Relatia risc de audit - erori si fraude

Relatia risc de audit - erori si fraude

In evaluarea situatiilor financiare, auditorul utilizeaza proceduri care ii permit obtinerea unui grad rezonabil de certitudine ca acestea au fost corect intocmite in toate aspectele lor esentiale, adica nu contin informatii neconforme cu realitatea si nu sunt alterate ca efect al erorilor si/sau fraudelor intervenite in activitatea intreprinderii.

Avand in vedere existenta limitarilor inerente auditului, precum si oricarui sistem de audit intern, exista riscul inevitabil ca anumite inexactitati sau erori semnificative sa nu fie descoperite. Atunci cand auditorul are indicii ca ar exista fraude sau erori care conduc la aparitia unor inexactitati cu impact si de o importanta semnificative, el trebuie sa extinda procedurile de control in scopul confirmarii sau infirmarii dubiilor sale.

Riscul de audit ar putea fi definit ca riscul pe care un auditor si-l asuma de a emite o opinie de audit neadecvata in ceea ce priveste situatiile financiare pe care le auditeaza. Evaluarea riscului ocupa un loc important in analiza procesului de audit, considerandu-se ca aceasta ar trebui sa fie preocuparea centrala a auditorului. [I. Gray, S. Manson -  The audit process : principles, practice and cases , ed. a II-a, 2000] Standardele de audit retin urmatoarea definitie pentru riscul de audit: "riscul pe care auditorul il atribuie unei opinii de audit neadecvate, atunci cand situatiile financiare contin informatii eronate semnificative".

Astfel, inca din momentul in care accepta misiunea de audit, dar si pe parcursul misiunii in sine, auditorii urmaresc riscurile care pot aparea si care ii pot conduce la opinii care nu reflecta realitatea. Cu cat riscul este mai mare in ceea ce priveste o anumita activitate a intreprinderii, cu atat mai mult timp se va aloca verificarii activitatii respective.

Evaluarea aparitiei riscurilor este importanta si prin prisma faptului ca in functie de aceasta, se aleg procedeele de lucru, se stabileste intinderea procedurilor, testelor si sondajelor, precum si succesiunea in timp a aplicarii acestor elemente.

Din punctul de vedere al posibilitatii de a se produce, exista riscuri potentiale si riscuri posibile. Cele potentiale sunt mai susceptibile de a se produce, daca nu se instituie un control eficient care sa previna, descopere si corecteze eventualele erori, aceste riscuri fiind inregistrate la nivelul tuturor entitatilor economice; riscurile posibile reprezinta acea parte a riscurilor potentiale pentru care conducerea nu a intreprins masuri eficiente menite a le limita, si, ca urmare, exista o mare probabilitate ca erorile sa se produca fara sa fie detectate si corectate.

Conceptul de risc de audit implica trei componente: riscul inerent, riscul de control si cel de nedetectare. Literatura de specialitate prezinta si o clasificare a componentelor riscului de audit in functie de capacitatea de interventie a auditorului asupra lor, astfel: (i) riscul ca situatiile financiare sa contina erori, is (ii) riscul ca auditorul sa nu detecteze aceste erori. Din acest punct de vedere, prima categorie de risc (alcatuita din riscurile inerente si de control) nu se afla sub controlul auditorului; acesta evalueaza riscurile asociate entitatii asociate entitatii auditate, dar nu le poate controla in nici un fel. Cea dea doua categorie de riscuri (ce corespunde riscului de nedetectare) se afla sub controlul auditorului, acesta exercitand acest control prin selectarea si aplicarea testelor de control asupra unor informatii pe care doreste sa le evalueze.

Normele de audit nr.1/1995 emise de CECAR, subliniaza ideea conform careia  controlul obiectivelor in cadrul unui audit financiar este planificat in functie de factorii de risc si de importanta relativa a acestora, care difera de la o intreprindere    la alta , auditorul trebuind sa tina cont de specificitatea organizationala a fiecarei intreprinderi, respectiv de structura departamentala si zonala, de talia acesteia, de mediul in care isi desfasoara activitatea, precum si de obiectul sau de activitate si de reglementarile speciale ale sectorului de activitate (formarea preturilor, finantari, vanzari etc.).

Avand in vedere cumulul acestor elemente, auditorul evalueaza riscul potential de aparitie si manifestare a erorilor si fraudelor, care poate afecta activitatea fiecarei entitati economice in parte, dar si nereflectarea unei imagini fidele a situatiilor financiare. In cele ce urmeaza va fi detaliat rolul erorilor in cadrul fiecarui tip de risc de audit.

Riscul inerent

Riscurile inerente pot aparea ca urmare a inexistentei controlului intern in ariile respective de activitate. In cazul lipsei sistemului de control intern, tranzactiile efectuate de intreprindere pot sa nu fie inregistrate in contabilitate deloc sau in mod eronat. Aceste situatii pot conduce la ascunderea unei erori sau a unei intentii de frauda.

Cu ocazia elaborarii planului de audit, auditorul trebuie sa evalueze riscul inerent legat de situatiile financiare. In elaborarea programului de lucru, auditorul trebuie sa tina seama de aceasta evaluare pentru a putea aprecia marimea si natura erorilor din soldurile conturilor si pentru categoriile de operatiuni semnificative sau cel putin pentru a putea stabili daca aceste erori prezinta un risc inerent ridicat.

Riscul inerent poate fi influentat de o serie de factori, cum ar fi:

a)      La nivelul situatiilor financiare:

integritatea managementului;

experienta si cunostintele conducerii. Lipsa de experienta la nivelul conducerii intreprinderii, poate afecta imaginea fidela;

presiuni neobisnuite exercitate asupra conducerii si alte imprejurari de natura a determina prezentarea unor situatii financiare inexacte (legate de conditiile de formare a pietei, a mediului concurential si de afaceri);

factori care afecteaza ramura economica in care firma isi desfasoara activitatea (conditiile economice si concurentiale);

practici contabile (sistemul contabil poate determina reducerea riscului de control).

b)      La nivelul conturilor, al balantei de verificare sau al unei categorii de operatii:

situatiile financiare sunt susceptibile de a avea erori semnificative din cauza conturilor care au necesitat ajustari semnificative in perioadele anterioare, sau a estimarilor contabile;

complexitatea tranzactiilor sau a situatiilor care necesita o expertiza de specialitate;

gradul de subiectivitate care intervine in determinarea soldului conturilor, influentat de aprecierea marimii unor provizioane pentru depreciere, alegerea politicilor de amortizare;

vulnerabilitatea activelor la deturnari, ceea ce da posibilitatea ca anumite active sa fie pierdute sau insusite ilegal;

aparitia si inregistrarea unor evenimente complexe si neobisnuite, in special la sfarsitul exercitiului, in perioada lucrarilor de inchidere a bilantului (practici de contabilitate creativa);

Riscul de control

Sistemele de contabilitate si de control intern trebuie sa previna, sa descopere si sa corecteze erorile survenite in timpul executiei operatiunilor desfasurate in intreprindere. Atunci cand controlul intern nu functioneaza de maniera in care a fost conceput sau cand nu functioneaza deloc, atunci apare riscul de control, care conform standardelor internationale de audit, "consta in faptul ca o eroare semnificativa in soldul unui cont sau intr-o categorie de operatiuni, izolata sau impreuna cu erorile din alte solduri de cont sau categorii de operatiuni, nu este nici prevenita, nici descoperita si corectata, prin sistemul contabil si de control intern".

Pentru exemplificare, se considera cazul tranzactiilor de incasari in numerar de le debitori, riscul de control crescand daca aceeasi persoana care incaseaza banii este responsabila si cu evidentierea creantelor fata de debitori. In acest caz, posibilitatea aparitiei unor erori sau fraude (deturnarea activelor sau evidentierea eronata in contabilitate) este marita in mod semnificativ.

Evaluarea riscului de control se face in doua etape: evaluarea preliminara si evaluarea finala. Evaluarea preliminara consta in evaluarea eficacitatii sistemelor contabile si de control intern ale intreprinderii sub aspectul contributiei acestora la prevenirea sau detectarea si corectarea erorilor semnificative. Evaluarea preliminara a riscului de control este fixata din principiu la un nivel ridicat, cu exceptia cazului in care auditorul se convinge de existenta controalelor interne, care, odata aplicate, au capacitatea de a preveni sau detecta si corija efectiv o eroare sau frauda semnificativa.

Nivelul ridicat al riscului de control poate fi justificat in special atunci cand:

Sistemul contabil si de control intern nu sunt aplicate corect (nu sunt functionale);

Sistemul contabil si de control intern al intreprinderii sunt considerate ca fiind insuficiente, deci nu sunt eficiente.

Auditorul trebuie sa prezinte in dosarul de lucru analiza sa asupra sistemelor contabil si de control intern ale clientului, precum si evaluarea privind riscul de control. Atunci cand riscul de control este evaluat la un nivel scazut, auditorul trebuie sa documenteze cu probe concluziile sale. Pentru a nu fi acuzat de neglijenta profesionala, auditorul trebuie sa-si poata sustine concluziile cu probe, deoarece un control intern de incredere determina aplicarea unor proceduri de audit mai restranse si exista riscul de a acorda o incredere prea mare unui sistem de control care nu identifica erorile si/sau actiunile frauduloase existente.

Pentru intelegerea si evaluarea riscului de control, auditorii realizeaza o documentare asupra sistemului contabil si de control intern, a carei forma si intindere depind, pe de o parte de marimea si complexitatea subiectului analizat (intreprinderea) , iar, pe de alta parte, de natura si structura sistemelor avute in vedere. Pentru determinarea eficientei si eficacitatii sistemelor contabil si de control intern, auditorul efectueaza teste de control pentru obtinerea probelor de audit.

Exista numeroase situatii in care auditorul se sprijina pe concluziile, observatiile si analizele formulate cu acazia misiunilor precedente de audit. Inainte de a considera procedurile folosite la misiunile de audit precedente, el trebuie sa se asigure ca acest lucru este posibil. O schimbare fundamentala a conditiilor dintre doua misiuni de audit succesive poate duce la schimbarea concluziilor, in conditiile aplicarii acelorasi proceduri de fond.

Evaluarea finala a riscului de control are loc inaintea intocmirii raportului de audit, deoarece, inainte de a formula concluziile care rezulta din urma misiunii de audit, auditorul trebuie sa determine daca evaluarea preliminara a riscului de control se confirma, pentru a elimina riscul unui audit superficial.

Testele de control determina aprecierea auditorului privind masura in care controlul intern este conceput si functioneaza in conformitate cu evaluarea preliminara a riscului de control, sau, daca este necesar sa aduca modificari programului de audit, in functie de noile elemente descoperite. De asemenea, auditorul are la indemana diverse tehnici ce pot fi puse in aplicare, precum: descrierile narative, chestionarele, listele de control sau organigramele.

Testele de control asupra sistemelor si conturilor semnificative permit obtinerea elementelor probante asupra conceptiei sistemelor contabile si de control intern - in ce masura acestea permit prevenirea sau depistarea si corectarea erorilor si fraudelor semnificative - si asupra functionarii controalelor interne in timpul exercitiului financiar analizat.

Testele de control pot cuprinde:

examenul documentelor care justifica o operatiune (verificarea autorizarii efectuarii unei operatiuni);

obtinerea de informatii si efectuarea de observatii asupra modului de proiectare si desfasurare a controalelor interne care nu lasa urme materiale;

verificarea modului de functionare a controlului intern (solicitarea de confirmari de la terti).

Este preferabil ca riscurile inerente si de control sa fie evaluate simultan, datorita intercorelarii acestora, si nu separat, pentru ca, in    eventualiatea existentei erorilor si fraudelor, consecintele acestora sa fie cat mai clar atat pentru auditor, dar si pentru utilizatorii informatiei. Incercarea de a evalua separat cele doua tipuri de riscuri, poate conduce la o apreciere necorespunzatoare a riscului de audit.

Conducerea companiilor poate contracara impactul riscurilor inerente si de control prin consolidarea si dezvoltarea sistemelor de contabilitate si de control intern, care sa fie capabile sa identifice erorile si activitatile frauduloase, dar sa le si corijeze corespunzator pentru a reflecta o imagine reala a activitatii desfasurate.

Riscul de nedetectare

Riscul de nedetectare este "riscul ca o procedura de fond a auditorului sa nu detecteze o informatie eronata ce exista in soldul unui cont sau categorie de tranzactii carea ar putea fi semnificativa in mod individual, sau cand este cumulata cu alte informatii eronate din alte solduri sau categorii".

Nivelul riscului de nedetectare este direct legat de procedurile de fond aplicate de auditor, acesta neputand fi eliminat in totalitate, oricare ar fi tehnicile si procedurile folosite de auditor. Totusi, cu cat auditorul pune in aplicare mai multe proceduri de fond, cu atat este mai mare probabilitatea ca el sa detecteze orice eroare materiala (semnificativa) sau neregularitati in situatiile financiare auditate, iar riscul de nedetectare sa fie mai mic.

Riscul de nedetectare este singurul risc care poate fi controlat de auditor, dar exista si factori care il pot influenta:

In ipoteza verificarii exhaustive a tranzactiilor (nu se utilizeaza proceduri de esantionare) elementele de risc pot aparea in situatiile:

- Auditorul nu utilizeaza procedurile de audit cele mai adecvate;

- Auditorul nu aplica in mod corect o anumita procedura de audit;

- Auditorul interpreteaza gresit rezultatele obtinute.

In ipoteza utilizarii esantioanelor, exista un risc asociat esantionarii datorita verificarii de catre auditor a mai putin de 100% din totalul tranzactiilor. In aceasta situatie apar incertitudini care nu pot fi eliminate, dar pot fi controlate prin intermediul unor proceduri adecvate de esantionare.

Riscul de nedetectare se refera la posibilitatea sa existe erori semnificative in conturile anuale, auditorul putand emite o opinie neadecvata, daca nu evalueaza in mod corect nivelul riscului de nedetectare a erorilor si inexactitatilor ce sunt de asteptat sa apara.

Riscul de nedetectare este invers proportional cu riscurile inerente si de control. Astfel, pentru a mentine un nivel al riscului de audit scazut, auditorul trebuie sa stabileasca un nivel scazut al riscului de nedetectare, in cazul in care riscurile inerente si de control sunt ridicate. In situatia inversa, daca riscurile inerente si de control sunt mici, auditorul poate accepta un nivel al riscului de nedetectare mai ridicat, riscul de audit global fiind mentinut la un nivel dorit.

Indiferent de nivelul riscurilor inerente si de control, auditorul trebuie sa aplice acele proceduri de fond asupra conturilor si tranzactiilor semnificative care sa fie in deplina concordanta cu evaluarea riscului stabilit de auditor.

In situatia in care auditorul constata ca riscul de nedetectare asociat soldului unui cont sau unei categorii de tranzactii semnificative nu poate fi redus la un nivel aceptabil, el trebuie sa formuleze o opinie cu rezerve sau sa afirme ca se afla in imposibilitatea exprimarii unei opinii.

In urma intelegerii si evaluarii sistemelor de contabilitate si de control intern, pe baza aplicarii testelor de control, auditorul poate deveni constient de carentele sistemului de control intern al intreprinderii. Standardele de audit stipuleaza ca auditorul trebuie sa aduca la cunostinta conducerii, cat mai operativ si al un nivel adecvat de responsabilitate, carentele semnficative care i-au atras atentia in privinta proiectarii, implementarii sau functionarii sistemului de contabilitate sau de control intern, adica modul in care acestea sunt capabile sa previna, detecteze si corecteze erorile si fraudele.

Riscul de audit detaliat si riscul de audit superficial

Auditorul trebuie sa acorde o atentie deosebita intinderii procedurilor de audit, deoarece exista intotdeauna riscul sa nu fie suficient testata o categorie semnificativa de tranzactii si, astfel, sa fie omise elemente de eroare sau frauda care sa conduca la concluzii neadecvate. Daca auditorul nu reuseste sa defineasca cu exactitate activitatile cu risc ridicat, atunci, exista riscul ca aceste activitati sa fie auditate superficial in raport cu realitatea.

In situatia opusa, daca se acorda o atentie prea mare activitatilor cu risc scazut, atunci exista pericolul de a ramane prea putin timp timp alocat activitatilor cu risc ridicat (risc de audit detaliat).

Auditorul trebuie sa estimeze cat mai aproape de adevar ariile de risc in care se incadreaza expertiza efectuata de acesta, riscurile fiind apreciate in functie de experienta si rationamentul profesional al fiecarui auditor, acestea din urma jucand un rol crucial in domeniul auditului. Ca urmare, o estimare corecta nu va lasa niciodata loc de interpretari si nici o eroare sau frauda nu va ramane nedescoperita.