Planificarea auditului intern

Planificarea auditului intern

1.Conceptul de planificare a auditului

Activitatea de audit intern este o activitate planificata, proces care se realizeaza pe baza analizei riscurilor asociate activitatilor si este menit sa adauge valoare entitatii auditate.

Planificarea activitatii de audit intern se realizeaza pe 3 nivele:

- planificarea strategica pe termen lung - are in vedere activitatea de evaluare a functiei auditului intern a structurilor din subordine care si-au organizat compartimente de audit intern, odata la 5 ani, conform cadrului normativ al auditului intern;

- planificare strategica pe termen mediu - are in vedere faptul ca, in conformitate cu legea, toate activitatile auditabile trebuie sa fie auditate cel putin o data la 3 ani.In functie de importanta unei activitati in cadrul entitatii, de pericolul producerii unor evenimente sau chiar pagube, ca si de gradul de aparitie si importanta a riscului, aceasta poate fi cuprinsa in auditare;

- planificare anuala - cuprinde misiunile ce se vor realiza pe parcursul anului viitor tinand cont de bugetul de timp disponibil in cadrul planului si de resursele alocate anual. Fiecare misiune de audit va cuprinde obiectivele, identificarea activitatilor adiacente, orele lucrate, personalul si planificarea orara pentru activitatile si structurile entitatii publice supuse examinarii.

Realizarea activitatii de planificare presupune determinarea domeniilor majore ale auditului.O planificare incorecta sau incompleta conduce la pierderea unor activitati purtatoare de riscuri.

Este esential sa se planifice auditurile pentru riscurile majore, iar cele minore intr-o mai mica masura sau deloc.

Standardele de audit intern recomanda ca, pentru realizarea planificarii trebuie sa se discute cu managerul. Managerul entitatii publice este responsabil de planificarea activitatii de audit intern si trebuie sa aprobe planul de audit intern,fara insa a-1 putea influenta pe auditorul intern in vederea necuprinderii in plan a unui domeniu de activitate sau structura organizatorica. In practica auditului intern se recomanda auditorilor sa-i consulte si pe oamenii din organizatie care au o viziune globala asupra activitatilor si pot sesiza riscuri care altfel ar scapa.

3.Abordari ale continutului unui plan de audit public intern

S-a constatat in practica ca nu toate entitatile utilizeaza planul de audit intern, intalnindu-se astfel situatii diversificate care reflecta nivelul evolutiei si al implementarii auditului intern in cadrul entitatii publice.

Intr-o prima faza, nu exista nici o planificare iar ordinele de misiune sunt acordate progresiv: structura de audit intern lucreaza in acest caz "la cerere" fara programarea prealabila a timpului si fara a fi asigurati ca ceea ce se face corespunde cu ceea ce ar trebui sa se faca daca ar exista o planificare.

Planul de audit necesita:

un continut exhaustiv;

planificare pe mai multi ani( de la 3 la 5 ani);

analiza globala a riscurilor pentru a respecta aceasta planificare;

3.1.Abordarea in functie de teme

Prin definitie tema reprezinta ceea ce nu corespunde nici doar unui singur serviciu, nici doar unei singure functii si a carei naturi merita totusi sa fie luata in considerare ca subiect al unei misiuni de audit specific.In cadrul acestei categorii se poate gasi: auditul arhivarii, auditul contractelor, auditul securitatii, auditul comunicarii, auditul informaticii, etc.

3. Abordarea in functie de procese

Abordarea planificarii auditului pe baza proceselor este o solutie buna, deoarece se poate observa ce se intimpla de la inceputul pana la sfirsitul respectivului proces. Aceasta abordare implica auditarea compartimentelor de resurse umane, financiar-contabilitate, achizitii, evidenta, urmarire si colectare a creantelor fiscale, etc. Si in consecinta presupune utilizarea unui timp mai mare si prin urmare realizarea unor audiruri complexe.

Exemplu:

In cadrul Directiei Generale a Finantelor Publice Bistrita-Nasaud s-a efectuat un astfel de audit, care a vizat procesul de evidenta, urmarire si colectare a creantelor fiscale datorate de agentii economici de pe raza judetului '.In cadrul acestei entitati publice, procesul de evidenta, urmarire si colectare a creantelor bugetare datorate de aceasta categorie de contribuabili are loc in cadrul tuturor administratiilor orasenesti si comunale, respectiv intr-un numar de 8 astfel de structuri subordonate D.G.F.P judeteana. Prin auditul efectuat a rezultat o cunoastere a situatiei la nivel de judet a contribuabililor cu probleme privind plata creantelor datorate si in acelasi timp modalitatile concrete de urmarire si incasare a debitelor restante,vechimea acestora, debite intrate in perioada de prescriptie, etc.

Un astfel de audit a permis constientizarea acestui fenomen, masurarea lui, identificarea cauzelor acestuia si formularea de recomandari concrete pentru remedierea disfunctiilor.

3.3.Abordarea in functie de meserii

Este intalnita cu precadere in cazul entitatilor publice aflate in coordonare si in care statul detine o pondere importanta privind fondurile publice (ex. Regiile)

Aceasta abordare imparte subiectele de audit in functie de meseriile importante ale entitatii publice.

Fiecare meserie corespunde unuia sau mai multor servicii. Se gasesc aici diferite departamente, servicii ale entitatii publice. Este o abordare in functie de structuri. Este partea din plan care se elaboreaza cel mai usor in sensul ca ea corespunde foarte exact organigramei in cadrul careia fiecare coninpartiment trebuie auditat, fara a se ajunge la nivelele cele mai detaliate.

4. Evaluarea riscurilor in vederea elaborarii planului strategic si anual de audit public intern

In vederea evaluarii riscurilor pentru procedura de intocmire a planului strategic si anual de audit public intern se parcurg urmatorii pasi:

identificarea activitatilor auditabile;

identificarea riscurilor inerente asociate activitatilor;

stabilirea factorilor de analiza a riscurilor si a nivelelor de apreciere a acestora;

stabilirea nivelului riscului pe criterii de apreciere;

determinarea punctajului total al riscului;

clasarea activitatilor in functie de analiza riscurilor;

ierarhizarea activitatilor care urmeaza a fi auditate;

elaborarea tematicii in detaliu a activitatilor auditabile;

elaborarea planului strategic si anual de audit public intern;

Identificarea activitatilor auditabile se realizeaza in urma analizei actului de infiintare, organigramei, ROF-ului, deciziilor de organizare a eventualelor noi activitati, etc.

Aceasta etapa se concretizeaza in intocmirea de catre auditori a listei activitatilor auditabile din cadrul entitatii.

Evaluarea riscului inseamna identificarea si analiza riscurilor relevante in indeplinirea obiectivelor, pentru a cunoaste modul in care acestea trebuie sa fie administrate.

Evaluarea riscurilor trebuie sa aiba in vedere gestionarea schimbarii, oamenii se schimba, metodele se schimba, organizarile si politicile se schimba si ca atare si riscurile se schimba.

Evaluarea riscului este o parte a procesului operational si trebuie sa identifice si sa evalueze factorii interni si externi care ar putea afecta obiectivele organizatiei.

Identificarea riscurilor asociate activitatilor trebuie sa tina seama de formele de control intern, respectiv de existenta si functionalitatea procedurilor. Stiind ca pentru orice activitate se elaboreaza o procedura de lucru care va contine si controalele interne, daca aceasta lipseste, activitatea prezinta riscuri potential mai mari decit cele pentru care sunt elaborate proceduri.

Stabilirea factorilor de analiza a riscurilor si a nivelelor de apreciere a acestora - se realizeaza tinand cont de recomandarile din Normele generale de exercitare a auditului public intern aprobate prin Ordinul ministrului finantelor publice nr. 38/2003. Se utilizeaza factorii privind aprecierea controluli intern, aprecierea cantitativa si aprecierea calitativa, la care se mai pot adauga si alti factori specifici activitatii.

Pentru stabilirea ponderii riscului se au in vedere importanta si greutatea factorului de risc in cadrul activitatii respective si de asemenea, faptul ca suma ponderilor factorilor de risc trebuie sa fie 100.

In functie de criteriile alese pot fi stabilite spre exemplu urmatoarele ponderi:

- aprecierea controlului intern40%

- aprecierea cantitativa..25 %

- aprecierea calitativa.20%

- modificari legislative..10%

- vechimea personalului 5%

Stabilirea nivelului riscului pe criteriile de apreciere - se realizeaza prin aplicarea la fiecare factor de analiza a riscurilor a unui nivel de apreciere.

Aprecierea controlului intern.La finele fiecarei misiuni auditorii formuleaza un rationament, o apreciere despre calitatea controlului intern al unitatii sau al structurii auditate. Pentru a stabili acest criteriu, se cifreaza aceasta apreciere plasind-o pe o scara de valori pe trei nivele:

1.control intern corespunzator;

control intern insufficient;

3.control intern cu lipsuri grave.

Aceasta reflectie facuta la finele fiecarui audit ia putin timp, se aplica pe masura ce se realizeaza planul, fara a astepta actualizarea de la finele anului: este aprecierea privind calitatea controlului asupra activitatii in cauza. Aceasta reflectie se face intr-o maniera subiectiva sau obiectiva.

A doua apreciere luata in considerare este cea cantitativa: este menita sa masoare importanta mizelor. Pentru a o cifra, auditorul evalueaza, la finele auditului bugetul anual al entitatii publice sau poate lua in calcul alte elemente relevante.

Daca entitatea publica poate fi apreciata cu doua sau trei din aceste elemente, va fi retinut acela a carui valoare este cea mai importanta.

Valoarea retinuta odata identificata sau calculata, se pot identifica doua praguri cantitative.

Cifrele sunt determinate astfel incat:

- dincolo de primul prag se poate spune ca miza este de importanta scazuta;

- dincolo de cel de-al doilea prag miza este mare;

- intre cele doua praguri miza are o importanta medie.

Aceste aprecieri conduc la stabilirea a trei nivele:

1.miza slaba;

miza medie;

3.miza importanta.

Cea de-a treia apreciere este mai dificil de realizat deoarece aceasta este doar calitativa: este o apreciere asupra vulnerabilitatii unitatii auditate.

Pentru a o cifra vor fi examinati toti factorii care ar putea avea o anume incidenta asupra vulnerabilitatii subiectului auditat:

- structura se afla la sediul social, intr-un mediu de lucru de buna calitate sau este la o distanta considerabila?

- beneficiaza de o conducere de calitate sau de un singur responsabil de nivel mediu?

- personalul are o calificare buna sau are nevoie de pregatiri profesionale complementare?

- mediul social este linistit sau este supus riscurilor?

- activitatile care trebuie sa se realizeze sunt simple sau foarte complexe?

In functie de raspunsul la aceste intrebari, auditorul decide in mod subiectiv, binenteles, sa afecteze structurii auditate unul dintre cei trei coeficienti:

1.vulnerabilitate scazuta

vulnerabilitate medie

3.vulnerabilitate mare

Vulnerabilitatea va fi intotdeauna mare in prezenta unor zone considerate, ca prezentand riscuri potentiale ridicate.

Aceasta etapa se concretizeaza in intocmirea situatiei Stabilirea nivelului riscului.

Determinarea punctajului total se realizeaza prin aplicarea ponderii nivelului de apreciere fiecarui factor de risc pe nivele de risc in vederea stabilirii punctajului total,

pe baza formulei P=Σ Px N

unde:    P - punctaj total

P - ponderea riscurilor pentru fiecare factor

N - nivelul riscului pentru flecare factor utilizat

La stabilirea ponderii riscului se au in vedere importanta si greutatea factorilor de risc in cadrul domeniului respectiv. De asemenea, suma ponderilor factorilor de risc trebuie sa fie de 100% pe fiecare activitate.

Etapa se concretizeaza in intocmirea situatiei "Determinarea punctajului total".

Fiecarei misiuni de audit ce va figura in plan i se va acorda o pozitie de ordonare in functie de risc, pozitie care permite determinarea frecventei care trebuie sa se aplice in cadrul misiunilor.

Etapa se concretizeaza in intocmirea situatiei "Clasarea activitatilor".

Auditorii vor prelua din lista de clasare a activitatilor si riscurilor, activitatile care prezinta risc mare si pe cit posibil, pe cele cu risc mediu, in functie de importanta lor. Activitatile cu riscuri mici se tin in supraveghere si vor fi prinse in plan, obligatoriu, cel putin o data la trei ani.