Componentele riscului de audit

Componentele riscului de audit

a)        Riscul inerent

Standardele internationale de audit prevad ca riscurile inerente pot aparea ca urmare a inexistentei controlului intern in ariile respective de activitate. Explicatia logica a acestei prevederi consta in faptul ca producerea riscurilor in conditiile existentei controlului intern privind acele conturi sau activitati ar conduce direct la aparitia unui risc de control.

Sa consideram, spre exemplu, operatiile privind incasarile in numerar de la debitori. Riscul inerent asociat acestui tip de operatiuni, consta in riscul ca, in lipsa unui control intern, tranzactiile respective sa nu fie inregistrate deloc, sau sa fie incorect inregistrate in contabilitatea firmei. Neinregistrarea lor face posibil furtul numerarului respectiv, iar inregistrarea incorecta poate ajuta la ascunderea unei fraude sau a unei intentii de frauda.

Cu ocazia elaborarii planului de audit, auditorul trebuie sa evalueze riscul inerent legat de situatiile financiare. In elaborarea programului de lucru auditorul trebuie sa tina seama de aceasta evaluare pentru a putea aprecia erorile din soldurile conturilor si pentru categoriile de operatiuni semnificative sau cel putin pentru a putea stabili, daca aceste erori prezinta un risc inerent ridicat.

Conform standardelor internationale de audit, pentru a evalua riscul inerent auditorul recurge la aprecieri profesionale, deoarece riscul inerent poate fi sporit sau diminuat de o serie de factori cum ar fi:

a)      La nivelul situatiilor financiare:

integritatea managementului;

experienta si cunostintele cadrelor de conducere, eventualele remanieri intervenite in cursul exercitiului (de exemplu, lipsa de experienta la nivelul conducerii intreprinderii poate afecta imaginea fidela);

presiuni neobisnuite exercitate asupra conducerii si alte imprejurari de natura a determina prezentarea unor situatii financiare inexacte (spre exemplu, existenta unui numar mare de falimente in ramura respectiva, urmare a unor schimbari in structura cererii, sau lipsa de capital operational pentru firma);

natura activitatilor desfasurate de intreprindere implicate de ramura de activitate a firmei (de exemplu, uzura morala rapida a tehnologiei, echipamentelor, produselor si serviciilor, structuri neadecvate a capitalurilor permanente, dependenta de un furnizor sau un client, locatia geografica a diverselor facilitati de productie si de desfacere ale firmei);

factori care afecteaza ramura economica in care firma isi desfasoara activitatea (de exemplu, conditiile economice si concurentiale, asa cum sunt ele identificate prin prisma diversilor indicatori de analiza sectoriala, progresul tehnologic in ramura respectiva, cererea de produse sau servicii pentru sectorul vizat);

practici contabile (sistemul contabil utilizat poate avea o mare influenta in reducerea riscului inerent, deoarece un sistem contabil care este bine pus la punct si duce la inregistrarea prompta a tranzactiilor reduce mult riscul devalizarii activelor firmei);

b)      La nivelul conturilor, al balantei de verificare sau al unei categorii de operatii:

situatiile financiare pot fi susceptibile de a avea erori semnificative datorita, spre exemplu, conturilor care au necesitat ajustari semnificative in perioadele anterioare, sau datorita estimarilor contabile;

complexitatea tranzactiilor sau a altor evenimente care necesita o expertiza de specialitate;

gradul de subiectivitate care intervine in determinarea soldului conturilor (tratamentul contabil al unor evenimente economice din viata companiei implica un grad subiectivitate ridicat - de exemplu, recunoasterea rezultatelor in cazul contractelor pe termen lung, aprecierea despagubirilor generate de actiuni in instanta, aprecierea marimii unor provizioane pentru depreciere; alegerea politicilor de amortizare);

vulnerabilitatea activelor la deturnari, ceea ce da posibilitatea ca anumite active sa fie pierdute sau insusite ilegal, in special in ceea ce priveste activele care prezinta o atractivitate ridicata si sunt usor de insusit (cum ar fi numerarul sau anumite valori care sunt expuse vitrine insuficient protejate impotriva spargerilor);

aparitia si inregistrarea unor evenimente complexe si neobisnuite, in special la sfarsitul exercitiului, in perioada lucrarilor de inchidere a bilantului (cazul practicilor de contabilitate    creativa: vanzari mascate inainte de inchiderea exercitiului, urmate de returnarea marfurilor vandute imediat dupa finele exercitiului financiar);

tranzactii care nu fac in mod obisnuit obiectul prelucrarilor contabile (anumite programe informatice permit suprascrierea manuala a anumitor tranzactii, in special a celor care pot depinde de factori politici, caz in care comisioanele declarate pot diferi de cele reale, iar posibilitatea de control a acestor tranzactii este destul de redusa datorita insusi a caracterului lor de confidentialitate - cazul unor companii care disimuleaza astfel de onorarii prin inregistrarea lor ca taxe de consultanta, iar marimea lor reala nu poate fi apreciata sau previzionata cu exactitate).

b. Riscul de control

Riscul de control, conform standardelor internationale de audit "consta in faptul ca o eroare semnificativa in soldul unui cont sau intr-o categorie de operatiuni, izolata sau impreuna cu erorile din alte solduri de cont sau categorii de operatiuni, nu este nici prevenita nici descoperita si corectata, prin sistemul contabil si de control intern utilizate".

Daca ar fi sa consideram din nou ca exemplu tranzactiile de incasari in numerar de la debitori, riscul de control creste daca aceeasi persoana care incaseaza banii este responsabila si cu evidentierea creantelor fata de debitori. In acest caz posibilitatea aparitiei unor erori sau fraude este marita in mod semnificativ.

Dupa ce a luat cunostinta de sistemele contabile si de control intern auditorul trebuie sa procedeze la o evaluare preliminara a riscului legat de control.

Asa cum am precizat mai sus, riscul de control apare atunci cand controlul intern nu functioneaza de maniera in care a fost conceput sau cand nu functioneaza deloc. Exemplul urmator releva influenta riscului de control asupra riscului de audit. Astfel, sa presupunem ca persoana care este responsabila de activitatea de control intern sufera de o boala grava si lipseste o perioada mai lunga de timp. In acest interval, societatea comerciala inchiriaza o serie de imobilizari corporale catre rai platnici. In acest caz, tranzactia inregistrata in contabilitate genereaza veniturile din chirii care vor fi reflectate in situatiile financiare ale firmei. Dar daca nu se incaseaza creanta auditorul isi asuma un risc de audit ridicat (poate emite o opinie de audit neadecvata). Din acest motiv, auditorul trebuie sa verifice modul de functionare si eficienta sistemului de control intern al companiei respective. In plus, el trebuie sa se asigure ca sistemul de control intern a fost functional pe intreaga perioada avuta in vedere.

Evaluarea riscului de control se face in doua etape: evaluarea preliminara si evaluarea finala. Evaluarea preliminara consta in evaluarea eficacitatii sistemelor contabile si de control intern ale intreprinderii sub aspectul contributiei acestora la prevenirea sau detectarea si corectarea erorilor semnificative. Evaluarea preliminara a riscului de control este fixata din principiu la un nivel ridicat, cu exceptia cazului in care auditorul se convinge de existenta controalelor interne, care, odata aplicate, au capacitatea de a preveni sau detecta si corija efectiv o eroare sau frauda semnificativa. Nivelul ridicat al riscului de control poate fi justificat in special atunci cand:

sistemul contabil si de control intern nu sunt aplicate corect (nu sunt functionale);

sistemul contabil si de control intern al intreprinderii sunt considerate ca fiind insuficiente - nu sunt eficiente.

Auditorul trebuie sa prezinte in dosarul de lucru analiza sa asupra sistemelor contabile si de control intern ale clientului, precum si evaluarea sa asupra riscului de control. Atunci cand riscul de control este evaluat la un nivel scazut, auditorul trebuie sa documenteze cu probe concluziile sale. Pentru a nu fi acuzat de neglijenta profesionala, ori de cate ori ajunge la o alta concluzie, auditorul trebuie sa poata proba concluzia sa, deoarece un control intern de incredere determina aplicarea unor proceduri de audit mai restranse.

De multe ori, auditorul se sprijina pe concluziile, observatiile si analizele formulate cu ocazia misiunilor precedente de audit. Inainte de a se considera procedurile folosite la misiunile de audit precedente, el trebuie se asigure ca acest lucru este posibil. O schimbare fundamentala a conditiilor dintre doua misiuni succesive poate duce la schimbarea concluziilor, in conditiile aplicarii acelorasi proceduri de fond.

Evaluarea finala a riscului de control are loc inaintea intocmirii raportului de audit, deoarece inainte de a formula concluziile care rezulta din urma misiuni de audit, auditorul trebuie sa determine daca evaluarea preliminara asupra riscului de control se confirma, pentru a elimina riscul unui audit superficial.

Prin intermediul testelor de control auditorul poate aprecia in ce masura controlul intern este conceput si functioneaza in conformitate cu evaluarea preliminara a riscului de control, sau daca este necesar sa aduca modificari programului de audit, in functie de noile elemente descoperite. De asemenea, auditorul are la indemana o serie de tehnici diferite: descrieri narative, chestionare, liste de control, organigrame.

Testele de control asupra sistemelor si conturilor semnificative permit obtinerea elementelor probante asupra:

conceptiei sistemelor contabile si de control intern - in ce masura acestea permit prevenirea sau depistarea si corectarea erorilor si fraudelor semnificative;

functionarii controalelor interne in timpul exercitiului financiar analizat.

Testele privind procedurile de control pot cuprinde:

examenul documentelor care justifica o operatiune (de exemplu, verificarea autorizarii efectuarii unei anumite operatiuni);

obtinerea de informatii si efectuarea de observatii asupra modului de proiectare si desfasurarea a controalelor interne care nu lasa urme materiale (de exemplu, poate exista cazul    cand auditorul trebuie sa stabileasca persoana care efectueaza o operatiune, deoarece in practica se poate intampla ca acesta sa difere de persoana care are prin fisa postului aceasta atributie);

verificarea modului de functionare al controlului intern (de exemplu solicitarea de confirmari de la banca pentru a se obtine asigurarea ca aceste operatiuni au fost corect inregistrare de catre intreprindere).

Riscurile inerente si cele de control sunt intercorelate si, prin urmare, este preferabil sa se evalueze cele doua componente simultan si nu separat. Deseori, conducerea companiilor contracareaza impactul riscurilor inerente si de control prin consolidarea si dezvoltarea sistemelor de contabilitate si de control intern. In astfel de situatii, daca auditorul incearca sa evalueze separat riscul inerent si riscul de control, exista posibilitatea unei aprecieri necorespunzatoare a riscului de audit.

c. Riscul de nedetectare

Standardele de audit retin urmatoarea definitia a riscurilor de nedetectare: "riscul ca o procedura de fond a auditorului sa nu detecteze o informatie eronata ce exista in soldul unui cont sau categorie de tranzactii care ar putea fi semnificativa in mod individual, sau cand este cumulata cu informatii eronate din alte solduri sau categorii".

Dupa cum se poate observa din definitia prezentata, nivelul riscului de nedetectare este direct legat de procedurile de fond aplicate de catre auditor, in sensul ca nu poate fi eliminat in totalitate oricare ar fi tehnicile si procedurile folosite de auditor. Desi riscul de nedetectare este singurul risc care poate fi controlat de catre auditor, exista urmatorii factori care pot genera riscul de nedetectare:

q       In ipoteza verificarii exhaustive a tranzactiilor (nu se utilizeaza proceduri de esantionare) elemente de risc exista, deoarece:

Auditorul nu utilizeaza procedurile de audit cele mai adecvate. Spre exemplu, un auditor poate urmari toate circuitul tuturor facturilor primite de la furnizori de la momentul primirii pana la inregistrarea impactului acestora asupra situatiilor financiare, dar nu se puncteaza cu furnizorii care au emis acele facturi.

Auditorul nu aplica in mod corect o anumita procedura de audit. Spre exemplu, auditorul poate verifica toate facturile primite de la furnizori, dar aceasta procedura este irelevanta pentru tranzactiile privind obligatiile neinregistrate.

Auditorul interpreteaza gresit rezultatele obtinute. Spre exemplu, rezultatele obtinute la calculul unor indicatori economici ca urmare a aplicarii unor proceduri analitice sunt interpretate gresit de catre auditor.

q       In ipoteza utilizarii esantioanelor, exista un risc asociat esantionarii. Incertitudinile apar inevitabil ori de cate ori auditorul verifica mai putin de 100% din totalul tranzactiilor. Aceste incertitudini nu pot fi eliminate, dar pot fi controlate prin aplicarea unor proceduri adecvate de esantionare[1].

Riscul de nedetectare este invers proportional cu riscurile inerente si de control. De exemplu, pentru a mentine un nivel al riscului de audit scazut, auditorul trebuie sa stabileasca un nivel al riscului de nedetectare mic in cazul in care riscurile inerente si de control sunt ridicate. Invers, daca riscurile interne si cele de control sunt mici, auditorul poate accepta un nivel al riscului de nedetectare mai ridicat, riscul de audit fiind pe total mentinut la un nivel dorit.

Trebuie retinut totusi ca indiferent de nivelul riscurilor inerente si cele de control, auditorul trebuie sa aplice acele proceduri de fond pentru conturile si tranzactiile semnificative care sa sustina evaluarea riscurilor considerata.

Atunci cand auditorul constata ca riscul de nedetectare asociat soldului unui cont sau unei categorii de tranzactii semnificative nu poate fi redus la un nivel acceptabil, auditorul trebuie sa formuleze o opinie cu rezerve sau se afla in imposibilitatea exprimarii unei opinii.