importanţa rolului controalelor întru gestionarea riscurilor şi atingerea obiectivelor, cît şi punctele slabe identificate, măsurile propuse/ adoptate pentru înlăturarea acestora şi o imagine generală sub formă de concluzie sau opinie vis-a-vis de funcţionalitatea proceselor de control în cadrul entităţii publice.

8.4. Informaţia privind starea guvernării trebuie să conţină o evaluare generală a calităţii strategiilor şi programelor de asigurare a unei culturi etice puternice, cît şi o apreciere a funcţionării sistemelor şi TIC pentru atingerea obiectivelor entităţii publice.

9. Instrucţiuni suplimentare la NMAISP 11

9.1. Instrucţiunile suplimentare la NMAISP 11 prezintă:

- un exemplu de CCI;

- un exemplu de documentare a procesului prin descriere grafică şi descriere narativă;

- relaţia dintre risc, obiectiv de control şi activitate de control, exemplificată tabelar;

- exemple de activităţi de control care nu întrunesc criteriile de eficacitate şi eficienţă.

9.2. Ulterior se prezintă un exemplu de CCI, cu întrebări generice pentru evaluarea activităţilor de control. Întrebările (inclusiv numărul acestora) urmează a fi adaptate de către auditorul intern, după caz.

 

 

9.3. Procesul reprezintă o succesiune de activităţi, logic structurată într-o anumită perioadă, care utilizează anumite resurse, adăugîndu-le valoare, oferă un produs şi ating un obiectiv definit. Pentru asigurarea obţinerii produsului scontat şi gestionării riscurilor în cel mai eficient şi eficace mod, managerii operaţionali instituie activităţi de control asupra tuturor elementelor, acţiunilor şi produsului unui proces.

9.4. Documentarea procesului trebuie să ofere o bază bună pentru evaluarea punctelor forte şi slabe ale activităţilor de control. Astfel, scopul de bază al documentării procesului este de a obţine informaţii suficiente şi, cît posibil, exacte despre activităţile de control instituite în procesul evaluat.

9.5. Ulterior se prezintă un exemplu de documentare a procesului prin descriere grafică şi descriere narativă.

9.6. În figura 15 este reprezentată descrierea grafică a procesului de achiziţii publice pentru mărfuri, lucrări şi servicii cu valoare mică.

 

 

 

 

 

 

Figura 15. Exemplu de descriere grafică a procesului de achiziţii publice

pentru mărfuri, lucrări şi servicii cu valoare mică

 

9.7. Ulterior se prezintă descrierea grafică a procesului de achiziţii publice pentru mărfuri, lucrări şi servicii cu valoare mică.

 

 

9.8. În tabelul 7 sînt prezentate exemple de riscuri, obiective de control şi activităţi de control aferente pentru controlul riscurilor respective (atingerea obiectivelor de control) aferente procesului de gestiune a stocurilor.

 

 

9.9. În continuare sînt prezentate activităţi de control (sau caracteristici ale acestora) neadecvate din punctul de vedere al:

a) eficacităţii (gradului de atingere a obiectivului de control):

- activitatea de control este adecvată, însă nu este monitorizată şi aplicată pe deplin, de exemplu, se prevede verificarea facturilor cu alte documente, însă pentru aceasta sînt necesare calcule complexe, care necesită mult timp, şi personalul face doar verificări parţiale pentru a nu depăşi termenii limită şi a evita tergiversările sau există standarde de asigurare siguranţei şi securităţii sau proceduri de protecţie, însă nu există echipament suficient (stingătoare de foc, detectoare de fum etc.) pentru toate clădirile, sau acest echipament nu este testat sistematic şi îngrijit în mod corespunzător;

- activitatea de control implică reconcilierea informaţiilor (date contabile, statistice etc.), însă aceste informaţii sînt primite din aceleaşi surse sau baze de date, cu sau fără a cunoaşte acest fapt sau reconcilierea este făcută prea tîrziu;

- procedurile scrise şi manualele sînt adecvate, însă nu sînt comunicate angajaţilor, care trebuie să le aplice;

- există planuri de remediere a consecinţelor accidentelor, însă nu există informaţii de contact pentru angajaţii care trebuie să întreprindă anumite acţiuni în situaţii de urgenţă;

- accesul la sistemul TI este protejat prin atribuirea numelui de utilizator şi parole, însă ele nu sînt actualizate periodic şi angajaţii pot utiliza numele şi parolele colegilor lor sau parolele sînt cunoscute şi de alte persoane decît administratorii de sistem;

b) eficienţei (raportului cost-beneficiu):

- activităţile de control necorelate sau neajustate în funcţie de importanţa riscului, respectiv produsului şi obiectivului;

- excesul activităţilor de control sau supracontroalele;

- suprapunerea activităţilor de control (utilizarea aceloraşi criterii de control fără a aduce un plus de valoare).

 

XIII. EŞANTIONAREA ÎN AUDITUL INTERN – NMAISP 12

1. Introducere

1.1. Auditorul intern trebuie să apeleze la raţionamentul profesional pentru a decide cîtă informaţie este necesar de colectat şi dacă informaţia respectivă oferă o bază fermă pentru concluziile adoptate. Este un fapt unanim recunoscut că tehnicile de eşantionare pot fi utilizate pentru colectarea probelor de audit.

1.2. Un motiv pentru utilizarea eşantionării la colectarea probelor de audit este faptul că deseori nu este fezabil să se examineze 100% din datele existente. În consecinţă, este unanim acceptat că auditorii interni nu trebuie să ofere o asigurare de 100%. Obiectivul eşantionării este de a reduce verificarea detaliată la minimul necesar pentru obţinerea unei asigurări rezonabile.

1.3. În mod normal, nivelul asigurării este de 95%. Un nivel mai scăzut al asigurării implică mai puţine teste de audit. Un nivel al testării mai înalt de 95% ar spori la maximum testarea (eşantionarea). Nivelul de asigurare este stabilit la etapa de planificare a misiunii. Latura complementară a nivelului de asigurare este riscul de audit. Acesta este calculat în felul următor: 100% – nivelul de asigurare. În mod normal, riscul de audit este de 5%. Riscul de audit presupune riscul la care este supus auditorul intern de a-şi forma o concluzie sau opinie incorectă.

1.4. Auditul intern din ziua de azi tinde să verifice mai puţin de 100% din totalul cheltuielilor, veniturilor etc., partea de populaţie ce urmează să fie examinată în detaliu fiind stabilită şi selectată astfel încît să se reducă riscul de nedetectare a erorilor, omisiunilor şi iregularităţilor materiale la un nivel minim, care nu ar afecta în mod semnificativ acurateţea opiniei de audit. Acesta este scopul real ce urmează să fie atins de eşantionare în procesul de audit – obţinerea unor rezultate cost-eficiente.

1.5. Eşantionarea, ca element al procesului de planificare a auditului, este o continuare a activităţilor de colectare a informaţiei despre unitatea auditată, stabilire a nivelului de materialitate, evaluare a riscului, examinare analitică şi evaluare a domeniilor de audit. Prin urmare, prezenta NMAISP descrie elementele fundamentale ale eşantionării, cum sînt: planificarea eşantionului, stabilirea volumului eşantionului şi selectarea articolelor, pentru a oferi informaţia necesară realizării procesului de planificare a misiunii.

1.6. De asemenea, următoarele NMAISP sînt relevante:

- NMAISP 5: Lucrul în teren, cu referire la testele de conformitate, testele substanţiale şi eşantionare;

- NMAISP 10: Riscurile, cu referire la managementul riscurilor, inclusiv riscurile de audit.

1.7. Eşantionarea este efectuată, în mod normal, la etapa lucrului în teren, care include testele de conformitate şi testele substanţiale. Testele de conformitate se referă la testarea activităţilor de control, pe cînd testele substanţiale se referă la obiectul sau conţinutul activităţilor de control şi anume, la tranzacţiile/ sumele auditate. Testele substanţiale includ proceduri analitice şi testarea tranzacţiilor prin intermediul eşantionării. Un scop al testelor substanţiale şi eşantionării este de a colecta atribute – probe precum că o activitate de control este eficace. O misiune presupune deseori o combinaţie a diferitelor tehnici de eşantionare (aleatorie şi raţională).

1.8. În figura de mai jos poate fi observată relaţia şi conţinutul activităţilor unui auditor intern referitoare la eşantionare în timpul diferitor etape ale misiunii.

 

 

Figura 16. Locul şi relaţia eşantionării în cadrul unei misiuni

 

1.9. Pentru a realiza eşantionarea într-un mod eficient şi eficace, auditorul intern trebuie să evalueze în primul rînd materialitatea şi riscurile. Pe baza Modelului riscului de audit, materialitatea reprezintă numărul de erori pe care auditorul intern este dispus să le accepte înainte de a ajunge la o concluzie negativă.

2. Materialitatea

2.1. În general, o problemă sau aspect poate fi considerat ca material, important sau semnificativ în măsura în care cunoaşterea acestuia ar putea influenţa percepţia utilizatorului de informaţie.

2.2. În cazul unei misiuni, auditorul intern apreciază nivelul erorii, neregularităţii sau inexactităţii acceptabile, acesta fiind nivelul materialităţii. Nivelul materialităţii se determină atît în valoare absolută (lei, euro), cît şi procentuală.

2.3. Între nivelul materialităţii şi volumul de lucru al misiunii, inclusiv al eşantionării, este o relaţie invers proporţională, în sensul că cu cît este mai mare nivelul materialităţii, cu atît volumul testelor şi procedurilor de audit este mai redus.

2.4. La evaluarea materialităţii, în afară de aplicarea raţionamentului profesional, auditorul intern analizează toate actele normative, care ar putea influenţa această evaluare. În sectorul public, materialitatea se mai bazează pe “contextul şi natura” unui element şi include, spre exemplu, sensibilitatea şi valoarea. Sensibilitatea se referă la mai multe aspecte, cum ar fi conformarea cu autorităţile, preocupările legislative sau interesul public.

2.5. Valoarea materialităţii constituie 0,5% – 1% din populaţia supusă eşantionării (fie cheltuieli sau venituri, tranzacţii etc.).

3. Modelul riscului de audit

3.1. Modelul riscului de audit reprezintă o modalitate structurată de efectuare a evaluării riscurilor. Acest model prezintă următoarea formulă de calcul:

 

Riscul de audit = Riscul inerent × Riscul de control × Riscul de nedetectare

 

RA = RI × RC × RN

 

unde,

- riscul de audit (RA): latura complementară a nivelului de asigurare (100% – nivelul de asigurare). În mod normal, nivelul de asigurare este de 95% şi riscul de audit este de 5%;

- riscul inerent (RI): riscul că eroarea se va produce indiferent de controalele existente. Aspectele care influenţează riscul inerent sînt calitatea personalului, complexitatea regulamentelor, răspunsul conducerii la constatările de audit;

- riscul de control (RC): riscul ca controalele să nu prevină sau să nu detecteze în timp util o denaturare materială, devenind, astfel, ineficiente;

- riscul de nedetectare (RN): riscul ca testele substanţiale utilizate de auditorul intern, inclusiv eşantionarea, nu vor reuşi să detecteze o eroare.

3.2. O eroare presupune absenţa probelor că o activitate de control prescrisă a fost aplicată.

3.3. Riscul inerent şi riscul de control sînt exprimate în valori înalte, medii şi scăzute. După stabilirea riscului inerent şi riscului de control, riscul de nedetectare se determină după cum urmează, utilizînd modelul riscului de audit:

 

 

3.4. Pentru a stabili riscul de nedetectare (important pentru volumul eşantionului în eşantionarea statistică) pot fi utilizate următoarele valori:

 

 

 

3.5. Cu cît mai înalt este riscul de nedetectare, cu atît mai redus poate fi volumul eşantionului.

4. Tipurile de eşantionare

4.1. Este general acceptată următoarea clasificaţie a tipurilor de eşantionare:

a) eşantionarea nestatistică:

- eşantionarea aleatorie

- eşantionarea raţională

b) eşantionarea statistică, dintre care:

- eşantionarea pe baza unităţii monetare.

4.2. Aceste tipuri de eşantionare sînt abordate în prezenta NMAISP.

5. Eşantionarea aleatorie

5.1. În eşantionarea aleatorie, auditorul intern este imparţial la selectarea tranzacţiilor, de exemplu:

- o tranzacţie (factură) pentru a-şi forma o părere despre procesele de control;

- o tranzacţie (factură) pentru fiecare perioadă (săptămînă) pentru a testa funcţionarea corectă a proceselor de control;

- selectarea unei perioade în bloc (săptămînă sau lună) şi testarea tuturor tranzacţiilor din perioada respectivă.

6. Eşantionarea raţională

6.1. În eşantionarea raţională (a tranzacţiilor critice), auditorul intern se axează pe anumite tranzacţii în baza raţionamentului său profesional, de exemplu:

- tranzacţiile cu valoare înaltă;

- tranzacţiile specifice, care nu sînt de rutină sau tranzacţiile cu o rată înaltă de eroare, tranzacţiile cu implicarea managerului entităţii publice sau în care acesta a ignorat activităţile de control;

- tranzacţiile în zilele de sărbătoare sau odihnă;

- eşantionarea stratificată, în care populaţia este împărţită în clase, iar sumelor mari li se acordă o atenţie sporită comparativ cu sumele mici. O formă a eşantionării stratificate este regula 80/20. Volumul populaţiei este deseori stabilit la nivel de 20% din totalul tranzacţiilor.

6.2. Eşantionarea raţională poate fi utilizată de auditorii interni:

- pentru a selecta exemple de deficienţe care vor susţine concluzia auditorilor interni precum că sistemul de controale este slab;

- în cazurile în care eşantionarea statistică este prea costisitoare şi nu este practică.

7. Eşantionarea statistică

7.1. Eşantionul reprezintă totalitatea unităţilor de eşantionare selectate din cadrul populaţiei pentru a se forma o opinie asupra întregii populaţii. Populaţia reprezintă totalitatea de articole, precum sînt numărul de facturi, sumele în lei, chitanţele etc., din care este extras un eşantion şi despre care eşantionul oferă informaţii. Unităţile eşantionării sînt elementele populaţiei care urmează să fie subiectul eşantionării.

7.2. Atunci cînd există erori în populaţie şi acestea sînt sistematice, există o probabilitate înaltă ca ele să fie descoperite cu un eşantion. Cu toate acestea, la nivel internaţional este acceptat faptul că există riscul ca auditorul intern să nu descopere eroarea.

7.3. De exemplu, atunci cînd auditorul intern trebuie să ofere o asigurare de 100% la o populaţie de 6.000.000 de articole, unde nu este posibil să nu existe erori, el este obligat să examineze fiecare articol. În schimb, cînd nivelul de asigurare este redus la 95%, cu un nivel al materialităţii de 2%, eşantionul este redus la 150 de articole, atunci cînd nu sînt preconizate erori în eşantion. Legile naturii ne permit să prevedem cînd va răsări soarele pe 1 ianuarie 2025. Putem să calculăm momentul cu o precizie de un minut şi să fim foarte încrezuţi în rezultatul predicţiei noastre. Cînd încercăm, însă, să prevedem cum va fi timpul în aceeaşi zi, vom vedea o contradicţie dintre nivelul de exactitate şi nivelul de încredere. Cînd spunem că temperatura va fi de +10°C putem să fim exacţi, dar nu foarte încrezuţi. Pe de altă parte, cînd spunem că temperatura va fi între –30°C şi +40°C vom fi încrezuţi, dar nu la fel de exacţi. Provocarea pentru auditorul intern este să facă o predicţie despre o populaţie a cărei rată de eroare nu o cunoaşte, însă prin utilizarea eşantionării statistice el poate dovedi din punct de vedere ştiinţific (eroarea cea mai probabilă şi limita superioară a erorii) cît de exact este lucrul lui şi cît de încrezut este el în rezultatul obţinut.

7.4. Eşantionarea statistică se utilizează:

- în cazul unei populaţii mari;

- pentru selectarea eşantionului într-un mod mai obiectiv;

- pentru formarea unei concluzii exacte despre întreaga populaţie.

7.5. Auditorul intern trebuie să asigure următoarele condiţii:

- populaţia din care este extras eşantionul este completă;

- fiecare articol din populaţie are o şansă egală de a fi selectat;

- pentru a determina rata preconizată a erorilor s-ar putea dovedi utilă prelevarea unui eşantion aleatoriu mic.

7.6. Auditorul intern trebuie să ţină cont de faptul că:

a) rezultatul unui eşantion statistic oferă asigurări rezonabile şi există riscul ca acest rezultat să nu fie reprezentativ pentru populaţie (riscul de nedetectare sau riscul beta).

b) atunci cînd se preconizează un număr mare de erori, s-ar putea să nu fie utilă efectuarea unui test statistic.

8. Eşantionarea pe baza unităţii monetare

8.1. Metoda eşantionării pe baza unităţii monetare a fost elaborată în scopul includerii în eşantion nu a tranzacţiilor, ci a unităţilor monetare individuale. Unitatea de eşantionare sînt articole individuale – conturi, facturi, lei, etc., din care este formată populaţia, eşantionarea pe baza unităţii monetare fiind o metodă care presupune selectarea doar a unităţilor monetare (lei, euro) şi nu a documentelor. Metoda a fost elaborată pentru a permite efectuarea unei evaluări financiare, în care fiecare unitate monetară are o şansă egală de a fi selectată. La selectarea facturilor, facturile cu sume mici au aceeaşi şansă de a fi selectate ca şi facturile cu sume mai mari.

8.2. În eşantionarea pe baza unităţii monetare auditorul intern parcurge următoarele etape:

a) planificarea eşantionului;

b) determinarea volumului eşantionului;

c) selectarea articolelor;

d) examinarea articolelor;

e) evaluarea rezultatelor.

9. Planificarea eşantionului

9.1. La planificarea eşantionului, auditorul intern trebuie să stabilească în primul rînd care este scopul auditului, pornind de la obiectivele misiunii, pentru a alege ce tip de eşantionare doreşte să realizeze. Astfel, auditorul intern trebuie să ia în considerare obiectivul de audit specific şi identificarea erorilor pentru care oferă asigurare.

9.2. De asemenea, auditorul intern trebuie să definească populaţia, întrucît o concluzie bazată pe un eşantion nu se poate extinde dincolo de populaţia din care a fost selectat eşantionul.

10. Determinarea volumului eşantionului

10.1. La determinarea volumului eşantionului, auditorul intern trebuie să ţină cont de faptul că volumul eşantionului este influenţat de:

- nivelul maxim al erorilor pe care auditorul intern este dispus să-l accepte în cadrul populaţiei (nivelul materialităţii);

- nivelul de încredere de care are nevoie auditorul intern pentru concluzie;

- mărimea populaţiei;

- evaluarea de către auditorul intern a riscului inerent şi a riscului de control.

10.2. Auditorul intern trebuie să stabilească nivelul de riscuri pe care este dispus să-l accepte pentru a stabili volumul testelor substanţiale şi numărul articolelor de eşantion necesare pentru a oferi probe de audit suficiente şi corespunzătoare. Modelul riscului de audit este abordarea utilizată pentru a ajunge la un risc asociat procedurilor de audit, şi anume, testelor substanţiale.

10.3. Volumul eşantionului poate fi calculat utilizîndu-se următoarea formulă:

 

 

unde,

- factorul de siguranţă (FS): nivelul de încredere convertit în factorul de încredere utilizîndu-se tabelul de mai jos.

 

 

10.4. Factorul de siguranţă este calculat pe baza probabilităţii de producere a erorilor în raport cu nivelul de încredere ce trebuie atins, inclusiv un nivel al materialităţii de 1% (eroare) şi 99% care nu sînt erori. Nivelul de încredere este gradul de siguranţă pe care îl are auditorul intern faţă de rezultatele obţinute.

10.5. Nivelul de încredere (NÎ) este valoarea indirect dependentă de riscul de nedetectare şi se calculează după formula:

 

 

10.6. Ulterior se prezintă un exemplu:

Se planifică a desfăşura o misiune de evaluare a cheltuielilor neaferente salarizării din cadrul unui minister, în sumă de 60.000.000 lei. Pe baza examinării dosarelor din anii precedenţi şi întîlnirii cu managerul unităţii auditate, s-a stabilit că:

riscul final de audit – 0,05 sau 5%;

materialitatea planificată – 2% sau 1.200.000 lei;

riscul inerent – înalt sau 1,00;

riscul de control – mediu sau 0,60.

Se cere a calcula:

a) testul substanţial al riscului de nedetectare;

b) volumul eşantionului.

Soluţie:

a)

 

 

Nivelul de încredere = 1,00 – RN = 1,00 – 0,08 = 0,92 sau 92%

b)

 

 

11. Selectarea articolelor

11.1. După determinarea volumului eşantionului, auditorul intern trebuie să selecteze un eşantion reprezentativ din populaţie. Probabilitatea ca eşantionul să nu fie reprezentativ poate fi redusă prin modul în care este selectat eşantionul.

11.2. Printre eventualele metode de selectare a eşantionului pe care le poate utiliza auditorul intern se numără:

a) selectarea aleatorie simplă;

b) selectarea sistematică.

11.3. Selectarea aleatorie simplă este o metodă de selecţie în care unităţile de eşantionare din populaţie sînt numerotate consecutiv, iar eşantionul ce urmează să fie examinat este stabilit cu ajutorul unui tabel cu numere aleatorii (de exemplu, 105.000 RSN), loteriei sau unui soft. Cea mai utilizată metodă este tabelul cu numere aleatorii. Tabelul cu numere aleatorii poate fi identificat prin referirea la denumirea tabelului, numărul paginii, numărul rîndului, numărului coloanei, pasului şi secvenţei.

11.4. Pentru a aplica metoda tabelului numerelor aleatorii, se determină seria de facturi sau valori monetare ce urmează să fie eşantionate pentru a obţine numărul de cifre necesar, se găseşte un punct de pornire în tabel şi, într-o ordine prestabilită, se selectează un număr suficient de cifre pînă se extrage volumul necesar al eşantionului.

11.5. Selectarea sistematică a eşantionului presupune următorii paşi:

a) se determină intervalul eşantionului, prin formula:

 

 

b) se stabileşte punctul de pornire între 1 şi intervalul eşantionării (k);

c) se adaugă intervalul eşantionului (k) la numărul de pornire pentru a obţine al doilea articol ce va fi inclus în eşantion.

11.6. Dacă un articol care a fost selectat pentru eşantionare lipseşte, acest lucru este considerat ca o deviere.

11.7. Ulterior se prezintă un exemplu:

Se presupune că va fi extras un eşantion din 127 de articole dintr-o populaţie ce conţine 60.000.000 de articole.

 

 

Dacă numărul de pornire aleatoriu (de la 1 la 127) este, de exemplu: 48, atunci unităţile de eşantionare care vor fi incluse în eşantion sînt: 472.488, 944.928 şi 1.417.368.

12. Examinarea articolelor

12.1. Articolele selectate sînt auditate pe baza numărului erorilor definit la etapa de planificare a misiunii. Este indicat să se utilizeze o listă de verificare standard. Pe lîngă criteriile cantitative pot fi incluse şi criterii calitative. O listă de verificare constă, de obicei din 10-20 de articole.

12.2. La stabilirea numărului erorilor, este posibil să fie determinate şi erorile parţiale.

12.3. În secţiunea cu instrucţiuni suplimentare este prezentat un model de tabel pentru examinarea articolelor.

13. Evaluarea rezultatelor eşantionului

13.1. În cadrul evaluării rezultatelor, auditorul intern examinează erorile, cît şi investighează cauzele acestora pentru a oferi consultanţă în vederea îmbunătăţirii.

13.2. Pe baza eşantionului statistic auditorul intern poate să estimeze limitele în care se încadrează rata erorilor. Pentru determinarea acestor limite sînt importanţi doi factori:

a) eroarea cea mai probabilă (EMP), care se calculează pe baza totalului erorilor extrapolat la totalul populaţiei;

 

 

b) limita superioară a erorii (LSE), care este cea mai înaltă rată a erorii preconizată de auditorul intern pe baza rezultatului eşantionului.

13.3. Limita superioară a erorii ia în considerare gradul de acurateţe, care depinde de numărul erorilor identificate. Din cauza erorilor creşte nivelul de nesiguranţă legat de eroarea propriu-zisă, ceea ce se soldează cu o limită superioară a erorii. Limita superioară a erorii poate fi calculată pe baza tabelelor din instrucţiunile suplimentare.

13.4. În cazul în care se produc mai multe erori decît au fost luate în considerare la planificarea eşantionului, limita superioară a erorii va fi mai înaltă decît nivelul de materialitate. Aceasta presupune o analiză atentă a măsurilor ce trebuie luate. Astfel, se pot produce următoarele situaţii:

 

 

13.5. În secţiunea cu instrucţiuni suplimentare sînt prezentate cîteva modele de documente de lucru pentru evaluarea eşantionului.

14. Instrucţiuni suplimentare la NMAISP 12

14.1. Instrucţiunile suplimentare la prezenta NMAISP prezintă un model de document de lucru privind eşantionarea, cît şi unele tabele ajutătoare la etapa eşantionării în audit intern.

14.2. Ulterior se prezintă un model de document aplicabil pentru planificarea eşantionării:

 

 

14.3. Ulterior se prezintă cîteva modele de tabele utile la etapa examinării şi evaluării eşantionului.

 

 

 

 

 

 

 

 

XIV. ROLURI ŞI RESPONSABILITĂŢI ALE

AUDITORILOR INTERNI – NMAISP 13

1. Introducere

1.1. Auditul intern este o activitate profesională, care la fel dispune de cerinţe, roluri şi responsabilităţi faţă de persoanele care o exercită. Auditorii interni trebuie să fie, concomitent, persoane cu aptitudini şi experienţă corespunzătoare pentru a practica profesia de auditor intern.

1.2. Raţionamentul de audit este utilizat ori de cîte ori auditorul intern îşi exercită rolul. În acest context, este indispensabil de a defini clar aceste roluri şi responsabilităţi ale auditorilor interni, pentru a stabili un cadru adecvat de funcţionare a acestora conform standardelor şi normelor profesionale, ceea ce este nemijlocit prezentat în NMAISP 13.

1.3. În activitatea sa, conducătorul UAI ţine cont de prevederile SNAI, şi anume:

 

 

1.4. Misiunea, competenţele şi responsabilităţile auditului intern sînt definite în Cartă, în calitate de Regulament de funcţionare a unităţii de audit intern.

1.5. Carta defineşte sfera de activitate a unităţii de audit intern, stabileşte poziţia acesteia în structura organizaţională a entităţii publice, stipulează drepturile şi obligaţiile angajaţilor unităţii de audit intern, autorizează accesul la personal, documente şi bunuri fizice, necesare îndeplinirii corespunzătoare a activităţii de audit intern. În special, Carta stipulează atribuţiile conducătorului şi personalului UAI, precum şi ce sînt/ nu sînt aceştia în drept să realizeze.

1.6. Codul etic al auditorului intern reprezintă un ansamblu de principii şi reguli de conduită, care reglementează activitatea auditorilor interni în domeniul eticii profesionale. Codul etic al auditorului intern prevede îndeplinirea, de către auditorii interni, a următoarelor cerinţe de bază:

a) performanţa – desfăşurarea activităţii la cei mai înalţi parametri profesionali, în scopul îndeplinirii interesului public, în condiţii de economicitate, eficacitate şi eficienţă;

b) profesionalismul – existenţa capacităţilor intelectuale şi experienţei, dobîndite prin perfecţionare profesională continuă şi respectarea Codului etic al auditorului intern, comun tuturor auditorilor interni;

c) calitatea activităţii de audit intern – asigurarea corespunderii nivelului realizării activităţii de audit intern conform SNAI, legislaţiei în vigoare şi celor mai bune practici internaţionale;

d) încrederea – promovarea bunelor relaţii între auditorii interni, bazate pe principiile cooperării, susţinerii şi corectitudinii profesionale;

e) conduita adecvată – comportarea ireproşabilă în realizarea atribuţiilor de serviciu;

f) credibilitatea – autenticitatea şi obiectivitatea informaţiei din rapoartele de audit intern.

1.7. În desfăşurarea activităţii, auditorul intern trebuie să respecte următoarele principii fundamentale:

a) integritatea;

b) independenţa şi obiectivitatea;

c) competenţa;

d) confidenţialitatea.

1.8. Toate aceste principii sînt descrise în Codul etic al auditorului intern, de asemenea, SNAI conţin următoarele prevederi referitor la principiile fundamentale de activitate ale auditorilor interni enumerate mai sus.

 

 

2. Independenţă şi obiectivitate

2.1. Auditorii interni sînt independenţi atunci cînd pot să-şi exercite activitatea în mod liber şi obiectiv. Independenţa permite auditorilor interni să judece în mod imparţial şi fără prejudecăţi, ceea ce este esenţial pentru buna desfăşurare a misiunilor. Acest obiectiv este atins datorită poziţiei lor în cadrul entităţii publice şi datorită obiectivităţii lor.

2.2. Auditorii interni trebuie să beneficieze de sprijinul managerului entităţii publice pentru a obţine cooperarea cu unitatea auditată şi pentru a putea să-şi exercite activitatea fără probleme. Conducătorul UAI trebuie să fie subordonat anume managerului entităţii publice, care dispune de toată autoritatea pentru a-i asigura independenţa, a-i garanta o arie largă de intervenţie şi care trebuie să acorde o atenţie deosebită rezultatelor activităţii de audit intern şi măsurilor care se impun ca rezultat al recomandărilor de audit.

2.3. Obiectivitatea este o atitudine marcată de independenţa pe care auditorii interni trebuie să o menţină la realizarea misiunilor. Auditorii interni nu trebuie să-şi subordoneze propria judecată, în ceea ce priveşte misiunea, judecăţii altor persoane. Obiectivitatea cere ca auditorii interni să-şi realizeze misiunile astfel încît aceştia să aibă într-adevăr încredere în rezultatul eforturilor lor şi în faptul că nu a fost adus nici un detriment calităţii.

3. Competenţă

3.1. Competenţa profesională reprezintă responsabilitatea conducătorului UAI şi a fiecărui auditor intern în parte. Conducătorul UAI trebuie să se asigure că pentru fiecare misiune echipa desemnată deţine în mod colectiv cunoştinţele, abilităţile, priceperile şi alte competenţe necesare pentru îndeplinirea obiectivelor misiunii.

3.2. Experienţa constituie un factor esenţial în realizarea misiunii, astfel, conducătorul UAI se asigură ca acţiunile auditorilor interni, inclusiv a celor cu o experienţă mai mică, sînt supravegheate în mod corespunzător.

3.3. Auditorul intern trebuie să deţină cunoştinţe şi competenţe privind:

a) aplicarea SNAI, NMAISP, tehnicilor şi procedurilor de audit intern;

b) contabilitatea în sectorul public;

c) principiile de management în sectorul public;

d) activitatea operaţională a entităţii publice (inclusiv, contabilitate, finanţe publice, drept, TIC ş.a.).

3.4. Auditorul intern trebuie să dispună de bune calităţi relaţionale şi comunicaţionale. Astfel, auditorul intern trebuie să fie capabil să comunice oral şi în scris pentru a putea expune clar şi eficace obiectivele, concluziile, constatările şi recomandările de audit.

3.5. Întregul personal al UAI trebuie să deţină competenţele, cunoştinţele şi priceperile indispensabile practicării profesiei în cadrul entităţii publice.

3.6. În cazul în care auditorii interni nu posedă cunoştinţele, priceperea sau competenţele necesare pentru efectuarea misiunii, conducătorul UAI este în drept să solicite şi să obţină asistenţă de specialitate şi consultanţă din partea altor persoane.

3.7. Această asistenţă şi consultanţă poate fi solicitată şi obţinută pentru domenii cum ar fi: contabilitate, economie, finanţe publice, statistică, TIC, inginerie, drept, mediu şi orice alte domenii necesare pentru a putea realiza misiunea.

3.8. În momentul în care se decide de a recurge la asistenţă de specialitate şi consultanţă din partea altor persoane, fie din interiorul sau exteriorul entităţii publice, conducătorul UAI trebuie să evalueze competenţa, independenţa şi obiectivitatea (inclusiv, lipsa conflictului de interese) a acestora ţinînd cont de particularităţile misiunii care trebuie realizată.

3.9. Frauda reprezintă o iregularitate sau acţiune ilegală comisă cu intenţia de a înşela, disimula sau trăda încrederea. Frauda poate fi comisă în beneficiul entităţii publice sau în defavoarea acesteia, atît de persoane din interiorul, cît şi exteriorul entităţii publice.

3.10. Diminuarea fraudelor constă în luarea de măsuri pentru descurajarea acesteia şi limitarea riscurilor aferente. Sistemul MFC constituie principala forţă de diminuare a fraudelor.

3.11. Auditorul intern să contribuie la diminuarea fraudelor prin evaluarea eficacităţii sistemului MFC, avînd în vedere riscurile specifice şi controlul acestora.

3.12. Auditorul intern trebuie să dispună de suficiente cunoştinţe privind evaluarea riscurilor de fraudă şi modul în care aceste riscuri sînt gestionate. Concomitent, auditorul intern nu trebuie să dispună de cunoştinţele, experienţa şi priceperile unei persoane a cărui responsabilitate de bază este depistarea şi investigarea fraudei. NMAISP 14 prezintă mai multe detalii cu privire la rolul şi responsabilităţile auditorului intern privind frauda şi corupţia.

3.13. Auditorul intern trebuie să dispună, de asemenea, de suficiente cunoştinţe privind riscurile şi activităţile de control aferente TI, cît şi despre disponibilitatea tehnicilor de audit asistate de calculator.

3.14. Auditorul intern trebuie să posede competenţe, cunoştinţe şi priceperi privind riscurile asociate infrastructurii, sistemelor şi aplicaţiilor informatice, cît şi privind activităţile de control aferente acestor riscuri pentru a oferi asistenţă prin sfaturi privind proiectare, implementare, funcţionare şi perfecţionare continuă a TI.

3.15. Concomitent, auditorul intern nu trebuie să dispună de experienţa unei persoane a cărui responsabilitate de bază este auditul TI.

4. Raţionament de audit

4.1. Profesionalismul presupune că doi sau mai mulţi profesionişti, care activează în circumstanţe de natură similară, vor ajunge la concluzii similare sau comparabile.

4.2. Profesionalismul presupune cunoştinţe şi competenţe privind standardele aplicabile şi exercitarea raţionamentului profesional la luarea deciziilor în corespundere cu aceste standarde.

4.3. Raţionamentul profesional al auditorului intern sau “raţionamentul de audit” este definit ca aplicarea cunoştinţelor şi experienţei în contextul stabilit de standarde, precum şi regulile conduitei profesionale, în situaţia în care este necesară selectarea unei alternative din mai multe.

4.4. Raţionamentul de audit este necesar la orice etapă a activităţii de audit intern, de exemplu, pentru a identifica cele mai importante aspecte/ domenii supuse viitoarelor misiuni, tipurile de teste de audit care se vor efectua, cantitatea probelor de audit necesare etc.

5. Conştiinciozitate profesională

5.1. Conştiinciozitatea profesională se referă la conştiinţa şi priceperea pe care trebuie să le deţină un auditor intern suficient de prudent şi competent. Conştiinciozitatea profesională trebuie să considere complexitatea misiunii, în acelaşi timp, auditorul intern ţine cont de riscurile de greşeală intenţionată, eroare sau omisiune, lipsă de eficacitate, risipă şi conflict de interese.

5.2. Astfel, auditorul intern, dînd dovadă de conştiinciozitate profesională, ia în considerare:

- volumul de lucru necesar pentru atingerea obiectivelor misiunii;

- complexitatea relativă şi materialitatea aspectelor misiunii;

- procesele de management al riscurilor, de control şi de guvernare;

- probabilitatea existenţei unei erori, fraude, nereguli sau neconformităţi semnificative.

5.3. Conştiinciozitatea profesională, în acelaşi timp, nu presupune activitate desăvîrşită şi performanţe excepţionale ale auditorului intern. Aceasta înseamnă că auditorul intern efectuează misiuni suficient de aprofundate, dar fără o examinare extrem de minuţioasă, detaliată şi sistematică.

5.4. Constatările de audit se bazează pe probe de audit suficiente, relevante şi sigure. Totuşi, nu totdeauna probele de audit sînt colectate prin testarea tuturor tranzacţiilor/ activităţilor de control.

5.5. În consecinţă, auditorul intern nu poate oferi o asigurare absolută precum că în cadrul unităţii auditate nu există nici o anomalie, eroare, iregularitate sau neconformitate.

6. Dezvoltare profesională continuă

6.1. Auditorul intern este responsabil de actualizarea continuă a cunoştinţelor sale. El trebuie să se informeze cu privire la progresele făcute şi la evoluţiile actuale în domeniul procedurilor şi tehnicilor de audit.

6.2. Formarea continuă poate fi dobîndită prin aderarea şi participarea la asociaţii profesionale, conferinţe, seminare de instruire, ateliere de lucru, acţiuni interne de instruire, precum şi programe de cercetare.

6.3. Auditorii interni din sectorul public care dispun de certificat de calificare profesională trebuie să urmeze 40 ore de diferite forme de dezvoltare profesională continuă.

7. Fişa postului

7.1. Fişa postului este actul juridic în care se stipulează scopul general, sarcinile de bază, atribuţiile de serviciu, împuternicirile şi responsabilităţile specifice funcţiei publice, precum şi cerinţele faţă de titularul acestei funcţii.

7.2. Fişa postului se elaborează, coordonează şi aprobă conform prevederilor Hotărîrii Guvernului nr.201 din 11.03.2009 privind punerea în aplicare a prevederilor Legii nr.158-XVI din 4 iulie 2008 cu privire la funcţia publică şi statutul funcţionarului public (Monitorul Oficial al Republicii Moldova, 2009, nr.55-56, art.249).

7.3. Astfel, fişa postului se elaborează de către funcţionarul public de conducere pentru funcţiile publice din subordinea directă a acestuia. De asemenea, fişa postului se elaborează pentru fiecare funcţie publică, poartă un caracter nonpersonal şi se aduce la cunoştinţa titularului funcţiei publice la data numirii în funcţia publică.

7.4. În dependenţă de structura organizatorică a UAI, fişa postului se elaborează:

a) de către conducătorul UAI, pentru persoanele din subordine, după caz:

- alţi funcţionari publici de conducere,

- auditori interni principali,

- auditori interni superiori,

- auditori interni;

b) de către alt funcţionar public de conducere, pentru:

- auditori interni principali,

- auditori interni superiori,

- auditori interni;

7.5. Structura-tip a fişei postului este prezentată în secţiunea cu instrucţiuni suplimentare.

7.6. La elaborarea fişei postului (compartimentele privind sarcinile de bază, atribuţiile de serviciu, responsabilităţile şi împuternicirile), se vor utiliza prevederile Legii CFPI, Cartei, Codului etic al auditorului intern, SNAI şi prezentelor NMAISP. De asemenea, la elaborarea fişei postului se ţine cont de prevederile Legii nr.155 din 21 iulie 2011 pentru aprobarea Clasificatorului unic al funcţiilor publice (Monitorul Oficial al Republicii Moldova, 2011, nr.164-165, art.480).

8. Instrucţiuni suplimentare la NMAISP 13.

8.1. Ulterior, se prezintă structura-tip a fişei postului, în conformitate cu prevederile Hotărîrii Guvernului nr.201 din 11 martie 2009 privind punerea în aplicare a prevederilor Legii nr.158-XVI din 4 iulie 2008 cu privire la funcţia publică şi statutul funcţionarului public.

 

 

XV. TRATAREA CAZURILOR DE FRAUDĂ ŞI CORUPŢIE – NMAISP 14

1. Introducere

1.1. Prezenta normă este elaborată cu scopul de a oferi îndrumări cu privire la rolul auditorului intern în abordarea cazurilor de fraudă şi acţiunile ulterioare ce urmează a fi întreprinse.

1.2. NMAISP 14 prezintă definiţia fraudei şi corupţiei, rolul şi responsabilităţile auditorului intern cu privire la fraudă şi corupţie, relaţia cu alte entităţi publice responsabile de investigarea cazurilor de fraudă şi corupţie, îndrumări practice în domeniile care sînt sensibile la fraudă şi corupţie, inclusiv lista de verificare, care include indicatorii determinanţi ai riscului de fraudă şi corupţie.

1.3. Prezenta NMAISP oferă cîteva definiţii bazate pe teoria ştiinţifică, regulamentele UE şi legislaţia naţională, după cum urmează.

1.4. Este prezentată ulterior definiţia utilizată în teoria ştiinţifică a lui L.W.Vona, un specialist renumit în ceea ce ţine de aspectele aferente auditului fraudei.

- fraudă: acţiuni cu caracter intenţionat şi ascuns, comise atît de părţi/ persoane din cadrul entităţii, cît şi din afara acesteia. Acţiunile sînt ilegale şi denotă ilegalităţi. Acţiunile conduc la pierderi de fonduri ale entităţii, valorii şi reputaţiei acesteia, orice alt avantaj ilegal obţinut personal sau de alte părţi.

1.5. Ulterior sînt prezentate unele definiţii conform reglementărilor UE¹.

____________________

¹ Actul Consiliului din 26 iulie 1995 de elaborare a Convenţiei privind protejarea intereselor financiare ale Comunităţilor Europene.

 

- neregula: orice încălcare a unei reglementări naţionale, ca urmare a unei acţiuni sau omisiuni a unui agent economic, care poate sau ar putea prejudicia fondurile publice, fie prin diminuarea sau pierderea veniturilor publice, fie prin cheltuieli publice nejustificate. Întrucît auditorii interni sînt întotdeauna preocupaţi de neregularităţi, această îndrumare se referă, în special, la cazurile de fraudă, după cum urmează.

- fraudă (în materie de cheltuieli): orice act sau omisiune deliberată care implică: (i) utilizarea sau prezentarea unor declaraţii ori documente false, incorecte sau incomplete, care are ca efect însuşirea sau reţinerea ilicită a unor fonduri din bugetul public, (ii) necomunicarea unor informaţii prin care se încalcă o obligaţie specifică, avînd acelaşi efect şi (iii) deturnarea unor astfel de fonduri în alte scopuri decît cele pentru care au fost iniţial acordate.

- fraudă (în materie de venituri): orice act sau omisiune deliberată care implică: (i) utilizarea sau prezentarea unor declaraţii ori documente false, incorecte sau incomplete, care are ca efect diminuarea ilicită a resurselor publice, (ii) necomunicarea unor informaţii prin care se încalcă o obligaţie specifică, avînd acelaşi efect şi (iii) deturnarea unui beneficiu obţinut în mod legal, avînd acelaşi efect.

1.6. În legislaţia Republicii Moldova² găsim definiţiile următoare.

____________________

² Legea cu privire la prevenirea şi combaterea corupţiei nr.90-XVI din 25.04.2008

 

- frauda: o acţiune ilegală, caracterizată prin înşelăciune, disimulare sau trădare a încrederii, comisă de o persoană sau entitate publică în scopul obţinerii avantajelor financiare, bunurilor/ valorilor sau serviciilor, sau eschivării de la efectuarea plăţilor pentru aşi asigura un avantaj personal ori de afaceri.

- corupţia: o faptă ilegală care afectează exercitarea normală a funcţiei şi care constă fie în folosirea de către subiectul actelor de corupţie sau al faptelor de comportament corupţional a funcţiei sale pentru solicitarea, primirea sau acceptarea, direct sau indirect, pentru sine sau pentru o altă persoană, a unor foloase materiale sau a unui avantaj necuvenit, fie în promisiunea, oferirea sau acordarea ilegală a unor asemenea foloase sau avantaje necuvenite subiecţilor actelor de corupţie.

1.7. În prezenta NMAISP corupţia este considerată un aspect sau formă specifică a fraudei. În prezenta normă, unde este menţionată frauda, aceasta poate fi aplicată şi la cazurile de corupţie.

2. Forme şi moduri ale fraudei

2.1. Frauda poate consta dintr-o multitudine de activităţi sau acţiuni ilegale, toate caracterizate prin înşelăciune intenţionată de a obţine un avantaj, evita o obligaţie, sau cauza pierdere unei alte părţi.

2.2. Termenul “fraudă” este deseori atribuit unor astfel de acţiuni, precum: mituire, falsificare, extorcare, corupţie, furt, complot, delapidare de bani, deturnare de fonduri, expunere falsă, ascundere de fapte/ probe şi complicitate. Aceste acţiuni ilegale sînt întotdeauna considerate materiale prin natura lor deoarece frauda comisă de către funcţionarii care gestionează fondurile publice (indiferent de sumă) nu poate fi tolerată!

2.3. Frauda este utilizarea înşelăciunii intenţionat pentru a obţine un avantaj financiar injust sau ilegal. Aceasta ar putea include denaturarea intenţionată a rapoartelor financiare şi altor înregistrări, precum şi deturnarea de active. Aceste acţiuni frauduloase pot fi comise de angajaţii entităţii publice, conducere, de terţe părţi, sau acţiuni comise în complicitate cu participanţii din două sau mai multe dintre aceste grupuri.

2.4. Fraudele pot fi comise în beneficiul entităţii publice, cît şi în dezavantajul acesteia.

2.5. Exemple de fraude comise în avantajul entităţii:

- fraude fiscale,

- activităţi comerciale interzise prin lege şi de regulamente,

- omiterea intenţionată a înregistrărilor contabile în scopul creării unei impresii înşelătoare privind situaţia financiară,

- solicitări false de la guvern pentru acordarea unor asemenea lucruri ca granturi sau beneficii.

2.6. Exemple de fraude comise în dezavantajul entităţii:

- acceptarea mitei,

- facturarea serviciilor sau bunurilor care nu au fost furnizate,

- deturnarea de fonduri sau bunuri şi falsificarea înregistrărilor contabile pentru a disimula acţiunea.

3. Obligaţiile auditului intern în raport cu frauda

3.1. În conformitate cu Legea CFPI, auditul intern are următoarele drepturi şi obligaţii în ceea ce priveşte frauda.

 

 

3.2. În prezenta NMAISP, frauda se referă la “frauda suspectată, posibilă sau probabilă” şi “frauda dovedită”. În timpul desfăşurării activităţilor de audit, auditorul intern rareori depistează “fraude dovedite.” De regulă, auditorul intern se confruntă cu un set de circumstanţe care sugerează că o activitate frauduloasă poate avea loc sau a avut loc şi care trebuie să fie investigată şi trebuie să fie raportată imediat.

3.3. Prin urmare, auditorul intern este responsabil de elaborarea şi urmarea paşilor corespunzători, colectarea probelor relevante şi apoi să determine dacă o fraudă posibilă ar fi putut fi comisă.

3.4. Dacă în rezultatul activităţii se raportează fraude probabile, atunci, în conformitate cu prevederile art.22 din Legea CFPI, conducătorul UAI este responsabil să informeze în scris managerul entităţii publice şi managerul unităţii auditate în cazul descoperirii unor indicii de potenţiale fraude în cursul misiunii de audit intern.

3.5. Dacă în rezultatul activităţii nu se raportează fraude probabile, dar mai degrabă, o deficienţă de management, auditorul intern este de asemenea responsabil pentru abordarea deficienţei depistate şi pentru oferirea recomandărilor relevante de audit.

3.6. Doar o instanţă judecătorească sau o altă instituţie echivalentă poate determina dacă o anumită tranzacţie sau activitate reprezintă o “fraudă dovedită”.

4. Motive pentru comiterea fraudei

4.1. De regulă, frauda începe ca una mică şi sporeşte în cazul în care nu este detectată. Persoanele care comit frauda profită de controalele slabe, sau de posibilitatea de a neglija controalele şi sînt motivaţi de dorinţa de a obţine bani sau alte avantaje.

4.2. Sînt trei caracteristici de bază ale fraudei, cunoscute sub denumirea de “triunghiul fraudei”, reprezentat în figura 17.

 

 

Figura 17. Triunghiul fraudei

 

4.3. Presiunea reprezintă evenimentele care au loc în cadrul entităţii publice sau în viaţa unei persoane. Sub sentiment de presiune, necesităţile personale devin mai presus decît etica personală şi obiectivele entităţii publice. Stimulentul, de regulă, apare dintr-o necesitate financiară semnificativă sau dintr-o problemă. Ar putea fi necesitatea de bani, a unui bonus sau doar pentru a păstra serviciul. Ar putea, de asemenea, fi dorinţa de a ajunge la o poziţie mai avansată în entitatea publică sau de a atinge un standard mai înalt de viaţă.

4.4. Justificarea este o decizie conştientă a unei persoane de a-şi plasa necesităţile personale mai presus decît necesităţile altor persoane şi/sau obiectivele entităţii publice, şi de a justifica decizia respectivă, în mare parte pentru sine însuşi. Persoana care comite frauda doar “împrumută” banii şi/sau utilizează banii pentru “scopuri mai majore” decît scopul entităţii publice. Este important ca justificarea să fie prezentă în cultura organizaţională, care anterior a acceptat un asemenea comportament şi, ceea ce este mai important, tonul stabilit la nivelul superior.

4.5. Oportunitatea presupune ca persoana să aibă acces la bunuri sau să gestioneze o activitate de control şi abilitatea de a ascunde frauda. Oportunitatea este creată de activităţile de control slabe, de exemplu, nu există separarea atribuţiilor, managementul prost şi/sau beneficierea de funcţia ocupată sau autoritatea de a predispune neglijarea controalelor.

4.6. Toate aceste trei caracteristici trebuie să fie prezente într-o oarecare măsură pentru ca o fraudă să fie comisă. Din aceste trei elemente, oportunitatea este componentul pe care entitatea publică poate să-l influenţeze cel mai mult, şi anume, prin implementarea activităţilor de control care minimizează tentaţia.

5. Responsabilitatea conducerii

5.1. Managerul entităţii publice este responsabil de stabilirea unui sistem MFC eficient şi eficace pentru a asigura conformitatea cu legislaţia şi reglementările, şi în baza acestuia, prevenirea fraudei şi neregularităţilor.

5.2. Prin urmare, este sarcina conducerii, inclusiv a managerilor operaţionali, de a elabora şi implementa măsuri eficiente de prevenire a acţiunilor sau omisiunilor, care pot prejudicia fondurile publice sau permite încălcarea acestor legi şi regulamente, şi să pună în aplicare proceduri adecvate pentru:

- elaborarea, promovarea şi monitorizarea conformităţii cu legislaţia, reglementările, politicile, procedurile, şi alte instrucţiuni administrative/ financiare;

- elaborarea şi implementarea strategiilor pentru prevenirea şi detectarea cazurilor de fraudă şi altor neregularităţi;

- recepţionarea şi investigarea acuzaţiilor de încălcare a normelor de conduită financiară sau a fraudei şi neregularităţilor.

6. Rolul şi responsabilităţile auditorului intern

6.1. Auditorul intern nu este responsabil de prevenirea fraudei, ci conducerea entităţii publice este responsabilă de prevenirea acesteia. Însă, pentru toate activităţile de audit auditorul intern trebuie să planifice şi să efectueze misiunile în conformitate cu SNAI.

6.2. SNAI prevăd necesitatea obţinerii de suficiente probe privind măsura în care datele financiare sau alte date examinate pe parcursul misiunii pot fi eronate, inclusiv denaturate şi eronate din cauza fraudelor.

6.3. În procesul de planificare şi elaborare a programului de testare sau evaluare a conformităţii cu legislaţia, reglementările şi alte instrucţiuni, auditorul intern trebuie să evalueze activităţile de control din cadrul entităţii publice şi să evalueze riscul în care sistemul MFC poate să nu prevină sau să detecteze neconformitatea cu cadrul de reglementare. În special, pe parcursul unei misiuni, testele trebuie să fie efectuate în conformitate cu legislaţia şi reglementările relevante.

6.4. În mod corespunzător, auditorul intern poate utiliza, la diferite etape ale misiunii, proceduri specifice de audit care oferă o asigurare rezonabilă de detectare a materialului³ neconformităţii, erorilor, neregulilor şi acţiunilor ilegale. Auditorul intern trebuie să fie alertat despre orice indicii de fraudă sau corupţie posibilă la toate etapele desfăşurării misiunii. El nu trebuie să accepte la valoarea nominală nici o problemă care pare a fi neobişnuită sau extraordinară.

____________________

³ Termenul “materialitate” este explicat în NMAISP 12.

 

6.5. Auditorii interni trebuie să îşi exercite activitatea cu conştiinciozitate şi pricepere, precum se aşteaptă de la un auditor intern prudent şi competent. Mai specific, auditorii interni sînt responsabili de:

- elaborarea programului de lucru, care să ofere o asigurare rezonabilă de detectare a neregulilor dacă acestea sînt prezente;

- acordarea atenţiei cuvenite pe parcursul misiunii la documentarea suspiciunii unei fraude posibile, astfel încît să nu pericliteze investigaţiile ulterioare sau iniţiativele de urmărire penală;

- raportarea suspiciunilor de fraude suspectate sau probabile după documentarea acestora.

6.6. În conformitate cu prevederile Legii CFPI, conducătorul şi personalul UAI nu au dreptul să investigheze fraude. De asemenea, conform SNAI, auditorii interni trebuie să posede cunoştinţe suficiente pentru a evalua riscul de fraudă şi modul în care acesta este gestionat de entitatea publică, dar nu sînt solicitaţi să dispună de experienţa unei persoane a cărei responsabilitate de bază este depistarea şi investigarea fraudei.

6.7. Evaluarea, detectarea, raportarea, documentarea, cît şi alte acţiuni efectuate de auditorul intern pe marginea cazurilor de fraudă în privinţa unei persoane fizice, urmează a fi realizate în strictă conformitate cu prevederile Legii privind protecţia datelor cu caracter personal. Auditorul intern este obligat să asigure confidenţialitatea şi securitatea acestor date cu caracter personal în condiţiile art.29 şi 30 ale Legii menţionate supra.

7. Relaţia cu alte entităţi publice

7.1. Entităţi publice, implicate în domeniile ce ţin de fraudă şi corupţie, sînt prezentate ulterior.

7.2. Centrul Naţional Anticorupţie este un organ specializat învestit cu atribuţii de prevenire şi de combatere a actelor de corupţie sau a faptelor de comportament corupţional, în ale cărui obligaţii intră⁴ (printre altele):

____________________

⁴ Art.13 din Legea cu privire la prevenirea şi combaterea corupţiei nr.90-XVI din 25.04.2008.

 

a) întreprinderea acţiunilor de prevenire, depistare şi de contracarare a corupţiei, efectuarea măsurilor operative de investigaţie şi a măsurilor de urmărire penală privind actele de corupţie;

b) colectarea şi analiza informaţiilor privind faptele de comportament corupţional sau actele de corupţie, colaborarea şi schimbul de informaţii cu autorităţile administraţiei publice, sesizarea organelor competente despre cauzele şi condiţiile care favorizează comiterea de acţiuni ilicite.

7.3. Inspecţia financiară este autoritate administrativă de specialitate din subordinea Ministerului Finanţelor şi efectuează inspectări (controale) financiare.

7.4. Misiunea Inspecţiei financiare⁵ constă în protecţia intereselor financiare publice ale statului prin exercitarea, conform principiilor transparenţei şi legalităţii, a controlului financiar centralizat al Ministerului Finanţelor privind conformitatea cu legislaţia a operaţiunilor şi tranzacţiilor ce ţin de gestionarea resurselor bugetului public naţional şi patrimoniului public.

____________________

⁵ Hotărîrea Guvernului nr.1026 din 02.11.2010 privind organizarea activităţii de inspectare financiară.

 

7.5. Alte organe şi persoane abilitate⁶ exercită atribuţii de prevenire şi combatere a corupţiei prin realizarea politicilor şi practicilor în domeniu, în limitele competenţei stabilite de legislaţie:

____________________

⁶ Art.14 din Legea cu privire la prevenirea şi combaterea corupţiei nr.90-XVI din 25.04.2008.

 

- Parlamentul Republicii Moldova;

- Preşedintele Republicii Moldova;

- Guvernul Republicii Moldova;

- Procuratura;

- Serviciul de Informaţii şi Securitate;

- Curtea de Conturi a Republicii Moldova;

- alte organe centrale de specialitate ale administraţiei publice şi autorităţile administraţiei publice locale;

- societatea civilă.

8. Evaluarea riscului de fraudă

8.1. Evaluarea riscurilor, în general, este descrisă în NMAISP 3, NMAISP 3 şi NMAISP 10.

8.2. Toate entităţile publice sînt expuse la riscul de fraudă în orice proces care necesită implicarea umană. Expunerea la fraudă depinde de:

- riscul de fraudă inerent activităţii/ procesului;

- eficacitatea activităţilor de control;

- onestitatea şi integritatea persoanelor implicate.

8.3. Riscul de fraudă reprezintă probabilitatea că va fi comisă o fraudă şi consecinţele acesteia pentru entitatea publică atunci cînd frauda va avea loc.

8.4. Evaluarea riscului de fraudă reprezintă un instrument care îi ajută pe manageri şi auditorii interni la identificarea sistematică a locului şi modului în care frauda poate avea loc şi cine ar putea să o comită. La evaluarea riscului de fraudă este preferabil să se lucreze într-o echipă alcătuită din membri ai diferitor părţi ale entităţii publice.

8.5. Evaluarea riscului de fraudă se axează pe scheme şi scenarii de fraudă pentru a determina prezenţa activităţilor de control şi posibilitatea de a neglija aceste activităţi de control.

8.6. Evaluarea riscului de fraudă constă din cinci paşi:

a) identificarea factorilor de risc de fraudă;

b) identificarea schemelor potenţiale de fraudă şi prioritizarea acestora pe baza riscurilor;

c) identificarea discrepanţelor prezente între activităţile de control existente şi schemele potenţiale de fraudă;

d) testarea eficacităţii prevenirii fraudei şi controalelor de detecţie a fraudei;

e) documentarea şi raportarea.

8.7. Identificarea factorilor de risc de fraudă constă în acumularea informaţiei cu privire la activităţile/ procesele entităţii publice, inclusiv revizuirea fraudelor precedente şi fraudelor suspectate, fraudelor comise în entităţi publice similare şi analizarea măsurilor de performanţă ale entităţii publice timp de ultimii cîţiva ani pentru a identifica prezenţa unor modele inconsecvente.

8.8. La etapa de identificare a schemelor de fraudă posibile şi de prioritizare a acestora pe bază de risc, sarcina este de a identifica cît mai multe scenarii de fraudă posibile. Abordarea se bazează pe lucrul în echipă şi brainstorming, intervievarea conducerii şi revizuirea fraudelor anterioare. Pot fi obţinute avantaje de asemenea prin implicarea unor (tuturor) angajaţi. O idee bună ar fi de a “gîndi ca persoana care vrea să comită frauda”.

8.9. La prioritizarea schemelor de fraudă trebuie de luat în consideraţie asemenea factori ca impactul monetar, impactul reputaţional, pierderea productivităţii, acţiunile legale, securitatea datelor, pierderile de active, volumul operaţiunilor, cultura/ tonul de vîrf, veniturile conducerii/ angajaţilor, volumul/ mărimea tranzacţiilor, posibilitatea de externalizare.

8.10. La etapa de identificare a discrepanţelor dintre activităţile de control existente şi schemele de fraudă posibile, echipa identifică controalele de prevenire şi de detectare prezente pentru a soluţiona fiecare schemă (de risc) de fraudă şi pentru a evalua probabilitatea şi ponderea fiecărei fraude posibile. De asemenea, trebuie să fie analizat riscul de neglijare a controalelor de către membrii conducerii.

8.11. Testarea eficacităţii controalelor de prevenire şi detectare a fraudei se realizează prin analiza eficacităţii activităţilor de control, care se pretind că sînt prezente, prin testare periodică a acestora.

8.12. Elementele cheie care trebuie să fie documentate pentru fiecare domeniu de activitate/ proces sînt:

- tipurile de fraudă care au şanse să fie comise;

- riscul inerent de fraudă (activele comerciabile, morale, veniturile angajaţilor);

- caracterul adecvat al monitorizării şi activităţilor de control;

- golurile potenţiale în controalele de detectare a fraudelor;

- probabilitatea şi impactul fraudei.

8.13. Conducătorul UAI trebuie să raporteze periodic managerului entităţii publice cu privire la expunerile la riscuri, inclusiv riscurile de fraudă.

8.14. La etapa planificării activităţii şi misiunii, nemijlocit la evaluarea riscului de fraudă, auditorii interni ţin cont de factorii care pot contribui la vulnerabilitatea entităţii publice la fraudă. Un exemplu de factori generali ai vulnerabilităţii la fraudă este prezentat în secţiunea cu instrucţiuni suplimentare.

9. Raportarea suspiciunilor de fraudă

9.1. În caz de suspiciune de fraudă posibilă, este esenţial ca auditorul intern să-l informeze imediat pe şeful echipei şi/sau pe conducătorul UAI, pentru a determina dacă această suspiciune este justificată.

9.2. Conducătorul UAI raportează frauda probabilă managerului entităţii publice despre persoanele care sînt bănuite că au fost implicate în comiterea fraudei posibile.

9.3. Conducătorul UAI analizează toate aspectele fraudei probabile cînd decide de a raporta managerului entităţii publice. La momentul deciderii timpului şi modului de raportare a fraudei probabile, conducătorul UAI evaluează posibilitatea implicării managementului în fraudă şi alţi factori relevanţi. Aceşti factori ar putea fi tipul fraudei suspectate, caracterul şi împrejurările fraudei probabile, implicaţiile financiare estimate ale fraudei probabile.

9.4. În cazul deciziei de a raporta frauda probabilă managerului entităţii publice, conducătorul UAI trebuie să monitorizeze reacţia şi acţiunile ulterioare ale conducerii.

9.5. Conducătorul UAI trebuie să determine dacă managerul entităţii publice:

- a luat măsuri pentru a investiga frauda suspectată sau prezenţa unor presupuse fraude în domeniile aferente;

- a luat măsuri în vederea implementării sau modificării sistemului de controale în domeniile aferente fraudei probabile;

- a raportat frauda probabilă organelor competente;

- a respectat cerinţele cadrului normativ de raportare a unei astfel de informaţii părţilor externe;

- a întreprins paşi prompţi de reacţie la fraudele cunoscute sau probabile care ar putea avea un efect material asupra rapoartelor financiare ale entităţii publice.

10. Finalizarea misiunii şi demararea investigării

10.1. În momentul identificării prezenţei unei posibile fraude, auditorul intern trebuie să demonstreze şi să documenteze că există probe/ indicatori suficienţi relevanţi şi rezonabili, care să confirme concluzia auditorului intern.

10.2. Auditorilor interni, prin urmare, li se cere să efectueze doar acei paşi şi să urmeze acele proceduri de audit, care le vor permite să recunoască posibilitatea de fraudare. Odată ce auditorul intern a ajuns la o concluzie, acesta nu trebuie să întreprindă acţiuni care ar putea interveni în ancheta ulterioară sau alte proceduri judiciare sau de instanţă.

10.3. Respectiv, îndată ce auditorul intern a ajuns la concluzia că există o posibilă fraudă şi a documentat această concluzie cu probe de audit suficiente, misiunea trebuie să fie stopată în acel domeniu specific. Prin urmare, constatările trebuie să fie procesate prompt şi sistematic pentru ca managerul entităţii publice să ia o decizie.

10.4. Managerul entităţii publice are responsabilitatea finală şi autoritatea de a comunica o constatare a unei fraude probabile altor autorităţi competente. În toate cazurile de fraude suspectate auditorul intern trebuie să urmeze instrucţiunile managerului entităţii publice privind colaborarea cu alte autorităţi competente.

10.5. Este destul de dificil de stabilit o limită unde auditorul intern trebuie să stopeze misiunea, deoarece auditorul intern doreşte ca suspiciunea să fie documentată în mod corespunzător, fiindcă organul de anchetă poate ajunge la concluzia că nu există suficiente probe care să confirme suspiciunea respectivă.

10.6. De exemplu, verificarea adiţională a facturilor fiscale, pentru a confirma suspiciunea de fraudă, nu va fi considerată ca făcînd parte din investigare, însă ca fiind o documentare a suspiciunii de fraudă. Pe de altă parte, dacă auditorul intern suspectă că un angajat anumit sau manager este implicat într-o fraudă acesta nu trebuie să intervieveze persoana şi să adreseze întrebări specifice privind frauda probabilă.

10.7. Principiul de bază de respectat este că auditorul intern nu trebuie să întreprindă nimic ce ar putea pune în gardă persoanele potenţial suspecte sau care ar dăuna desfăşurării ulterioare a anchetei.

11. Colaborarea cu organul de anchetă

11.1. În conformitate cu prevederile SNAI 2440.A2:

 

 

11.2. Auditorul intern ţine cont de faptul că pot exista prevederi specifice în alte acte legislative care l-ar obliga pe acesta să ofere organului de anchetă toate documentele relevante şi informaţia necesară pentru investigare. Documentele de audit pot fi supuse citaţiei sau auditorul intern poate chiar să fie chemat în calitate de martor în instanţa de judecată.

11.3. În momentul raportării către managerul entităţii publice privind o fraudă probabilă, conducătorul UAI trebuie să convină cu acesta asupra modalităţii de informare a UAI despre rezultatele investigării.

12. Instrucţiuni suplimentare la NMAISP 14

12.1. În prezentele instrucţiuni suplimentare se prezintă unii factori generali ai vulnerabilităţii la fraudă, unii indicatori ai intenţiei de a comite o fraudă, indicatori posibili de raportare financiară frauduloasă, cît şi unii indicatori posibili de denaturare care rezultă din deturnarea de active. Aceşti indicatori pot fi trataţi în calitate de avertizări puternice sau mai puţin evidente, dar care necesită o atenţie imediată din partea auditorului intern.

12.2. Ulterior, se prezintă cîţiva factori generali care pot contribui la vulnerabilitatea la fraudă sau spori posibilitatea fraudelor într-o entitate publică:

- cultura organizaţională: activităţi de control proaste, locaţii la distanţă, lipsă de supraveghere, monitorizare şi revizuire, influenţe politice;

- probleme de atitudine: sistem de remunerare inadecvat, lipsa preocupării managerilor în detectarea şi prevenirea fraudei, supravegherea proastă a personalului, nivel nesatisfăcător de încredere interpersonală, tonul de vîrf indiferent în ceea ce priveşte frauda, pierderile şi abuzul;

- influenţe motivaţionale: presiuni organizaţionale, stres cauzat de probleme personale, probabilitatea cîştigului, probabilitatea descoperirii posibile, caracterul posibilei pedepse;

- politici organizaţionale: inexistenţa unui cod etic, lipsa politicilor cu privire la fraudă, bazarea pe auditul intern pentru detectarea şi prevenirea fraudei, ignorarea frecventă a activităţilor de control;

- considerente geografice: misiunea entităţii publice, implicaţii culturale, locaţii geografice multiple, siguranţă necorespunzătoare a patrimoniului;

- stilul de conducere: cele mai vulnerabile la fraudă sînt mecanismele de conducere/ entităţile cu un management autocratic şi centralizat, mecanisme de reacţii critice sau negative privind performanţa, un sistem de recompense monetar sau administrat politic, sisteme de planificare pe termen scurt şi centralizate, sisteme de raportare de rutină, evaluări ale performanţei bazate pe măsuri cantitative şi pe termen scurt, reguli rigide şi puse în aplicare cu fermitate, sisteme contabile inadecvate.

12.3. După cum este menţionat în definiţii, frauda reprezintă o acţiune intenţionată. Totuşi, este foarte dificil pentru auditorul intern să colecteze probe de audit pentru a demonstra că acţiunea a fost efectuată intenţionat. Pentru aceasta, pot fi utili unii indicatori. Aceştia pot să nu fie concludenţi ca dovadă, însă pot consolida probabilitatea că o posibilă fraudă a fost comisă. Următorii indicatori sînt recunoscuţi ca indicînd intenţia:

- declaraţii false: persoana care a comis o acţiune ilegală cu siguranţă va oferi auditorului intern informaţii false, care induc în eroare sau care sînt incorecte. Un model de comportament care include oferirea informaţiilor false, răspunsuri incomplete la întrebări, solicitări de informaţii poate indica intenţia;

- distrugerea probelor: cînd cineva comite o acţiune, aceasta, de regulă, lasă un şir de probe. De obicei, cineva care a comis o acţiune ilegală va încerca să elimine acest şir de probe pentru a evita detectarea lor. Este destul de dificil de a elimina complet probele. Uneori, încercările de a le distruge creează alte probe;

- împiedicarea auditului intern: cînd o persoană este implicată într-o acţiune frauduloasă, s-ar putea ca ea să încerce să obstrucţioneze sau în alt mod să împiedice auditul intern. Refuzînd accesul auditorului intern la registre sau angajaţi, refuzînd de a fi intervievat de către auditorul intern şi ignorînd solicitările de colaborare, acestea toate pot indica o încercare deliberată de a împiedica desfăşurarea misiunii şi poate indica intenţia;

- comportamentul (repetitiv): un model de comportament repetitiv al unei persoane responsabile cunoscătoare, care pare să evite erorile, poate fi un indiciu de intenţie. Frauda de regulă nu poate fi comisă din întîmplare de către o persoană calificată şi bine instruită pentru a-şi îndeplini atribuţiile şi care este recunoscută ca fiind competentă şi capabilă;

- modificarea (falsificarea) documentelor: pentru a ascunde sau facilita o acţiune de fraudă, documentele vor fi modificate (falsificate) repetat;

- recunoaşterea: recunoaşterea benevolă, voluntară privind comiterea intenţionată a unei fraude este una din cele mai bune surse de probe pentru a demonstra intenţia.

12.4. Ulterior, sînt prezentaţi unii indicatori posibili de raportare financiară frauduloasă.

 

 

12.5. Ulterior, sînt prezentaţi unii indicatori posibili de denaturare, care rezultă din deturnarea de active.

 

 

XVI. RELAŢII DE LUCRU – NMAISP 15

1. Introducere

1.1. Succesul auditului intern depinde în mare măsură de stabilirea unor relaţii de lucru eficiente şi este necesar ca acest lucru să fie realizat pe întreaga durată a activităţii.

1.2. În acest scop, NMAISP 15 oferă îndrumări privind stabilirea unor relaţii de lucru eficiente cu:

- unitatea auditată;

- managerul entităţii publice;

- persoanele care oferă asistenţă de specialitate şi consultanţă;

- auditul public extern;

- UCA.

1.3. Relaţiile bune de lucru sporesc probabilitatea şi fezabilitatea măsurilor de perfecţionare continuă a sistemelor, proceselor şi operaţiunilor entităţii publice. Stabilirea unor relaţii bune de lucru prezintă mai multe beneficii pentru auditorii interni, dintre care cele mai importante sînt:

- facilitează şi permit realizarea misiunilor în cel mai economic şi eficient mod;

- încurajează destinatarii raportului de audit să ia măsuri în ceea ce priveşte constatările şi recomandările de audit.

2. Relaţiile cu unitatea auditată

2.1. În activitatea lor, nemijlocit la efectuarea misiunii, auditorii interni se conduc de prevederile SNAI.

 

 

2.2. Obiectivitatea auditorului intern rezidă în atitudinea acestuia, independenţa propriei judecăţi şi încrederea că propriile rezultate sînt calitative.

2.3. Conducătorul UAI numeşte şeful şi membrii echipei de audit astfel încît să se evite orice conflict de interese sau lipsă de imparţialitate (potenţiale sau reale). Conducătorul UAI trebuie să se asigure periodic că nici un conflict de interese sau influenţă nu ar putea afecta independenţa şi obiectivitatea auditorilor interni.

2.4. De asemenea, referitor la independenţa şi obiectivitatea auditorilor interni, SNAI conţin prevederile următoare.

 

 

2.5. Auditorii interni trebuie să fie independenţi de unitatea auditată pentru a asigura oferirea opiniilor obiective şi a face uz de raţionament imparţial de audit în examinarea obiectivelor misiunii.

2.6. Obiectivitatea şi imparţialitatea auditorilor interni este asigurată de faptul că aceştia nu trebuie să deţină responsabilităţi operaţionale. În acest context, recomandările de audit vor fi implementate doar atunci cînd unitatea auditată percepe lacunele sau golurile depistate, cît şi măsurile de soluţionare sau îmbunătăţire care rezultă.

2.7. În mare parte, aceste aspecte depind de relaţiile de lucru cu unitatea auditată şi de măsura în care se comunică eficient cu aceasta la orice etapă a misiunii.

2.8. Unitatea auditată este dispusă să ia măsuri imediate privind recomandările de audit atunci cînd:

- percep, atît auditorul intern, cît şi raportul de audit, ca fiind profesionist, corect şi obiectiv;

- auditorul intern a demonstrat că înţelege clar mediul de control şi operaţiunile unităţii auditate;

- recomandările de audit sînt clare şi fezabile.

2.9. Relaţiile de lucru eficiente cu unitatea auditată se bazează pe o abordare şi atitudine profesionistă faţă de misiune, care promovează înţelegerea rolurilor distincte ale auditorului intern şi unităţii auditate şi generează încredere şi respect reciproc.

2.10. Pentru auditorul intern sînt importante următoarele aspecte:

- personalul unităţii auditate să înţeleagă deplin responsabilităţile proprii, inclusiv de implementarea viitoare a recomandărilor de audit, şi rolul auditorului intern;

- auditorul intern să înţeleagă clar rolurile şi responsabilităţile, cît şi drepturile şi obligaţiile proprii pe parcursul derulării misiunii;

- atît auditorul intern, cît şi personalul unităţii auditate să înţeleagă obiectivul comun de îmbunătăţire a funcţionalităţii sistemelor, proceselor şi operaţiunilor unităţii auditate.

2.11. Modul în care auditorul intern comunică cu personalul unităţii auditate reprezintă un factor esenţial în crearea unor relaţii de lucru eficiente.

3. Relaţiile cu managerul entităţii publice

3.1. Rolul auditului intern este de a ajuta managerii entităţii publice în implementarea bunelor practici MFC, pe cînd rolul managerilor este de a institui şi asigura funcţionalitatea acestui sistem, care să abordeze eficient şi eficace principalele riscuri cu care se confruntă entitatea publică.

3.2. Anume managerii poartă răspundere în ceea ce priveşte schimbările necesare pentru îmbunătăţirea continuă a sistemelor, proceselor şi operaţiunilor, inclusiv sistemul MFC.

3.3. SNAI conţin următoarele prevederi referitor la relaţia auditului intern cu managerul entităţii publice.

 

 

3.4. Conducătorul UAI trebuie să fie subordonat, să raporteze direct managerului entităţii publice şi să beneficieze de suportul acestuia pentru a obţine o cooperare eficientă cu unitatea auditată.

3.5. De asemenea, în activitatea de audit intern, nu se permit imixtiuni în cazul:

a) definirii ariei de aplicabilitate sau “universului de audit”;

b) realizării activităţii, misiunilor;

c) raportării.

3.6. În timpul activităţii, conducătorul UAI comunică şi interacţionează direct cu managerul entităţii publice, astfel relaţia de lucru cu acesta este crucială pentru obţinerea unei valori adăugate ca rezultat al activităţii de audit intern.

4. Relaţiile cu asistenţii specializaţi şi consultanţii

4.1. Unele aspecte privind oferirea de către unele persoane, din interiorul sau din afara entităţii publice, a asistenţei specializate şi consultanţei sînt tratate în NMAISP 13.

4.2. Conducătorul UAI discută cu persoanele care vor oferi asistenţă şi consultanţă următoarelor aspecte:

a) obiectivele şi aria de aplicabilitate a misiunii;

b) aspectele speciale care necesită atenţie deosebită;

c) accesul la documente, persoane şi bunuri aferente misiunii;

d) apartenenţa şi păstrarea documentelor de lucru aferente misiunii;

e) confidenţialitatea informaţiilor obţinute pe parcursul misiunii.

4.3. Persoana sau persoanele respective se includ în Ordinul privind efectuarea misiunii de audit intern în calitate de membru/ membri ai echipei de audit.

4.4. Persoanele care oferă asistenţă specializată şi consultanţă deţin o serie de responsabilităţi şi obligaţii, printre care:

- este solicitat pentru un domeniu concret, conform competenţelor sale profesionale şi nu se implică în alte domenii;

- oferă un punct de vedere documentat şi conform obiectivelor misiunii;

- UAI este proprietarul documentelor sale de lucru.

5. Relaţiile cu auditul public extern

5.1. Ca orice altă subdiviziune structurală a entităţii publice, activitatea UAI poate fi parte a unui audit al Curţii de Conturi.

5.2. Suplimentar, conducătorul UAI coordonează şi informează Curtea de Conturi privind planul anual şi raportul anual de activitate, pentru evitarea dublării eforturilor, ţinînd cont, de asemenea, de prevederile SNAI.

 

 

5.3. Scopul colaborării între UAI şi auditul extern (Curtea de Conturi) constă în:

- asigurare suplimentară că auditul intern este independent;

- reducere la minim a suprapunerilor;

- schimb de experienţă profesională;

- pregătire profesională comune;

- împărtăşire a informaţiilor utile;

- crearea unei culturi comune a auditului în întreg sectorul public;

- eliminarea rivalităţii sau competiţiei dintre cele două activităţi;

- conştientizare a riscurilor, atît de către manageri, cît şi de către auditorii interni;

- obţinerea încrederii reciproce în rezultatele activităţii;

- coordonarea planurilor şi a programelor.

5.4. Auditorii externi evaluează eficacitatea activităţii de audit intern înainte de a obţine încredere în rezultatele acesteia. Rămîne la discreţia auditorilor externi să ia decizii privind încrederea sau neîncrederea.

5.5. În conformitate cu prevederile Cartei şi Legii CFPI, conducătorul UAI remite Curţii de Conturi:

a) copia planului anual al activităţii de audit intern;

b) copia raportului anual al activităţii de audit intern.

6. Relaţiile cu UCA

6.1. Misiunea UCA constă în promovarea, dezvoltarea şi monitorizarea controlului financiar public intern conform cerinţelor legislaţiei naţionale şi bunelor practici ale Uniunii Europene.

6.2. UCA dispune de următoarele atribuţii:

a) elaborează, promovează şi monitorizează politicile în domeniul controlului financiar public intern;

b) elaborează şi actualizează cadrul normativ în domeniul controlului financiar public intern;

c) monitorizează şi evaluează calitatea activităţii unităţilor de audit intern;

d) monitorizează şi evaluează calitatea sistemului de management financiar şi control;

e) prezintă Guvernului, pînă la data de 1 iunie a fiecărui an, raportul anual consolidat privind controlul financiar public intern pe anul precedent;

f) coordonează şi/sau organizează instruirea în domeniul managementului financiar şi controlului, precum şi instruirea auditorilor interni din sectorul public;

g) elaborează şi dezvoltă mecanismele de certificare a auditorilor interni;

h) avizează cartele de audit intern, instrucţiunile de aplicare a Normelor metodologice pentru implementarea auditului intern în sectorul public şi reglementările interne privind managementul financiar şi controlul, specifice sectoarelor de activitate;

i) armonizează cadrul normativ în domeniul controlului financiar public intern cu bunele practici internaţionale;

j) colaborează cu organismele internaţionale şi instituţiile de specialitate din domeniul controlului financiar public intern.

6.3. Conducătorul UAI, cît şi colaboratorii acesteia, au un rol foarte important în realizarea de către UCA a atribuţiilor sale, aceştia fiind parte integrantă a conceptului CFPI, promovat şi monitorizat de Ministerul Finanţelor.

6.4. Ţinînd cont de atribuţiile UCA şi contribuţia UAI, relaţiile bune de lucru ale auditorilor interni cu UCA sînt vitale pentru dezvoltarea durabilă a sistemului CFPI în ansamblu.

6.5. Conform prevederilor cadrului normativ, conducătorul UAI remite UCA:

a) spre avizare proiectul cartei de audit intern;

b) spre avizare proiectul instrucţiunilor proprii de aplicare a Normelor metodologice de audit intern în sectorul public;

c) copia cartei de audit intern;

d) copia planului strategic al activităţii de audit intern;

e) copia planului anual al activităţii de audit intern;

f) instrucţiunile proprii de aplicare a Normelor metodologice de audit intern în sectorul public;

g) raportul anual al activităţii de audit intern.

6.6. Forma şi termenul de prezentare a raportului anual sînt stabilite de către Ministerul Finanţelor.

 

XVII. AUDITUL TEHNOLOGIILOR INFORMAŢIONALE – NMAISP 16

1. Introducere

1.1. Managementul riscurilor este în raport inseparabil de management în general. De fapt, managementul riscurilor este un instrument ce trebuie utilizat în cadrul continuităţii activităţii şi care examinează şi gestionează incertitudinile, permiţînd luarea unor decizii informate şi adecvate pentru realizarea obiectivelor entităţii publice.

1.2. Ca urmare a evoluţiilor economice şi tehnologice, instituţiile publice îşi îndeplinesc funcţiile din ce în ce mai mult utilizînd procese automatizate cu ajutorul calculatorului. Avînd în vedere că mai multe activităţi sînt realizate prin utilizarea diverselor tehnologii, trebuie de menţionat că este nevoie de depus un efort tot mai mare în auditarea funcţionalităţii acestora.

1.3. În special, mediul de control creează baza perceperii riscurilor, inclusiv etica de management al riscurilor. El creează fundamentul unor activităţi de control eficiente, stabileşte tonul de vîrf şi reprezintă un cadru general, în care auditul TI este o componentă cheie pentru asigurarea calităţii sistemelor şi aplicaţiilor informaţionale. Fără sisteme informaţionale de încredere şi controale eficiente ale TI, entităţile publice nu ar putea efectua operaţiuni/ tranzacţii corecte şi genera rapoarte, inclusiv financiare, exacte.

1.4. Cu toate acestea, TI au deseori trăsături caracteristice, care ar putea necesita atenţie specială, roluri şi responsabilităţi, politici şi proceduri şi competenţă tehnică.

1.5. În acest context, NMAISP 16 este elaborată pentru a da îndrumări privind aspectele metodologice şi practice ale auditului TI.

1.6. În acest alineat se stabilesc unele definiţii conform reglementărilor şi standardelor internaţionale:

- auditul TI⁷ este o evaluare imparţială a fiabilităţii, securităţii (inclusiv confidenţialităţii), eficacităţii şi eficienţei sistemelor informaţionale automatizate, organizării departamentului de automatizare şi infrastructurii tehnice şi organizaţionale a procesării automatizate a informaţiilor. Această activitate este aplicabilă atît pentru sistemele funcţionale, cît şi pentru cele în proces de elaborare;

- obiectivul auditului TI⁷ este de a exprima o opinie/ raţionament şi, după necesităţi, de a oferi recomandări care să contribuie la capacitatea de gestiune a activităţilor şi instrumentelor TI. Mai mult decît atît, obiectivul unui audit al TI este de a oferi asigurare rezonabilă a faptului că obiectele informaţionale sau informaţiile nefinanciare nu au puncte vulnerabile;

____________________

⁷ Definiţie emisă de “Norea” – Asociaţia olandeză a auditorilor TI.

 

- infrastructura TI se referă la cadrul integrat pe care operează reţelele digitale. Această infrastructură include centre de date, calculatoare, reţele de calculatoare, dispozitive de gestiune a bazelor de date şi sistemul de reglementare;

- sistemul informaţional este o combinaţie de TI şi activităţi ale oamenilor care sprijină operaţiunile, procesul de gestionare şi decizional. Într-un sens foarte larg, termenul de sistem informaţional este frecvent utilizat pentru a se referi la interacţiunea dintre activităţile oamenilor, procese, date şi tehnologii;

- aplicaţia informatică (software) este un program de calculator creat pentru a ajuta utilizatorul să îndeplinească nişte sarcini specifice;

- baza de date este o colecţie de date organizate. În general, datele sînt organizate/ structurate pentru a modela aspectele relevante într-un mod care să sprijine procesele care necesită această informaţie;

- reţeaua este o colecţie de calculatoare şi alte componente hardware interconectate prin canale de comunicare care permit partajarea de resurse şi informaţii.

2. Cadrul de reglementare

2.1. Standardul utilizat la proiectarea, modelarea şi întreţinerea sistemelor informaţionale destinate activităţii de audit al TI este COBIT (Control Objectives for Information and Related Technology).

2.2. Acest standard a fost publicat pentru prima oară în anul 1996 de către ISACA – Asociaţia de Audit şi Control al Sistemelor Informatice. Versiunea curentă – COBIT 5, a fost publicată în anul 2012.

2.3. COBIT oferă bune practici integrate într-un cadru/ proces şi prezintă activităţile într-o structură gestionabilă şi logică. Aceste practici reprezintă un consens al experţilor şi sînt mai mult axate pe control, decît pe executare.

2.4. Cadrul COBIT este determinat de cerinţele activităţii, cuprinde întreaga gamă de activităţi TI şi se concentrează pe ce trebuie de realizat mai mult decît pe cum de realizat o guvernare, management şi control efectiv. De aceea el acţionează ca integrator al practicilor de guvernare a TI şi apelează la conducerea executivă; managementul activităţii şi al TI; specialişti în guvernare, asigurare şi securitate şi la specialişti în audit şi control al TI.

2.5. Suplimentar, COBIT reprezintă o resursă educaţională pentru specialişti în definirea cadrului obiectivelor de control, instrucţiunilor de management şi menţinerea auditului TI la un nivel matur.

2.6. Cadrul COBIT constă din trei domenii:

a) cerinţe de activitate, care constau din şapte criterii de calitate a informaţiei şi resurselor, şi anume:

- eficacitate;

- eficienţă;

- confidenţialitate;

- integritate;

- disponibilitate;

- conformitate;

- fiabilitate.

b) resurse TI, care cuprind:

- aplicaţia;

- informaţia;

- infrastructura;

- persoanele.

c) procese TI, grupate în următoarele 4 domenii de control:

- planifică şi organizează;

- achiziţionează şi implementează;

- livrează şi menţine;

- monitorizează şi evaluează.

2.7. În cadrul COBIT, pentru domeniile de control enumerate anterior, au fost definite 34 obiective de control. Acestea sînt prezentate în secţiunea cu instrucţiuni suplimentare.

2.8. De asemenea, cadrul legal naţional tratează aspecte aferente auditului IT. Ulterior, sînt prezentate cîteva acte legislative care au tangenţă sau conţin referinţe la TI, şi anume:

- Legea privind protecţia datelor cu caracter personal nr.133 din 8 iulie 2011 (Monitorul Oficial al Republicii Moldova, 2011, nr.170-175, art.492);

- Legea privind accesul la informaţie nr.982 din 11 mai 2000 (Monitorul Oficial al Republicii Moldova, 2000, nr.88-90, art.664);

- Legea cu privire la documentul electronic şi semnătura digitală nr.264-XV din 15 iulie 2004 (Monitorul Oficial al Republicii Moldova, 2004, nr.132-137, art.710);

- Legea cu privire la informatizare şi la resursele informaţionale de stat nr.467-XV din 21 noiembrie 2003 (Monitorul Oficial al Republicii Moldova, 2004, nr.6-12, art.44).

2.9. La auditarea TI, auditorii interni se conduc de prevederile NMAISP şi SNAI. Totuşi există o serie de SNAI care conţin prevederi specifice TI, după cum urmează.

 

 

3. Controalele tehnologiilor informaţionale

3.1. Există două grupuri largi de activităţi de control ale sistemelor informaţionale, şi anume:

a) controalele generale;

b) controalele aplicaţiilor.

3.2. De asemenea, acestea urmează să fie evaluate în cadrul unui audit al TI.

4. Controalele generale

4.1. Obiectivul controalelor generale este ca aplicaţiile unei entităţi publice să includă controale pentru a verifica structura, proiectarea şi organizarea sistemului informaţional, procesarea informaţiilor şi buna funcţionare a echipamentului hardware.

4.2. Controalele generale se referă la structurile, politicile şi procedurile care sînt aplicate părţilor în întregime sau celor mai importante părţi ale sistemelor informaţionale în cadrul unei entităţi publice, precum: computerul, serverul central, reţeaua şi setările pentru utilizatorii finali. Controalele generale creează mediul de control în care funcţionează aplicaţiile.

4.3. Categoriile primare de controale generale sînt:

a) programul de securitate şi management, care asigură cadrul şi ciclul continuu al activităţilor de gestionare a riscurilor, elaborare a politicilor de securitate, delegare a responsabilităţilor şi monitorizare a eficienţei controalelor;

b) controalele centrului de date, precum controale asupra achiziţionării şi implementării aplicaţiilor informatice şi utilităţilor, programelor de (tele) comunicaţii, programului de lucru, acţiunilor operatorului, bazelor de date (copii de rezervă a datelor, proceduri de recuperare a datelor);

c) securitatea accesului, precum controale pentru prevenirea utilizării inadecvate şi neautorizate a sistemelor informaţionale;

d) controale ale mentenanţei, precum controale asupra elaborării, inclusiv proiectării sistemului informaţional, controale ale cerinţelor de documentare, controale ale schimbărilor;

e) divizarea atribuţiilor, care se referă la politicile, procedurile şi structurile manageriale pentru a gestiona şi controla toate aspectele importante ale TI.

5. Controalele aplicaţiilor

5.1. Controalele aplicaţiilor se referă la diverse şi speciale structuri, politici şi proceduri conectate direct la aplicaţiile informatice din calculatorul unei persoane şi sînt destinate să controleze procesul de prelucrare al datelor.

5.2. Controalele aplicaţiilor pot fi divizate în trei categorii în funcţie de fluxul de informaţii în sistemele informaţionale şi ciclul de procesare al acestora, şi anume:

a) controalele intrărilor;

b) controalele prelucrărilor;

c) controalele ieşirilor.

5.3. Controalele intrărilor se referă la procesul de introducere a datelor, care este unul din cele mai sensibile şi în care pot avea loc erori şi fraude. Controalele intrărilor într-un sistem informatic trebuie să fie realizate la următoarele etape:

- producerea datelor;

- pregătirea şi convertirea automată a datelor;

- calcularea, înlocuirea şi mutarea datelor.

5.4. Controalele prelucrărilor se referă la asigurarea procesării/ prelucrării integrale, corecte şi exacte a datelor, pentru a preveni şi detecta eventuale erori, precum: erori de codare, erori logice, erori de structură sau înlocuiri neautorizate a datelor.

5.5. Controalele ieşirilor se referă mai mult la controalele aplicate utilizatorului. Utilizatorii trebuie să analizeze, pentru toate informaţiile oferite, conformitatea datelor de ieşire cu totalurile datelor de intrare şi operaţiilor de prelucrare a acestora. De asemenea, controalele ieşirilor presupun şi controlul accesului la datele de ieşire doar al persoanelor autorizate.

5.6. Controale adecvate ale intrărilor şi prelucrărilor oferă un grad suplimentar de asigurare a eficienţei controalelor ieşirilor, care conduce la o cantitate mai mică a acestora.

6. Obiective de control, sarcini şi tehnici utilizate în cadrul unui audit al TI

6.1. Elementele esenţiale care urmează să fie evaluate într-un audit al TI corespund următoarelor obiective de control:

- plenitudine;

- fiabilitate/ integritate;

- stocare şi securitate;

- conformitate;

- continuitate.

6.2. Ţinînd cont de cadrul COBIT, obiectivele de control, în procesul de evaluare a unui sistem informaţional (audit al TI), auditorul intern efectuează următoarele sarcini, nelimitîndu-se la acestea:

- obţine documentaţia care defineşte detaliat cerinţele faţă de sistemul operaţional;

- analizează documentaţia respectivă pentru a înţelege funcţionalitatea;

- ia în consideraţie aspectele operaţionale pentru a evalua eficienţa şi eficacitatea generală;

- identifică membrii echipei de utilizatori şi programatori/ administratori ai sistemului informaţional;

- examinează politicile şi procedurile existente utilizatori şi pentru programatori/ administratori;

- intervievează utilizatorii pentru a stabili gradul de înţelegere a proceselor, metodelor, procedurilor şi instrucţiunilor de operare a sistemului informaţional;

- evaluează mediul de control;

- identifică componentele importante ale sistemului informaţional şi fluxul tranzacţiilor efectuate prin acesta;

- determină dacă obiectivele şi cerinţele sistemului informaţional sînt atinse;

- identifică şi evaluează punctele forte şi punctele slabe ale controalelor aplicaţiilor în vederea elaborării unui program de testare;

- examinează plenitudinea programului de testare;

- testează controalele pentru a evalua funcţionalitatea şi eficacitatea acestora, şi anume:

◊ evaluează mecanismele “firewall” – mijloace instituite pentru a media între reţeaua publică şi reţeaua privată a entităţii publice;

◊ evaluează aplicabilitatea semnăturilor digitale;

◊ verifică corectitudinea şi ciclicitatea proceselor din cadrul sistemului informaţional;

◊ evaluează restricţiile de acces la sistemul informaţional;

◊ examinează registrele/ jurnalele/ rapoartele privind erorile pentru a stabili controalele existente la identificarea şi soluţionarea erorilor;

◊ examinează alte rapoarte şi informaţii privind controalele intrărilor, prelucrărilor şi ieşirilor;

- reconciliază şi examinează rezultatele testelor;

- stabileşte dacă există şi se utilizează vreo metodologie de autorizare, prioritizare, control şi urmărire a solicitărilor, parvenite din partea utilizatorilor, pentru modificarea sistemului informaţional, şi anume:

◊ evaluează procedurile de modificare în caz de urgenţă;

◊ evaluează controalele asupra modificărilor;

◊ examinează satisfacţia utilizatorilor privind solicitările de modificare.

6.3. Pe parcursul unui audit al TI, auditorul intern poate utiliza următoarele tehnici:

- calcule, recalcule manuale;

- editare;

- totaluri consolidate (run-to-run);

- verificare;

- reconcilierea datelor/ fişierelor.

7. Tipurile de audite al TI

7.1. Există multe tipuri de audit al TI, ca de exemplu:

a) auditul securităţii TI (confidenţialităţii, integrităţii şi disponibilităţii). Acesta se referă nu doar la securitatea informaţională a unui sistem sau aplicaţii informatice, dar şi la modul în care este organizată securitatea informaţională, integritatea sistemelor şi persoanelor în cadrul unei entităţi publice;

b) auditul calităţii TI (eficacităţii, eficienţei). În cadrul acestui audit al TI se verifică calitatea unui sistem informaţional, a unei aplicaţii şi/sau a proceselor de activitate implementate în sistemul informaţional, serviciile şi capacitatea unui sistem;

c) audit fiduciar al TI (conformităţii, fiabilităţii). În cadrul acestui tip se verifică conformitatea şi fiabilitatea unui sistem informaţional, a unei aplicaţii sau a unui proces de activitate automatizat;

d) auditul proiectelor TI, în care un auditor intern verifică managementul şi organizarea unui proiect TI, de exemplu, implementarea unui sistem informaţional. Aspectele importante pentru evaluare sînt: organizarea proiectului, planificarea, persoanele şi responsabilităţile lor, resursele financiare, timpul, studiul de fezabilitate şi managementul schimbărilor;

e) analiza datelor, în care un auditor intern poate avea un rol în analiza datelor financiare. Activitatea auditorului intern în acest tip de audit este de a extrage şi colecta informaţiile financiare din baza de date a unui sistem informaţional, pentru a crea cereri sau rapoarte care sînt necesare pentru analiza datelor financiare.

7.2. În secţiunea cu instrucţiuni suplimentare sînt prezentate cîteva exemple şi modele ale tipurilor menţionate anterior, şi anume, un audit TI asupra aplicaţiilor contabile, un auditul securităţii unei aplicaţii şi auditul fiabilităţii proceselor operaţionale.

8. Instrucţiuni suplimentare la NMAISP 16

8.1. Ulterior sînt prezentate domeniile şi obiectivele de control ale cadrului COBIT:

a) planificare şi organizare:

- P01: Definirea unui plan strategic al TI;

- P02: Definirea arhitecturii informaţiilor;

- P03: Determinarea direcţiei tehnologice;

- P04: Definirea organizării şi raporturilor de TI;

- P05: Gestionarea investiţiei în TI;

- P06: Comunicarea scopurilor şi direcţiilor stabilite de conducere;

- P07: Managementul resurselor umane;

- P08: Managementul calităţii;

- P09: Evaluarea riscurilor;

- P10: Managementul proiectelor;

b) achiziţionare şi implementare:

- AI1: Identificarea soluţiilor;

- AI2: Achiziţionarea şi mentenanţa aplicaţiilor informatice;

- AI3: Achiziţionarea şi mentenanţa arhitecturii tehnologiilor;

- AI4: Punerea în funcţiune a operaţiunilor şi utilizării;

- AI5: Procurarea de resurse TI;

- AI6: Managementul schimbărilor;

- AI7: Instalarea şi acreditarea sistemelor;

c) livrare şi întreţinere:

- DS1: Definirea nivelurilor de deservire;

- DS2: Managementul serviciilor de la părţi terţe;

- DS3: Managementul performanţei şi capacităţii;

- DS4: Asigurarea deservirii continue;

- DS5: Asigurarea securităţii sistemelor;

- DS6: Identificarea şi atribuirea costurilor;

- DS7: Formarea şi instruirea utilizatorilor;

- DS8: Oferirea de asistenţă şi consilierea cumpărătorilor de TI;

- DS9: Managementul configurării;

- DS10: Managementul problemelor şi incidentelor;

- DS11: Managementul datelor;

- DS12: Managementul echipamentului;

- DS13: Managementul operaţiunilor;

d) monitorizare şi evaluare:

- ME1: Monitorizarea proceselor;

- ME2: Evaluarea caracterului adecvat al controlului intern;

- ME3: Asigurarea conformităţii normative;

- ME4: Oferirea de guvernare a TI.

8.2. Ulterior se prezintă un exemplu de audit TI asupra aplicaţiilor contabile:

Controale TI specifice vor fi necesare, de exemplu, pentru verificarea setării/configurării calculatorului cu privire la principiile contabile, regulile de înregistrare, transferul datelor în cărţile mari şi verificarea tranzacţiilor, care sînt paşii de bază atunci cînd se desfăşoară activitatea contabilă pentru a produce informaţii oportune, exacte şi semnificative.

Conform Regulamentului general privind contabilitatea managerială şi altor acte normative publicate în conformitate cu respectivul regulament, rapoartele/ situaţiile financiare de bază care trebuie să fie emise (Bilanţul contabil, Tabelul privind rezultatul din exploatare, Tabelul privind fluxul de numerar) şi rapoartele în care informaţiile din situaţiile financiare de bază sînt raportate în detaliu (Tabelul privind schimbul activelor şi obligaţiilor financiare, Tabelul privind schimbul datoriilor interne, Tabelul privind schimbul datoriilor externe, Tabelul privind activele şi obligaţiile condiţionate, Tabelul privind clasificarea economică a veniturilor, Tabelul privind clasificarea organizaţională a cheltuielilor, Tabelul privind clasificarea funcţională a cheltuielilor, Tabelul privind clasificarea economică a cheltuielilor) ar trebui să fie în conformitate cu legile, regulamentele şi intrările contabile procesate în calculator.

8.3. Ulterior se prezintă un formular care poate fi util în cadrul unui audit al securităţii unei aplicaţii.

 

 

8.5. Ulterior se prezintă un exemplu de formular util în cadrul unui audit al fiabilităţii proceselor operaţionale din cadrul unei aplicaţii.

 

 

8.6. Ulterior se prezintă un exemplu de formular util pentru imaginea de ansamblu a riscurilor TI în cadrul entităţii publice.

 

 

XVIII. AUDITUL PERFORMANŢEI – NMAISP 17

1. Introducere

1.1. Nu există o definiţie a auditului performanţei acceptată universal, însă glosarul din NMAISP 22 oferă următoarea definiţie:

“Auditul performanţei este un audit al cărui obiective se axează asupra unuia sau mai multor aspecte ale economiei, eficienţei sau eficacităţii cu care resursele au fost utilizate”.

1.2. Auditele performanţei oferă analize şi concluzii obiective, care permit managerilor entităţilor publice să îmbunătăţească performanţele programelor/ proiectelor şi modul de desfăşurare a activităţilor operaţionale, să reducă costurile, precum şi să ia decizii într-o mai mare cunoştinţă de cauză. Uneori auditul performanţei mai este denumit audit de tip “valoare pentru bani”, audit operaţional sau audit managerial.

1.3. Această NMAISP prezintă principalele procese implicate în desfăşurarea unui audit al performanţei. Se axează pe principalele diferenţe între modul de desfăşurare a auditului performanţei şi modul de desfăşurare a altor tipuri de audit sau misiuni de asigurare.

2. Auditul performanţei

2.1. Auditorul intern trebuie să ţină cont de următoarele concepte principale cu privire la auditul performanţei:

- auditul performanţei necesită o viziune a lucrurilor la nivel macro. Se axează pe obiectivele managementului privind domeniile principale de activitate, măsura şi modul în care aceste obiective sînt realizate. Nu se preocupă de valabilitatea sau corectitudinea tranzacţiilor în parte;

- auditul performanţei ajută la generarea informaţiilor potrivite privind răspunderea managerială. Oferă un mecanism care ajută managerului entităţii publice şi altor manageri să determine “valoarea banilor cheltuiţi”;

- auditul performanţei ajută managementul să îmbunătăţească pe viitor eficienţa şi eficacitatea. Identifică domeniile care trebuie îmbunătăţite şi orientează managementul spre performanţe mai înalte;

- auditul performanţei nu presupune auditarea politicilor. Nu analizează raţionamentele politicilor. Totuşi, indică în ce aspecte aceste politici nu au fost capabile să atingă rezultatele planificate;

- auditul performanţei nu presupune criticarea deciziilor manageriale. Recunoaşte prerogativa managementului de a lua decizii în lumina informaţiilor disponibile. Totuşi, indică situaţiile în care au existat posibilităţi de a lua decizii într-o mai bună cunoştinţă de cauză, care însă nu au fost valorificate.

2.2. Auditele performanţei sînt deseori efectuate în situaţiile în care:

a) programele sau activităţile implică utilizarea unui volum semnificativ de resurse;

b) există riscul de nerealizare a obiectivelor majore;

c) programele sau activităţile prezintă interes pentru Parlament sau public.

2.3. Dat fiind faptul că auditul performanţei este un audit de tip “valoare pentru bani”, el se axează pe aşa numiţii “cei trei E” – economia, eficienţa şi eficacitatea. Este important să se înţeleagă semnificaţia acestor termeni:

a) economie: menţinerea costurilor scăzute – poate fi definită ca minimalizarea costurilor resurselor (umane, financiare şi materiale) utilizate pentru o anumită activitate, asigurînd un nivel adecvat al calităţii. Reprezintă oare că s-a făcut cea mai rezonabilă utilizare a banilor publici? Deşi conceptul de economie este bine definit, nu e chiar atît de uşor de efectuat un audit al economiei. Deseori este o sarcină provocatoare pentru un auditor intern să evalueze dacă resursele alese reprezintă cea mai economicoasă utilizare a fondurilor publice şi dacă resursele disponibile au fost utilizate în mod econom;

b) eficienţă: utilizarea la maxim a resurselor disponibile – acest aspect, de asemenea, ţine de economie. Această caracteristică se referă la resursele distribuite, la faptul dacă aceste resurse au fost utilizate în mod optimal sau satisfăcător pentru a obţine rezultatele, sau dacă aceleaşi rezultate sau rezultate similare în termeni de calitate şi timp ar fi putut fi obţinute cu mult mai puţine resurse;

c) eficacitate: atingerea scopurilor sau obiectivelor stabilite – măsura în care au fost atinse rezultatele planificate ale unui program, proiect sau activitate.

2.4. Aceste definiţii, relaţiile, precum şi diferenţele între aceste concepte trebuie înţelese clar de auditorii interni implicaţi într-un audit al performanţei. Mai multe informaţii în acest sens pot fi găsite în secţiunea cu instrucţiuni suplimentare.

3. Etapele unui audit al performanţei

3.1. Auditul performanţei urmează aceeaşi paşi de bază ca şi orice alt tip de audit, abordînd aceleaşi principii conform NMAISP, şi anume:

a) planificarea strategică şi anuală;

b) planificarea misiunii (studiul preliminar, obiectivele auditului, aria de aplicabilitate, elaborarea întrebărilor de audit şi şedinţa de deschidere);

c) lucrul în teren (colectarea probelor de audit, analiza constatărilor de audit, supervizarea);

d) raportarea.

3.2. Totuşi, abordarea utilizată pentru auditul performanţei presupune anumite diferenţe importante. Diferenţele respective sînt explicate în această NMAISP.

4. Planificarea auditului performanţei

4.1. Planificarea strategică şi anuală a auditelor performanţei se efectuează conform SNAI.

 

 

4.2. Auditele performanţei trebuie identificate în planul strategic şi planul anual, întocmite de UAI în baza evaluării riscurilor. În planurile respective ele pot fi indicate ca audite ale anumitor programe, proiecte sau activităţi specifice, după caz. Ele trebuie discutate şi convenite cu managerul entităţii publice, ca parte a procesului normal de elaborare a planurilor respective.

4.3. În procesul planificării este esenţial ca conducătorul UAI să acorde atenţie specială identificării domeniilor de activitate, care determină în mod special reuşita entităţii publice de a-şi atinge obiectivele şi/sau este foarte probabil să fie monitorizate de public şi posibil criticate în caz de eşec. Ca atare, aceste domenii ar putea beneficia de un audit al performanţei.

5. Studiul preliminar

5.1. Planificarea misiunii de audit al performanţei se efectuează conform SNAI.

 

 

5.2. Planificarea este importantă pentru orice tip de audit, însă în cazul auditului performanţei această etapă este de o importanţă deosebită. Datorită caracterului şi deseori profilului înalt al unor astfel de misiuni, este esenţial ca echipa de audit să înţeleagă bine domeniul ce urmează a fi auditat, să ştie ce şi cum trebuie să facă.

5.3. Imediat după anunţarea demarării misiunii, primul lucru care trebuie făcut este efectuarea unui studiu preliminar. Această etapă este echivalentă cu etapa planificării preliminare în alte tipuri de audit. Studiul respectiv constă dintr-o evaluare largă a domeniului ce urmează a fi auditat, însă nu implică nici o verificare sau testare detaliată. Scopul studiului este de a asigura o mai bună orientare a misiunii, de a determina obiectivele misiunii şi de a oferi o bază pentru întocmirea unui bun program de lucru.

5.4. Conducătorul UAI trebuie să stabilească un cadru pentru studiul preliminar şi să identifice cine va realiza acest studiu. Perioada de timp acordată va varia de la o misiune la alta, însă în mod normal nu ar trebui să depăşească 15-20 de zile de lucru. În acest cadru de timp trebuie să prevadă o perioadă pentru stabilirea obiectivelor misiunii şi întocmirea agendei şedinţei de deschidere. Conducătorul UAI trebuie să monitorizeze foarte atent activitatea la această etapă.

5.5. Auditorii interni trebuie să ţină cont de faptul că auditul performanţei nu presupune o analiză comprehensivă a întregului domeniu selectat. În cazuri foarte rare, sau chiar niciodată, auditorii interni nu vor reuşi să examineze toate aspectele ce ţin de performanţele înregistrate în cadrul unui program sau a unei activităţi. Dimpotrivă, auditorii interni trebuie să-şi axeze atenţia pe anumite aspecte specifice – probleme, îngrijorări, riscuri şi oportunităţi. Identificarea acestora şi a altor aspecte ce influenţează performanţele este un rezultat potenţial al studiului preliminar.

5.6. Studiul preliminar trebuie să includă:

a) colectarea informaţiilor despre programul sau activitatea ce urmează a fi auditată:

- produsele anticipate şi rezultatele preconizate;

- indicatori sau cum se cunoaşte dacă obiectivele au fost atinse;

- date financiare şi statistice privind performanţele înregistrate, precum şi prognoze de viitor.

b) studierea actelor legislative şi normative relevante;

c) cunoaşterea aspectelor de gestionare a programului sau activităţii respective:

- numărul şi amplasarea angajaţilor;

- resursele fizice şi de altă natură necesare;

- structura organizaţională;

- măsura şi modul în care programul sau activitatea depinde de alte contribuţii din cadrul sau din afara entităţii;

d) identificarea criteriilor (ele descriu de ce este nevoie şi ce trebuie să se facă), care vor fi utilizate pentru a evalua aspectele auditate. Criteriile trebuie să reprezinte nişte standarde rezonabile şi realizabile de control al performanţei, care vor fi utilizate pentru a evalua cît de adecvate sînt sistemele şi practicile, precum şi cît de economicoase, eficiente şi eficace sînt operaţiunile sau activităţile programului sau proiectului. Ele pot fi formulate ca recomandări sau măsuri specifice sau ca practici operaţionale bine definite;

e) colectarea informaţiilor despre sistemele informaţionale relevante şi identificarea surselor de date potenţiale, care ar putea fi utilizate drept probe de audit sau care ar putea să ajute la evaluarea programului sau activităţii;

f) identificarea oricăror probleme care ar putea afecta succesul programului sau activităţii;

g) solicitarea opiniei managerilor şi/sau personalului privind principalele probleme afectează succesul programului sau activităţii.

5.7. Informaţiile necesare pentru planificarea sau studiul preliminar pot fi obţinute prin următoarele metode:

- discuţii cu managerii şi personalul;

- studierea rapoartelor de activitate;

- studierea dosarelor cu plîngeri, rapoartelor Curţii de Conturi, rapoartelor consultanţilor, articolelor în ziare;

- observarea la faţa locului.

5.8. Aceste abordări sînt utilizate şi în cadrul altor tipuri de audit, însă în secţiunea cu instrucţiuni suplimentare sînt incluse anumite comentarii şi explicaţii relevante pentru auditul performanţei.

5.9. Indiferent de abordarea utilizată de auditorul intern pentru a colecta informaţii în timpul studiului preliminar, toate activităţile efectuate la această etapă şi la etapele ulterioare trebuie documentate conform NMAISP. Interviurile realizate cu managerii şi personalul trebuie înscrise şi păstrate, de asemenea, organigramele, rapoartele, politicile şi procedurile interne, rapoartele privind performanţele înregistrate, trebuie păstrate. Observaţiile la faţa locului trebuie descrise corespunzător, inclusiv toate concluziile formulate.

6. Stabilirea obiectivelor misiunii

6.1. Planificarea misiunii de audit al performanţei, şi anume, stabilirea obiectivelor, se efectuează conform SNAI.

 

 

6.2. După obţinerea şi asimilarea acestor informaţii de bază, următoarea etapă constă în identificarea riscurilor asociate obiectivelor programului sau activităţii, fie pe baza unui brainstorming sau analize SWOT. Astfel, se vor identifica domeniile asupra cărora trebuie să se concentreze atenţia şi se vor stabili priorităţile în utilizarea resurselor de audit.

6.3. În baza riscurilor identificate, este necesar să se determine obiectivele misiunii. Numărul obiectivelor misiunii ar trebuie să fie limitat la maximum trei. Prin limitarea numărului obiectivelor misiunii se tinde ca misiunea să fie mai concentrată, finalizată într-o perioadă de timp rezonabilă şi cu un impact mai mare.

6.4. Obiectivele misiunii arată ce doresc auditorii interni să obţină prin efectuarea misiunii respective şi oferă un punct de referinţă pe parcursul întregii misiuni. Obiectivele auditului performanţei trebuie să:

- reflecte economia, eficienţa şi eficacitatea;

- aibă un caracter normativ, adică să necesite efectuarea unei comparaţii a condiţiilor cu anumite criterii;

- abordeze problemele importante;

- poată fi atinse cu datele şi resursele disponibile.

6.5. La formularea obiectivelor misiunii, auditorii interni trebuie să ia decizia dacă se vor axa pe toţi “cei trei E” sau limita doar la auditul economiei şi/sau eficienţei. În mod alternativ, se poate limita aria de aplicabilitate a misiunii verificarea anumitor aspecte specifice, cum ar fi anumite probleme, riscuri, îngrijorări şi oportunităţi specifice.

6.6. La stabilirea obiectivelor auditului performanţei este esenţial de a ţine cont de faptul că acestea trebuie să reflecte performanţele programului sau activităţii. În cadrul acestor misiuni, auditorii interni evaluează cît de adecvate sînt performanţele managerilor şi, dacă este cazul, ajută la îmbunătăţirea lor.

6.7. Obiectivele misiunii pot fi de natură descriptivă sau normativă. Obiectivele descriptive au scopul de informare despre o anumită condiţie. Pe de altă parte, obiectivele normative necesită compararea unei condiţii cu anumite criterii specificate – politică, procedură, acord formal, lege, regulament etc.

6.8. În general, auditul intern ţine mai mult de obiective normative – care necesită compararea unei condiţii cu un criteriu specific, de exemplu:

- determinarea faptului dacă ministerul a ţinut cont de necesităţile viitoare anticipate şi de necesităţile curente ale managementului la dezvoltarea noii baze de date a beneficiarilor de indemnizaţii sociale;

- evaluarea faptului dacă planurile ministerului ţin cont de majorarea volumului de trafic rutier în viitor;

- determinarea faptului dacă Ministerul a stabilit proceduri adecvate pentru asigurarea păstrării unor standarde academice similare în toate şcolile din întreaga ţară.

7. Determinarea ariei de aplicabilitate

7.1. Planificarea misiunii de audit al performanţei, şi anume, determinarea ariei de aplicabilitate, se efectuează conform SNAI.

 

 

7.2. Ulterior definirii obiectivelor misiunii, se determină aria de aplicabilitate a acesteia. În planul strategic şi planul anual se indică o arie largă de aplicabilitate a misiunii, însă este foarte probabil ca aceasta să fie revizuită după finalizarea studiului preliminar şi determinarea obiectivelor misiunii.

7.3. Pentru a stabili aria de aplicabilitate a misiunii, este necesar ca auditorii interni să răspundă la următoarele întrebări:

a) Ce anume este auditat?

b) Cine este auditat în mod primordial?

c) Ce criterii se vor folosi?

d) Unde va avea loc lucrul în teren?

7.4. La determinarea ariei de aplicabilitate finale a misiunii auditorii interni vor ţine cont de:

- dimensiunile şi complexitatea programului sau activităţii care urmează a fi auditată;

- profunzimea preconizată a misiunii (se va axa doar pe economie şi eficienţă, sau va cuprinde şi eficacitatea);

- extinderea geografică a programului sau activităţii;

- anumite schimbări potenţiale majore în domeniul ce urmează a fi auditat, de exemplu, restructurare, realocare a responsabilităţilor, introducerea unui nou sistem informaţional. Astfel de schimbări ar putea influenţa semnificativ accentele şi perioada de desfăşurare a misiunii;

- nivelul competenţei profesionale necesare;

- experienţa precedentă.

8. Determinarea metodologiei auditului

8.1. Datorită naturii specifice a auditului performanţei este necesar să se aleagă cu atenţie metodologia care se va folosi pentru a evalua dacă s-a realizat economia, eficienţa şi eficacitatea. La determinarea abordării, care va fi utilizate pentru obţinerea probelor, este vital să se ţină cont de necesitatea de a obţine probe de audit competente, relevante şi de încredere (a se vedea NMAISP 5), ceea ce în mod normal va influenţa deciziile auditorului intern privind metodologiile adecvate.

8.2. În special pentru auditul performanţei, auditorul intern va fi preocupat de validitatea şi credibilitatea metodelor folosite pentru colectarea şi analiza datelor. Pentru a asigura validitatea rezultatelor, metodele/ tehnicile trebuie să măsoare exact ceea ce s-a intenţionat să se măsoare. Pentru a asigura credibilitatea rezultatelor, constatările trebuie să rămînă consecvente dacă se efectuează măsurări repetate pe acelaşi eşantion de date.

8.3. Pentru fiecare obiectiv al misiunii, auditorul intern trebuie să definească metodologia necesară pentru a acoperi totalmente obiectivul şi a oferi nivelul de asigurare necesar pentru constatare. La definirea metodologiei, auditorul intern trebuie să identifice sursele de date care ar putea fi utilizate în calitate de probe de audit şi să determine dacă aceste date pot fi considerate a fi valabile sau credibile. Pentru a decide ce metodologie se va utiliza, trebuie să se ţină cont de următoarele:

- calitatea datelor colectate;

- controalele manageriale aferente fiecărui obiectiv, pentru a determina dacă există controalele necesare şi dacă cele existente funcţionează în mod eficient (în baza a cîtorva teste);

- respectarea criteriilor specifice (politică, procedură, regulament, lege, rezultat planificat etc.), necesare pentru a atinge fiecare obiectiv al misiunii.

8.4. Metodologia de audit trebuie proiectată astfel încît să ofere informaţiile şi asigurările necesare pentru a atinge obiectivele misiunii. De exemplu, dacă obiectivul este de a verifica dacă se respectă o anumită lege, atunci conform metodologiei, legea trebuie să fie un criteriu – nu pur şi simplu o cerinţă de politici. Dacă metodologia prevede utilizarea unui eşantion, atunci în această secţiune trebuie să se discute ce tehnică se va folosi (statistică sau raţională), de ce s-a ales această tehnică şi ce limitări pot exista faţă de constatări. La determinarea metodologiei, auditorii trebuie să compare metodologia cu obiectivele pentru a asigura selectarea corectă a unităţilor ce urmează a fi auditate, a criteriilor, perioadei de timp, funcţiei, programului sau activităţii, etc. şi a locaţiei în cadrul metodologiei pentru a asigura realizarea obiectivelor.

9. Elaborarea întrebărilor (afirmaţiilor) de audit

9.1. O altă etapă a planificării constă în elaborarea întrebărilor de audit. Ele trebuie să fie clare şi specifice şi trebuie să includă termeni limită, care să poată fi definiţi şi măsuraţi. Totalitatea întrebărilor elaborate trebuie să abordeze în întregime obiectivele misiunii, care reprezintă primul pas spre identificarea problemelor (de ex. politicile motivează oare conducerea regională să obţină rezultatele cerute? Dispune oare conducerea de informaţiile necesare pentru a obţine rezultatele cerute?). Dacă obiectivele nu pot fi transformate în întrebări axate pe acţiuni, atunci ele trebuiesc redefinite.

9.2. La elaborarea întrebărilor de audit trebuie să se ţină cont şi de următoarele:

- structurarea întrebărilor de audit, de exemplu, prin restricţionarea fiecărei întrebări la un singur aspect al problemei. Aceasta va permite investigarea separată a fiecărui aspect. După care, constatările obţinute pentru fiecare aspect vor putea fi combinate pentru a oferi o soluţie la problema definită;

- verificarea faptului dacă după combinare întrebările de audit formează un răspuns general pentru problema sau chestiunea reflectată în obiectivul misiunii;

- nu se adresează prea multe întrebări. Dacă sînt prea multe întrebări, se verifică dacă acestea nu depăşesc problema definită de obiectivul misiunii sau dacă nu s-a definit un obiectiv al misiunii prea vast şi, ca rezultat, dacă aria de aplicabilitate a misiunii nu este prea largă;

- întrebările de audit nu trebuie să fie prea detaliate. Dacă întrebările sînt prea lungi, este util de a le diviza în două întrebări separate, de exemplu, cele care de fapt ar trebui combinate pentru a forma o singură întrebare.

9.3. În afară de întrebări specifice care trebuie pregătite, există cîteva întrebări generice principale, de care trebuie să se ţină cont în fiecare audit al performanţei, precum următoarele:

- De ce în general efectuaţi activitatea, funcţia sau procedura respectivă?

- Ce valoare adăugată generează ea?

- De ce o faceţi în acest mod?

- Cum măsuraţi performanţele în domeniul examinat şi ce sisteme există în acest sens?

- Dispuneţi de indicatori de măsură şi ţinte privind economia, eficienţa şi eficacitatea şi, dacă da, ce arată ele?

- Ar putea fi făcută această activitate la costuri mai mici fără a influenţa eficienţa sau eficacitatea?

- Ar putea fi efectuată ea într-un mod mai eficient sau mai eficace?

9.4. Există trei tipuri de bază ale întrebărilor de audit:

a) întrebări descriptive – de obicei întreabă care este (sau a fost) situaţia sau condiţia actuală. Aceste tipuri de întrebări ar putea fi foarte utile la etapa studiului preliminar;

b) întrebări normative – abordează diferenţa între o condiţie observabilă şi un anumit criteriu. În timp ce o întrebare descriptivă întreabă “cum este?” şi se opreşte aici, o întrebare normativă mai întreabă “cum ar trebui să fie?” şi apoi compară aceste două condiţii;

c) întrebări de tip “cauză şi efect” – depăşesc întrebările descriptive şi normative pentru a examina impactul, măsura sau magnitudinea schimbărilor sau variaţiilor. De exemplu, “de ce departamentul nu respectă regulile cu privire modalitatea de evaluare a cererilor de subvenţii?” sau “în ce măsură nerespectarea acestor reguli influenţează succesul programului?”

9.5. Mai multe îndrumări privind formularea întrebărilor de audit pot fi găsite în secţiunea cu instrucţiuni suplimentare.

9.6. După elaborarea întrebărilor de audit este important:

a) să se determine ce date sînt necesare pentru a răspunde la întrebările de audit. Termenul “date” se foloseşte pentru a descrie sursele potenţiale de informaţii şi probe. Datele vor deveni informaţii doar după ce vor fi analizate sau evaluate, la etapa cînd pot fi deja folosite în calitate de probe. În unele cazuri va fi evident de ce date este nevoie pentru a răspunde la întrebările de audit, în funcţie de cît de clar sînt formulate întrebările respective. Însă deseori sînt disponibile mult mai multe informaţii şi auditorul intern nu are timp suficient pentru a le colecta sau nici o sursă de informaţii nu poate oferi un răspuns deplin. În astfel de cazuri trebuie să se decidă ce date vor oferi cel mai bun răspuns;

b) să se identifice sursele/ tipurile de date adecvate. Datele pot fi obţinute din surse de date originale/ primare sau din surse secundare. Datele originale sînt generate de auditorul intern, de exemplu, prin observaţii directe. Datele secundare se obţin din alte surse, cum ar fi de la unitatea auditată sau de la alţi terţi. Alegerea trebuie să se bazeze pe corectitudinea, credibilitatea, disponibilitatea şi costul diferitor surse. Auditul performanţei deseori se bazează pe surse primare, cum ar fi observările directe şi interviurile deschise, precum şi pe surse secundare, cum ar fi dosarele;

c) să se planifice procesul de colectare a datelor. Procesul de colectare a datelor reprezintă cea mai importantă parte a oricărei misiuni. Dacă se colectează prea puţine date sau date eronate, ulterior se va cheltui timp mai mult pentru a remedia această greşeală. Dacă se vor colecta prea multe date, unele din ele va trebui să fie ignorate sau nu vor putea fi analizate din cauza insuficienţei de timp. Nici unul din aceste rezultate nu este dorit sau cost-eficient;

d) să se planifice procesul de analiză a datelor (constatărilor). Există mai multe tehnici care pot fi utilizate pentru a analiza şi valida datele. O tehnică folosită foarte frecvent în audit este colectarea şi analiza datelor secundare, cum ar fi rapoartele privind controlul calităţii, studiile şi evaluările programelor, efectuate de consultanţi. Pentru multe tipuri de date secundare nu este posibil să se obţină documentele de lucru sau să se evalueze calitatea personalului sau a mediului în care a lucrat acesta. În astfel de cazuri, auditorul intern trebuie, cel puţin, să verifice metodologia utilizată de consultant sau evaluator pentru a vedea dacă s-au folosit aceleaşi etape ca şi cele specificate în această secţiune. Trebuie acordată atenţie maximă atunci cînd se vor prelua în raportul de audit date statistice sau informaţii din anumite rapoarte sau documente ale unităţii auditate. Nu este inteligent să se facă acest lucru fără vreun fel de “verificare a realităţii” sau audit al informaţiilor, indiferent de nivelul de calificare a autorului raportului sau documentului respectiv.

10. Şedinţa de deschidere

10.1. Următoarea etapă este şedinţa de deschidere, la desfăşurarea căreia auditorul intern se conduce de prevederile SNAI.

 

 

10.2. La organizarea şedinţei de deschidere, trebuie să se ţină cont de următoarele:

- aptitudinile, nivelul de experienţă şi orice cunoştinţe specializate, specifice, necesare misiunii. Acestea au o importanţă semnificativă pentru auditul performanţei. În unele cazuri, cunoştinţele specializate necesare ar putea să nu fie disponibile în cadrul UAI şi ar putea fi necesare soluţii alternative, precum următoarele:

i. desemnarea temporară în cadrul echipei de audit, pe durata misiunii, a unei persoane din cadrul entităţii publice, care deţine cunoştinţele specializate necesare;

ii. contractarea unei persoane, care deţine cunoştinţele specializate necesare, pentru oferirea asistenţei şi consultanţei specializate.

- necesitatea de a avea un şef experimentat al echipei de audit;

- stabilirea unor termene şi bugete realiste, însă provocatoare – din punct de vedere al numărului de zile (ore) de lucru pentru auditorii interni şi alte resurse (de exemplu, cheltuieli de transport, diurnă etc.). De obicei, auditele performanţei durează mai mult decît auditele de alt tip;

- dacă va fi posibil să se obţină comentarii despre eficacitatea sistemului sau programului de la utilizatorii finali, inclusiv publicul, prin intermediul sondajelor, chestionarelor etc.;

- datele-limită pentru următoarele etape:

i. elaborarea chestionarelor;

ii. finalizarea lucrului în teren;

iii. evaluarea constatărilor;

iv. versiunea proiect şi finală a raportului de audit.

- metodologia care se va adopta.

10.3. Mai multe îndrumări privind şedinţa de deschidere pot fi găsite în NMAISP 4.

11. Lucrul în teren în cazul auditului performanţei

11.1. La etapa lucrului în teren, auditorii interni, ca şi în cazul altor tipuri de audit, se conduc de prevederile SNAI.

 

 

11.2. Auditele performanţei diferă de alte forme de audit prin faptul că nu se preocupă în mod special de sistemul de control şi de operaţiunile individuale ce trec prin sistemul respectiv. În locul acestora echipa de audit trebuie să elaboreze întrebări adecvate în scopul obţinerii informaţiilor necesare pentru a putea conchide dacă obiectivele au fost atinse sau nu. Aceste întrebări, elaborate la etapa planificării misiunii, se folosesc la etapa lucrului în teren în timpul discuţiilor cu conducerea, personalul şi (dacă este cazul) cu utilizatorii finali.

12. Colectarea probelor în cazul auditului performanţei

12.1. După definitivarea întrebărilor de audit şi determinarea datelor necesare pentru a răspunde la acestea, se va hotărî în ce mod se vor obţine aceste date (probe de audit). Ulterior sînt prezentate tehnicile de colectare a datelor, folosite cel mai frecvent.

12.2. Analiza documentelor, care generează probe documentare, în format electronic sau pe hîrtie, reprezintă cea mai frecventă formă de colectare a probelor de audit. Credibilitatea şi relevanţa probelor documentare trebuie evaluată şi comparată cu obiectivele misiunii. De exemplu, existenţa unui manual operaţional nu reprezintă o probă precum că manualul se aplică în practică. Documentele generate de sistemele de control managerial (de ex., sistemul contabil sau sistemul de informaţii manageriale) vor trebuie evaluate din punct de vedere al controalelor care funcţionează în cadrul sistemelor respective.

12.3. Interviurile, care reprezintă o parte critică a auditului performanţei. La estimarea costului interviului, o regulă bună este să se ia în calcul o perioadă de timp de două ori mai mare decît durata reală a interviului, timpul suplimentar fiind folosit pentru pregătirea interviului şi înregistrarea rezultatelor. Totuşi, costul ar putea fi mult mai mare, în special în cazurile în care sînt necesare eforturi semnificative pentru a analiza rezultatele.

12.4. Interviurile reprezintă o sursă importantă de probe pentru auditorul intern, însă este necesar să se identifice persoanele potrivite care să ofere informaţiile necesare şi, dacă acest lucru este posibil, este necesar să se confirme din alte surse informaţiile primite verbal.

12.5. Chestionarele, care reprezintă o modalitate foarte eficientă de colectare a probelor de audit, în special în cazul în care este necesar să se colecteze aceleaşi date de la mai multe surse similare (de ex., oficii teritoriale, beneficiarii unui program).

12.6. Înainte de a decide dacă să se folosească chestionare pentru a colecta datele necesare, trebuie să se analizeze impactul asupra unităţii auditate. Este important să se ţină cont de faptul că deşi această metodă poate fi foarte eficientă pentru auditorul intern, dacă se utilizează greşit chestionarul devine o povară pentru unitatea auditată, necesitînd mult timp şi resurse din partea acesteia.

12.7. Forma şi structura întrebărilor din chestionar sînt foarte importante. Spre deosebire de interviuri, unde se preferă evitarea întrebărilor sugestive şi utilizarea întrebărilor deschise, în cazul chestionarelor întrebările trebuie să fie mai ordonate, permiţînd doar răspunsuri bazate pe fapte, pentru ca ulterior toate răspunsurile să poată fi analizate în acelaşi mod.

12.8. Analiza şi verificarea datelor, care generează probe analitice. Analiza poate include calcule, analize ale relaţiilor, tendinţelor şi şabloanelor în datele obţinute de la unitatea auditată sau din alte surse relevante. De asemenea, pot fi făcute comparaţii cu anumite standarde sau puncte de reper din domeniul dat.

12.9. Observarea fizică, în cadrul căreia trebuie să se selecteze cu grijă activităţile sau instituţiile care vor fi supune unei inspectări fizice. Ele trebuie să fie reprezentative pentru domeniul examinat. “Cred după ce văd” şi observarea directă reprezintă nişte surse de probe mai credibile decît sursele secundare.

13. Analiza constatărilor în cazul auditului performanţei

13.1. Constatările de audit reprezintă probele specifice, colectate de auditorul intern pentru a atinge obiectivele misiunii, pentru a putea răspunde la întrebările de audit, pentru a verifica anumite ipoteze etc. La selectarea constatărilor de audit este esenţial să se ţină cont de obiectivele misiunii.

13.2. Evaluarea detaliată a constatărilor de audit în mod normal se face la finele etapei lucrului în teren, însă în mod normal constatările de audit sînt evaluate şi pe parcursul lucrului în teren. Totuşi, anumite forme de evaluare a constatărilor de audit pot exista şi la etapa de raportare, fiindcă anumite constatări de audit pot fi contestate de unitatea auditată şi pot fi necesare activităţi suplimentare pentru a le putea justifica.

13.3. Constatările de audit se obţin prin compararea criteriului de audit – cum trebuie să fie, identificat la etapa de planificare, cu condiţia – ce s-a constatat în realitate.

13.4. Criteriul reprezintă nişte standarde rezonabile pentru a controla şi evalua performanţa, pentru a evalua cît de adecvate sînt sistemele şi practicile, precum şi cît de economicoase, eficiente şi eficace sînt operaţiunile, programul sau activităţile. Criteriul de audit reprezintă bunele practici – aşteptările unei persoane rezonabile şi informate privind situaţia “care trebuie să existe”.

13.5. Atingerea sau depăşirea acestor criterii indică “bune practici”, pe cînd nerespectarea lor indică necesitatea unor îmbunătăţiri. Dacă criteriile nu au fost respectate, auditorul intern trebuie să identifice domeniile de îmbunătăţit, dacă acest lucru este posibil, precum şi natura unor astfel de îmbunătăţiri şi chiar modalitatea de implementare.

13.6. Mai jos sînt prezentate exemple de criterii posibile:

- conform planului aprobat, proiectul trebuie să se încadreze în 18 luni şi să coste aproximativ 24,5 mln.dolari SUA;

- tenderele internaţionale trebuie anunţate cu 45 de zile înainte;

- contractul se încheie cu ofertantul care a propus cel mai mic preţ.

13.7. Condiţia reprezintă starea de lucruri identificată de auditor intern. Condiţia se referă la activităţile curente sau la situaţia actuală. Condiţia se compară cu criteriile pentru a verifica dacă diferenţa între condiţie şi criterii se încadrează în nivelurile acceptabile.

13.8. Auditorul intern poate constata că situaţia actuală nu corespunde criteriilor, de exemplu: nu s-au respectat regulamentele privind procedura de achiziţii, impozitele pe venit nu au fost colectate la timp sau costurile echipamentului IT depăşesc estimările.

13.9. Dacă condiţiile nu întrunesc criteriile, trebuie să se examineze motivele şi consecinţele generate. Astfel, se vor:

- examina informaţiile relevante;

- defini problema şi colecta informaţiile despre cauzele deficienţelor;

- evalua critic probele pentru a justifica constatările;

- colecta probele suplimentare despre cauzele şi efectele nerespectării criteriilor.

13.10. După identificarea constatărilor de audit, următoarea etapă este determinarea cauzelor şi a efectelor acestora.

13.11. Cauza poate fi definită drept sursa sau factorul care contribuie la nereuşita unei acţiuni. Este extrem de important să se identifice cauza reală, şi nu doar simptomele constatării. Doar astfel procedînd, auditorul intern poate propune recomandări semnificative şi eficace pentru îmbunătăţirea situaţiei.

13.12. Cauzele condiţiilor nesatisfăcătoare trebuie analizate pentru a identifica nu doar de ce lucrurile nu au mers bine, dar şi aspectele care trebuie îmbunătăţite, adică modificarea cauzei ar trebui să prevină apariţia unor constatări similare pe viitor. Cauza poate fi în afara sferei de control a unităţii auditate sau entităţii publice, astfel, este necesar de adus la cunoştinţa conducerii, pentru ca aceasta, să ia, eventual, măsurile respective. Totuşi, anumite cauze sînt complet în afara ariei de control a unităţii auditate sau entităţii publice, de exemplu, calamităţile naturale, evenimentele economice internaţionale majore, crizele valutare.

13.13. Cauze posibile ale condiţiilor nesatisfăcătoare pot fi, de exemplu, achitarea unui preţ exagerat pentru serviciile de construcţie fiindcă personalul contabil nu a ştiut cum să verifice corect facturile prezentate; anumite indemnizaţii sociale au fost achitate unor beneficiari neeligibili fiindcă baza de date nu se actualizează cu regularitate.

13.14. Efectul este rezultatul unui eveniment, adică consecinţele generate de necorespunderea între condiţiile existente şi criteriile relevante. Efectul unei constatări poate fi cuantificabil, de exemplu, costul proceselor costisitoare de rambursare a taxelor, materiile prime scumpe sau facilităţile fiscale neproductive, acestea putînd fi estimate. Efectivele calitative, determinate de lipsa controalelor, deciziile de proastă calitate sau lipsa de grijă faţă de plătitorii de taxe, pot fi şi ele semnificative. Efectele trebuie să determine necesitatea de a întreprinde acţiuni corective. Efectele puteau să se fi produs în trecut, să se producă în prezent sau în viitor. Dacă efectele deja s-au produs în trecut, trebuie identificate acţiunile care au fost luate pentru a le remedia (dacă au fost luate) şi de ce aceste acţiuni nu au produs rezultatele scontate.

13.15. În final, se formulează constatări (concluzii) şi recomandări. Concluziile reprezintă declaraţii deduse de auditorul intern în baza constatărilor, iar recomandările reprezintă acţiunile sugerate de acesta în legătură cu obiectivele misiunii. Din evaluarea constatărilor de audit şi a cauzelor şi efectelor lor posibile, auditorul intern derivă constatările de audit preliminare. Constatările se fac prin comparaţie cu anumite criterii specifice.

13.16. Constatările trebuie să fie specifice şi să nu poată fi interpretate în mod diferit de cititori. Forţa constatărilor depinde de credibilitatea probelor ce stau la baza acestora şi de logica utilizată pentru a le formula.

13.17. Constatările preliminare trebuie testate prin comparare cu probele acumulate şi discutate cu unitatea auditată pentru a valida faptele şi a beneficia de contribuţia lor la formularea recomandărilor.

14. Supervizarea în cazul auditului performanţei

14.1. Procedura de supraveghere şi revizuire a auditului performanţei se derulează în conformitate cu SNAI şi instrucţiunile oferite în NMAISP 8 – Gestionarea şi evaluarea calităţii activităţii de audit intern.

 

 

14.2. Conducătorul UAI monitorizează progresele înregistrate în cadrul auditului performanţei şi revizuieşte periodic activităţile desfăşurate pe parcursul misiunii. Activităţile efectuate şi problemele apărute trebuie discutate detaliat cel puţin o dată pe săptămînă, preferabil cu implicarea tuturor persoanelor care participă la misiune.

14.3. Conducătorul UAI asigură identificarea corectă a constatărilor de audit şi disponibilitatea probelor de audit pentru a le susţine. Este important ca acest lucru să se facă pe parcursul misiunii, şi nu doar la etapa finală. De asemenea, este necesar să se asigure că timpul este utilizat eficient, aspect dificil în cazul auditului performanţei, din cauza naturii relativ nestructurate.

14.4. De asemenea, conducătorul UAI trebuie să identifice constatările de audit importante, pentru a le comunica conducerii unităţii auditate cît de curînd posibil, pentru a evita eventuale “surprize”.

15. Raportarea rezultatelor auditului performanţei

15.1. Procedurile pentru raportarea rezultatelor auditului performanţei se efectuează în conformitate cu SNIA şi instrucţiunile NMAISP 6 – Raportul de audit.

 

 

15.2. În raportul de audit este important să se specifice faptul că astfel de tipuri de audit se axează în special pe cei “3E”, spre deosebire de altele, care se axează mai mult pe funcţionalitatea controalelor.

15.3. Tonul raportului de audit este de o importanţă majoră şi fiindcă se abordează performanţele manageriale şi deseori acestea pot fi criticate, există o probabilitate mai înaltă ca cititorii să aibă o atitudine mai defensivă comparativ cu alte rapoarte. Tonul raportului de audit determină în mare măsură dacă recomandările de audit vor fi implementate sau nu.

15.4. La elaborarea raportului de audit, auditorul intern trebuie să ţină cont de necesitatea de a se concentra pe chestiuni importante. Dacă este identificată o deviere minoră de la un anumit criteriu (care probabil nu va influenţa în mod semnificativ concluzia generală privind performanţele), atunci este mai bine să fie omisă din raportul de audit sau să fie prezentată verbal şi înregistrată în dosarul de audit. La modul ideal, raportul de audit trebuie să conţină doar chestiuni de importanţă semnificativă pentru proiect, program sau activitate.

15.5. Auditorul intern trebuie să reflecteze pe parcursul întregii perioade de lucru în teren la forma şi conţinutul raportului de audit.

16. Urmărirea implementării recomandărilor de audit în cazul auditului performanţei

16.1. Procedurile de urmărire a implementării recomandărilor de audit oferite se efectuează conform SNAI şi instrucţiunilor NMAISP 7 – Urmărirea implementării recomandărilor de audit.

 

 

16.2. Dat fiind natura specifică a auditului performanţei, cel mai probabil, urmărirea implementării recomandărilor de audit se va efectua sub forma unor misiuni de audit specifice de urmărire a implementării recomandărilor de audit ale auditelor precedente.

17. Instrucţiuni suplimentare la NMAISP 17

17.1. Instrucţiunile suplimentare la prezenta NMAISP au scopul să ajute auditorul intern la formularea întrebărilor de audit, să explice relaţia întrebărilor de audit cu obiectivele misiunii, precum şi prezintă principalele tipuri şi caracteristici ale interviului.

17.2. La elaborarea întrebărilor de audit (afirmaţiilor), este util să se stabilească legătura între obiectivele misiunii şi întrebările detaliate propriu-zise. Această abordare are patru niveluri:

i. obiectivul misiunii, după cum a fost definit la etapa de planificare a misiunii;

ii. problema (problemele). Problema este întrebarea la care auditorul intern încearcă să găsească un răspuns. Definirea problemei este descrierea generală a punctelor abordate în cadrul misiunii. Problema sau problemele, pe care se axează auditul, sînt definite sub formă de întrebări, de exemplu, “politica existentă încurajează oare suficient de bine funcţionarii fiscali teritoriali să atingă rezultatele scontate?”;

iii. divizarea problemei în principalele elemente ale sale, de obicei, 3 – 4 elemente. Astfel, poate fi găsită structura logică pe care să se bazeze întrebările detaliate de audit;

iv. întrebările de audit.

17.3. Tabelul de mai jos prezintă un exemplu al unei astfel de abordări.

 

 

17.4. Există două tipuri principale de interviuri:

- interviurile ad hoc, care tind să fie destul de flexibile şi pot fi folosite pentru a confirma anumite idei, gînduri, percepţii, atitudini etc. Deşi nu este necesar să se pregătească o agendă detaliată pentru un astfel de interviu, este oricum important să se prezinte principalele puncte care se vor discuta. Interviurile ad hoc sînt deseori utile la începutul unei misiuni, de exemplu, pentru a înţelege situaţia generală, pentru a determina contextul curent sau pentru a forma o impresie despre stilul de conducere, abordarea sau alte caracteristici ale persoanei intervievate. Ele mai pot fi utile şi spre sfîrşitul misiunii pentru a discuta recomandările posibile. Acest tip de interviu, de obicei, se foloseşte la întîlnirile cu conducerea superioară. Ele se gestionează cu dificultate şi foarte mult timp poate fi pierdut pentru discutarea unor chestiuni irelevante, dacă auditorul intern nu reuşeşte să controleze în mod corespunzător interviul. Un alt dezavantaj este gradul înalt de subiectivism sau adresarea spontană a unor întrebări sugestive. Ele uneori generează răspunsuri spontane şi informaţii neaşteptate (ceea ce poate fi atît un avantaj, cît şi un dezavantaj). Deşi interviurile ad hoc necesită mai puţină pregătire preliminară decît interviurile structurate, în general ele implică un volum de lucru mai mare. Însă rata răspunsurilor este înaltă şi se obţine mai rapid;

- interviurile structurate, care sînt planificate şi organizate cu grijă. Pentru fiecare şedinţă se defineşte un obiectiv clar – care de obicei este derivat din obiectivul misiunii – şi se pregăteşte un set logic şi comprehensiv de întrebări intercorelate. Aceste întrebări se folosesc pentru a gestiona şi controla şedinţa. Ele sînt în special utile pentru intervievarea managerilor operaţionali şi a personalului. Ele pot fi folosite de auditorii interni cu mai puţină experienţă şi vor reduce riscul de pierdere a timpului discutînd chestiuni irelevante. Totuşi, este nevoie de destul de mult timp pentru pregătirea întrebărilor şi de experienţă pentru a identifica întrebările potrivite. În acelaşi timp, există riscul că auditorul intern se va axa doar pe întrebările din listă şi nu va încerca să folosească nici o iniţiativă de a acorda întrebări suplimentare în baza răspunsurilor primite anterior.

 

XIX. GLOSARUL TERMENILOR ŞI SIMBOLURILOR UTILIZATE

1. Introducere

1.1. Prezentul capitol conţine:

- un glosar al termenilor de audit intern;

- o listă a celor mai utilizate simboluri în descrierile grafice (diagrame).

2. Glosarul termenilor de audit intern

2.1. Glosarul termenilor de audit intern derivă din Legea CFPI, SNAI, prezentele NMAISP, precum şi alte acte normative din domeniul auditului intern şi MFC.

2.2. În sensul prezentelor NMAISP sînt utilizate următoarele noţiuni:

activităţile de control – politicile şi procedurile stabilite pentru abordarea riscurilor şi atingerea obiectivelor entităţii publice.

afirmaţia – o ipoteză sau declaraţie. Procesul de testare se bazează pe afirmaţii, adică auditorul intern efectuează testarea de audit pentru a descoperi probe întru susţinerea unei afirmaţii predeterminate. Afirmaţiile derivă din obiectivele misiunii, de asemenea, în baza obiectivelor misiunii şi afirmaţiilor, se elaborează întrebările de audit, care sînt obiectul testării de audit.

aria de aplicabilitate – domeniul care delimitează activităţile auditorului intern în cadrul unei misiuni. Este reflectată în titlul misiunii şi stabilită la etapa planificării anuale a activităţii şi planificării misiunii.

audit intern – activitate independentă şi obiectivă care le oferă managerilor asigurare şi consultanţă, desfăşurată pentru a îmbunătăţi activitatea entităţii publice. Aceasta are menirea să ajute entitatea publică în atingerea obiectivelor sale, evaluînd printr-o abordare sistematică şi metodică sistemul MFC şi oferind recomandări pentru consolidarea eficacităţii acestuia.

audit de conformitate – misiune care verifică respectarea cadrului normativ, a politicilor şi a procedurilor aplicate şi, după caz, necesitatea îmbunătăţirii procedurilor de control intern utilizate pentru a asigura respectarea legislaţiei.

audit de sistem – misiune care examinează sistemul MFC pentru a evalua eficienţa funcţionării acestuia.

audit financiar – misiune care evaluează funcţionarea adecvată şi eficientă a procedurilor de control intern aferente sistemelor financiare.

auditul performanţei – misiune care examinează utilizarea resurselor în cadrul unui program, funcţii, operaţiuni sau sistem de management pentru a determina dacă resursele sînt utilizate în cel mai economic, eficient şi eficace mod pentru îndeplinirea obiectivelor entităţii publice.

auditul tehnologiilor informaţionale – misiune care examinează eficacitatea MFC a sistemelor informaţionale.

buna guvernare – mod de a guverna prin care se asigură atingerea obiectivelor cu respectarea principiilor de transparenţă şi răspundere, economicitate, eficienţă şi eficacitate, legalitate şi echitate, etică şi integritate.

carta de audit intern – regulament intern al unităţii de audit intern care defineşte misiunea, competenţele, responsabilităţile şi aria de aplicabilitate a activităţii de audit intern, stabileşte poziţia auditului intern în cadrul entităţii publice, autorizează accesul la documentele, bunurile şi persoanele relevante pentru îndeplinirea corespunzătoare a misiunii de audit intern.

codul etic al auditorului intern – un ansamblu de principii şi reguli de conduită, care reglementează activitatea auditorilor interni/ angajaţilor din cadrul unităţilor de audit intern în domeniul eticii profesionale.

conformitatea – respectarea cadrului normativ, reglementărilor interne, politicilor, procedurilor, contractelor, planurilor sau altor cerinţe.

conflictul de interese – conflictul dintre exercitarea atribuţiilor funcţiei deţinute şi interesele personale ale auditorului intern, în calitatea sa de persoană privată, care ar putea influenţa necorespunzător îndeplinirea obiectivă şi imparţială a obligaţiilor şi responsabilităţilor ce îi revin potrivit legii.

controlul – orice acţiune întreprinsă de conducere sau de alte părţi pentru a gestiona riscurile şi a spori probabilitatea că scopurile şi obiectivele stabilite vor fi atinse.

controlul adecvat – controlul adecvat este prezent dacă conducerea planifică şi organizează activitatea într-un mod care oferă asigurare rezonabilă că riscurile la care este expusă entitatea publică sînt gestionate eficace şi că scopurile şi obiectivele acesteia vor fi atinse în mod eficient şi economic.

controlul financiar public intern – sistem general şi consolidat instituit în sectorul public, avînd scopul de a promova gestionarea entităţilor publice conform principiilor bunei guvernări.

controlul intern – sistem organizat de managerul entităţii publice şi personalul acesteia, incluzînd auditul intern, în scopul asigurării bunei guvernări, care cuprinde totalitatea politicilor, procedurilor, regulilor interne, proceselor şi activităţilor realizate în cadrul entităţii publice pentru a gestiona riscurile şi a oferi o asigurare rezonabilă privind atingerea obiectivelor şi rezultatelor planificate.

controlul preconizat – procedurile adecvate de control intern, care ar trebui să existe şi să funcţioneze pentru a întruni obiectivele controlului.

constatarea de audit – declaraţii adecvate ale faptelor, care reiese din compararea situaţiei reale cu un criteriu stabilit.

descrierea grafică (diagrama) – o descriere suficient de detaliată a principalului flux de documente/date şi activităţi de control din cadrul unui proces pentru a determina cel mai eficient mod de gestionare a riscurilor.

eficacitatea – gradul de îndeplinire a obiectivelor programate pentru fiecare dintre activităţi şi raportul dintre efectul proiectat şi rezultatul efectiv al activităţii respective.

eficienţa – raportul dintre rezultatele obţinute şi resursele utilizate pentru obţinerea acestora.

economicitatea – minimizarea costului resurselor alocate pentru atingerea rezultatelor estimate ale unei activităţi, cu menţinerea calităţii corespunzătoare a acestor rezultate.

entitatea publică – autoritatea administraţiei publice centrale sau locale, instituţia publică sau autoritatea/instituţia autonomă care gestionează mijloace ale bugetului public naţional.

frauda – actul ilegal caracterizat prin înşelătorie, disimulare sau trădare a încrederii, comis de o persoană sau entitate publică în scopul obţinerii de mijloace băneşti, bunuri/valori sau servicii ori al eschivării de la efectuarea plăţilor, pentru a-şi asigura un avantaj personal ori în afaceri.

guvernarea entităţii – ansamblul de procese şi structuri implementate de conducere pentru a informa, coordona, gestiona şi monitoriza activităţile entităţii publice în scopul îndeplinirii obiectivelor acesteia.

independenţa – libertatea faţă de condiţiile care ameninţă realizarea responsabilităţilor de audit intern fără vreo intervenţie externă.

iregularitatea – încălcarea cadrului normativ şi a reglementărilor interne relevante ale entităţii publice, ce constă într-o activitate sau o omisiune neintenţionată care afectează sau poate afecta negativ activitatea entităţii publice.

managementul financiar şi controlul – sistemul implementat şi realizat de persoanele responsabile de guvernare, administrare şi de alt personal în conformitate cu cadrul normativ şi reglementările interne, pentru a oferi o asigurare rezonabilă că fondurile publice sînt utilizate de către entitatea publică în mod legal, etic, transparent, economic, eficient şi eficace.

managerul entităţii publice – conducătorul celui mai înalt nivel ierarhic al entităţii publice.

managerul operaţional – conducătorul responsabil de gestionarea unităţii organizaţionale la fiecare nivel ierarhic al entităţii publice, exceptînd managerul entităţii publice.

managementul riscurilor – procesul sistematic de identificare, evaluare, gestionare, monitorizare şi control al riscurilor, organizat şi efectuat în scopul asigurării rezonabile privind atingerea obiectivelor entităţii publice.

materialitatea – nivelul erorii, neregularităţii sau inexactităţii maxim acceptabile pentru a nu influenţa percepţia utilizatorului de informaţie.

mediul de control – atitudinea şi acţiunile managerului entităţii publice privind importanţa controlului intern în cadrul entităţii publice, atmosfera, disciplina şi condiţiile necesare realizării obiectivelor acesteia.

misiunea de audit intern – activitatea de evaluare, autorizată prin ordin şi delimitată în timp, cu o arie de aplicabilitate bine determinată, care se finalizează prin emiterea unui raport de audit.

misiunea de asigurare – examinarea obiectivă de către auditorul intern a elementelor probante pentru a furniza o evaluare independentă şi obiectivă privind procesele de management al riscurilor, de control şi de guvernare. Caracterul şi domeniul de aplicare al misiunilor de asigurare sînt determinate de către auditorul intern.

misiunea de consiliere – activităţile cu caracter consultativ desfăşurate la solicitarea specifică din partea beneficiarului misiunii de consiliere. Caracterul şi domeniul de aplicare al misiunilor de consiliere sînt convenite cu beneficiarul misiunii de consiliere.

obiectivele misiunii – enunţuri generale stabilite la etapa planificării misiunii, care definesc rezultatele ce urmează a fi obţinute ca urmare a desfăşurării acesteia.

obiectivitatea – atitudinea mentală imparţială, care permite auditorilor interni să realizeze misiunile într-un mod care presupune credinţa în rezultatul muncii lor şi inexistenţa unor compromisuri semnificative privind calitatea. Obiectivitatea presupune ca auditorii interni să nu-şi subordoneze altor persoane judecata proprie în ceea ce ţine de realizarea responsabilităţilor de audit.

persoana care oferă asistenţă de specialitate şi consultanţă – persoana fizică/ juridică din exteriorul entităţii publice sau interiorul sau persoană/ subdiviziune din cadrul entităţii publice prestatoare de asistenţă şi consultanţă în domenii cum ar fi: contabilitate, economie, finanţe publice, statistică, TIC, inginerie, drept, mediu şi orice alte domenii necesare pentru a putea realiza misiunea.

proba de audit – toate informaţiile, utilizate de auditor, pentru a ajunge la concluzia, ce stă la baza constatării de audit (opiniei) şi cuprinde date din înregistrările contabile, sistemele manageriale, sistemele financiare etc.

procedura – un ansamblu de reguli şi/sau o acţiune întreprinsă de o persoană pentru a oferi probe, precum că o acţiune legală sau normativă a fost realizată, de exemplu semnătura oficială a unui angajat desemnat pe un document ce permite efectuarea unei plăţi.

procesul – o succesiune de activităţi, logic structurată într-o anumită perioadă, care utilizează anumite resurse, adăugîndu-le valoare, oferă un produs şi ating un obiectiv definit.

profesionalismul – existenţa capacităţilor intelectuale, cunoştinţelor, priceperilor şi experienţei, obţinute prin pregătire şi dezvoltare profesională şi utilizate în realizarea sarcinilor şi responsabilităţilor de audit intern.

raţionamentul de audit – aplicarea cunoştinţelor şi experienţei în contextul stabilit de standarde, precum şi regulile conduitei profesionale, în situaţia în care este necesară selectarea unei alternative din mai multe posibile.

răspunderea managerială – conştientizarea şi asumarea de către managerul entităţii publice a responsabilităţii pentru acţiunile, deciziile şi politicile promovate, inclusiv pentru maximizarea rezultatelor prin optimizarea resurselor, pe baza principiilor bunei guvernări, precum şi obligaţia de a raporta despre obiectivele şi rezultatele atinse.

riscul – evenimentul posibil care poate avea impact negativ în ceea ce priveşte atingerea obiectivelor entităţii publice.

riscul inerent – riscul, care există în legătură cu obiectivele activităţii analizate sau este inerent acestora, înainte de a întreprinde anumite activităţi de control.

riscul controlat – riscul, pentru care au fost implementate activităţi de control pentru atenuarea acestuia.

riscul rezidual – expunerea la risc, rămasă după implementarea activităţilor de control.

riscul de control – probabilitatea de eşuare a unei activităţi de control, majorînd nivelul riscului rezidual.

recomandarea de audit – propunerea formulată pentru a corecta/ ameliora deficienţele constate de auditorul intern ca rezultat al misiunii.

sistemul – o serie de procese înrudite şi interconectate, menite să contribuie la atingerea unui obiectiv/ rezultat general.

standard – normă profesională, care delimitează cerinţele necesare pentru executarea unei game de activităţi de audit intern, precum şi pentru evaluarea activităţii de audit intern.

testul de conformitate – testul de audit efectuat pentru a analiza dacă există activităţile de control preconizate şi pentru a evalua modul de instituire a acestora.

testul substanţial – procedura analitică menite să testeze eficacitatea activităţilor de control (gradul de atingere a obiectivelor de control), adică plenitudinea, legalitatea, corectitudinea şi valabilitatea tranzacţiilor sau documentelor trecute prin proces/ sistem sau valabilitatea oricărui obiectiv al misiunii.

unitatea auditată – subdiviziunea organizaţională ori structurală sau procesul supus evaluării de către unitatea de audit intern.

unitatea de audit intern – subdiviziunea organizaţională, funcţional independentă, din cadrul entităţii publice abilitată să efectueze auditul intern.

3. Simbolurile utilizate în descrierile grafice

3.1. Auditorul intern utilizează descrierile grafice (diagramele, flowchart-urile) pentru a documenta procesul/ sistemul, inclusiv activităţile de control.

3.2. La elaborarea descrierii grafice, auditorul intern utilizează simbolurile recomandate în tabelul 10.