CATEGORII DOCUMENTE |
Agricultura | Asigurari | Comert | Confectii | Contabilitate | Contracte | Economie |
Transporturi | Turism | Zootehnie |
NORME PROFESIONALE ALE AUDITULUI INTERN
1000 misiune, competente si responsabilitati
MISIUNEA, COMPETENTELE SI RESPONSABILITATILE AUDITULUI INTERN TREBUIE Sa FIE DEFINITE IN MOD FORMAL INTR-O CARTA Sa CORESPUNDA NORMELOR SI Sa FIE APROBATE DE CONSILIU
By Asist. univ. drd. Radu Gabriel
MPA 1000-1
CARTA DE AUDIT INTERN
Natura acestei modalitati practice de aplicare: adoptarii cartei de audit intern. Prezenta MPA are drept scop trecerea in revista a tuturor punctelor ce trebuie examinate inainte de adoptarea unei carte ci recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea modalitatilor practice de aplicare este facultativa.
Misiunea, competentele si responsabilitatile auditului intern trebuie sa fie definite intr-o carta. Responsabilul auditului intern trebuie sa incerce sa obtina aprobarea artei de catre directia generala precum si acceptarea acesteia de catre Consiliu, comitetul de audit sau orice alt organ cu drept de deliberare in acest domeniu.
Carta trebuie:
sa stabileasca pozitia serviciului de audit intern in cadrul entitatii
sa autorizeze accesul la documente, personal si bunuri fizice, necesar indeplinirii corespunzatoare a misiunilor
sa defineasca sfera de activitate a auditului intern
Carta serviciului de audit intern trebuie sa fie scrisa. Un document scris permite trimiterea acestuia in mod oficial directiei generale in vederea examinarii si aprobarii, si Consiliului in vederea acceptarii. Acest document faciliteaza si evaluarea periodica a pertinentei misiunii, a competentelor si a responsabilitatilor auditului intern. Difuzarea unui document scris si oficial care contine Carta auditului intern este un element esential in administrarea functiei de audit intern in cadrul entitatii. Misiunea, competentele si responsabilitatile trebuie sa fie definite si prezentate in scopul de a preciza rolul auditului intern si de a furniza directiei generale si Consiliului o baza de evaluare a activitatilor functiei. In cazul in care exista chestiuni de lamurit, neclaritati, Carta este intelegerea scrisa oficiala a acordului incheiat cu directia generala si cu Consiliul privind rolul si responsabilitatile auditului intern in cadrul entitatii.
Responsabilul auditului intern trebuie sa evalueze periodic daca misiunea, competentele si responsabilitatile definite in Carta continua sa fie pertinente pentru a permite serviciului de audit intern sa isi atinga obiectivele. Rezultatul acestei evaluari periodice trebuie sa fie comunicat directiei generale si Consiliului.
1000.C1
Natura misiunilor de consultanta/consiliere trebuie sa fie definita in Carta de audit
MPA 1000.C1-1
Principii de baza in realizarea activitatilor de consultanta/consiliere de catre auditorii interni
Natura acestei modalitati practice de aplicare:
Conform definitiei auditului intern, "auditul intern este o activitate independenta si obiectiva care da unei entitati o asigurare in ceea ce priveste gradul de control asupra operatiunilor o indruma pentru a-i imbunatati operatiunile, si contribuie la adaugarea unui plus de valoare.
Auditul intern ajuta aceasta entitate sa isi atinga obiectivele evaluand, printr-o abordare sistematica si metodica, procesele sale de management al riscurilor, de control, si de guvernare a intreprinderii, si facand propuneri pentru a le consolida eficacitatea in ceea ce priveste eficacitatea si imbunatatirea eficientei managementului riscului si a proceselor de control si de conducere". Sa reamintim auditorilor interni ca normele de calificare si de functionare se aplica atat misiunilor de asigurare cat si misiunilor de consultanta/consiliere.
Prezenta MPA pune accentul pe parametrii generali ce trebuie luati in considerare in cadrul tuturor misiunilor de consultanta/consiliere Prestarile de servicii de consultanta/consiliere cuprind o varietate de activitati : de la misiuni oficiale, definite printr-un acord scris, pana la activitati precum participarea in echipe insarcinate cu proiecte sau in comitete de conducere permanente sau temporare. Auditorii interni trebuie sa faca apel la judecata profesionala pentru a aprecia, de la caz la caz, in ce masura pot fi aplicate principiile cuprinse in prezenta MPA. Anumite angajamente de consultanta/consiliere precum si participare la un proiect de fuziune sau de achizitie sau misiuni de extrema urgenta (de exemplu punerea in practica a unor planuri de urgenta) pot necesita derogari de la procedurile care guverneaza de obicei misiunile de consultanta/consiliere .
Auditorilor interni li se recomanda sa tina cont de urmatoarele principii directoare in cursul misiunilor de consultanta/consiliere . Auditorii interni trebuie sa ia toate masurile pentru a se asigura ca membrii directiei generale si cei ai Consiliului inteleg si adera la principiul, regulile directoare si procedurile de comunicare necesare prestarii serviciilor de consultanta/consiliere .
Respectarea modalitatilor practice de aplicare este facultativa.
MPA 1000.C1-2
Observatii suplimentare privind misiunile formale de consultanta/consiliere
Nota speciala privind prezenta MPA si Normele aferente - prezenta modalitate practica de aplicare cuprinde recomandari care vizeaza mai multe Norme de aplicare pentru activitatea de consultanta/consiliere. In afara de Norma 1000.C1, aceste recomandari acopera si Normele 1130.c1 si c2, 1210.c1, 1220.c1, 2010.c1, 2110.c1 s c2, 2120.c1 si c2, 2130.c1, 2201.c1, 2210.c1, 2220.c1, 2240.c1, 2230.c1, 2410.c1, 2440.c1 si c2 si 2500.c1. referirile la aceste norme figureaza in paranteze in titlurile prezentei Modalitati Practice de Aplicare.
Natura acestei Modalitati Practice de Aplicare:
Prezenta Modalitate Practica de Aplicare trateaza acelasi subiect ca si MPA 1000.c1-1, referitor la principiile care guverneaza realizarea activitatilor de consultanta/consiliere. Cele doua MPA sunt utile auditorilor interni care efectueaza activitati de consultanta/consiliere. Conform definitiei sale "auditul intern este o activitate independenta si obiectiva care da unei entitati o asigurare in ceea ce priveste gradul de control asupra operatiunilor, o indruma pentru a-i imbunatati operatiunile, si contribuie la adaugarea unui plus de valoare.
Auditul intern ajuta aceasta entitate sa isi atinga obiectivele evaluand, printr-o abordare sistematica si metodica, procesele sale de management al riscurilor, de control si de guvernare corporativa , si facand propuneri pentru a le consolida eficacitatea".
Se cuvine sa reamintim auditorilor interni ca Normele de calificare si de functionare se aplica atat misiunilor de asigurare cat si misiunilor de consultanta/consiliere.
Prezenta MPA pune accentul pe parametrii generali ce trebuie luati in calculand toate misiunile formale de consultanta/consiliere. Activitatile de consultanta/consiliere cuprind o varietate de activitati: de la misiuni definite in mod explicit printr-un acord scris, pana la activitati precum participarea in echipe insarcinate cu proiecte sau in comitete de conducere permanente sau temporare. Auditorii interni sunt cei care trebuie sa faca apel la judecata lor profesionala pentru a aprecia , de la caz la caz, in ce masura trebuie aplicate liniile directoare cuprinse in prezenta MPA. Anumite misiuni de consultanta/consiliere , precum participarea la un proiect de fuziune sau de achizitie sau gestionarea situatiilor neprevazute (de exemplu punerea in practica a unor planuri de urgenta) pot necesita derogari de la procedurile care guverneaza de obicei misiunile de consultanta/consiliere.
Auditorilor interni li se recomanda sa tina cont de urmatoarele sugestii in cursul misiunilor formale de consultanta/consiliere . Prezenta recomandare nu are drept scop, expunerea exhaustiva a aspectelor ce trebuie examinate in cadrul unei misiuni formale de consultanta/consiliere. Trebuie ca auditorii interni sa ia toate masurile necesare pentru a se asigura ca membrii directiei generale si cei ai Consiliului inteleg si adera la conceptul, regulile directoare si procedurile de comunicare necesare indeplinirii misiunilor formale de consultanta/consiliere .
Respectarea modalitatilor practice de aplicare este facultativa.
Definitia activitatilor de formale de consultanta/consiliere
glosarul anexat Normelor defineste "servicii de consultanta/consiliere " dupa cum urmeaza: "consiliere si serviciile aferente consilierii furnizate clientului solicitant, a caror natura si sfera de activitate sunt convenite in prealabil cu clientul. Aceste activitati au ca obiective adaugarea unui plus de valoare si imbunatatirea functionarii unei entitati, proceselor de conducere, de management al riscurilor si de control din cadrul unei entitati. Iata cateva exemple: consultanta/consiliere, consiliere, facilitare, si formare".
responsabilul auditului intern trebuie sa defineasca metodologia ce trebuie aplicata in vederea distingerii diferitelor tipuri de misiuni existente in cadrul entitatii. Se poate dovedi oportuna, in unele cazuri, gruparea in cadrul unei misiuni cu caracter mixt a activitatilor de consultanta/consiliere si a celor de asigurare realizate printr-o abordare consolidata . Uneori, dimpotriva, este preferabil sa se faca distinctia intre componenta de asigurare si cea de consiliere din cadrul unei misiuni.
auditorii interni pot efectua activitati de consultanta/consiliere fie in cadrul activitatii lor curente, fie ca raspuns la cererile conducerii. Fiecare entitate trebuie sa examineze tipul de activitati de consiliere pe care le propun si sa stabileasca daca este cazul sa adopte proceduri sau reguli specifice fiecarui tip de activitate. Posibilele categorii vizate sunt:
misiunile formale de consiliere - planificate si care sunt mentionate in acorduri scrise;
misiuni informale de consiliere - prestari curente, precum participarea in cadrul comitetelor permanente, la proiecte de durata determinata, la reuniuni ad-hoc , precum si la schimburi curente de informatii;
misiuni exceptionale de consiliere - participarea la un proiect de fuziune si de achizitie sau la un proiect de schimbare de sistem;
misiuni de consultanta/consiliere in situatii de urgenta - participarea in cadrul unei echipe constituite in vederea reluarii sau continuarii activitatilor dupa o catastrofa sau orice alt eveniment exceptional, sau in cadrul unei echipe insarcinate cu o misiune temporara de asistenta in scopul de a raspunde unei cerinte specifice sau de a respecta un termen limita neobisnuit.
4. in general, auditorii trebuie sa evite sa efectueze o misiune de consiliere doar in scopul de a se sustrage - sau de a permite altora sa se sustraga - normelor care se aplica in mod normal misiunilor de asigurare atunci cand acestea din urma sunt mai potrivite serviciilor in cauza. Aceasta regula nu exclude adaptarea metodologiilor atunci cand se dovedeste ca prestatiile efectuate anterior in cadrul misiunilor de asigurare tin mai degraba de o misiune de consiliere.
Independenta si obiectivitate in cadrul misiunilor formale de consiliere (norma 1130.c1)
se poate sa li se ceara auditorilor interni sa efectueze misiuni de consultanta/consiliere privind activitati de care acestia sa fi fost responsabili anterior sau pentru care acestia au realizat misiuni de asigurare. Inainte de a oferi servicii de consultanta/consiliere , responsabilul auditului intern trebuie sa se asigure de faptul ca principiile de realizare a misiunilor de consiliere sunt intelese si aprobate de Consiliu. Odata aceste principii aprobate , se cuvine sa se actualizeze Carta de audit intern pentru a include in ea reguli referitoare la competentele si responsabilitatile in domeniul consilierii. Auditul intern trebuie de asemenea sa elaboreze proceduri adecvate efectuarii acestor misiuni.
auditorii interni trebuie sa ramana obiectivi atunci cand trag concluzii sau ofera consultanta/consiliere conducerii. Aceasta trebuie informata fara intarziere asupra oricarei situatii care ar putea sa afecteze independenta sau obiectivitatea auditorilor, indiferent daca aceasta situatie este actuala misiunii de consiliere sau daca ea survine in timpul acesteia.
exista un risc de prejudiciere a independentei si obiectivitatii atunci cand misiunile de asigurare sunt realizate in cursul anului care urmeaza unei misiuni formale de consiliere. Efectul acestei situatii poate fi redus prin diverse masuri, precum:
desemnarea de auditori diferiti pentru fiecare misiune de asigurare si de consultanta/consiliere in parte;
desemnarea de supervizori si de manageri obiectivi (independenti) diferiti;
subordonarea provizorie a echipei insarcinata cu misiunea de consultanta/consiliere la (clientul solicitant; ), definirea unor responsabilitati separate privind rezultatele proiectelor
De exemplu daca auditorii interni sunt "imprumutati" unui departament sau unei unitati, precum departamentul juridic sau serviciul de securitate, in vederea efectuarii unei misiuni de consultanta/consiliere sau in vederea participarii la un proiect specific, atunci acestia trebuie sa fie supervizati, organizati si subordonati responsabililor acestui departament sau ai acestei unitati;
si mentionarea unui posibil prejudiciu adus independentei si obiectivitatii.
Responsabilitatea acceptarii si aplicarii recomandarilor apartine conducerii.
se recomanda a se urmari, in special in cadrul misiunilor de consiliere permanente sau continue prin natura lor, ca auditorii interni sa nu-si asume in mod inoportun sau intamplator responsabilitati de management care nu sunt prevazute in definitia si obiectivele initiale ale misiunii.
Constiinciozitate profesionala in cadrul misiunilor formale de consiliere (normele 1210.c1, 1220.c1, 2130.c1 si 2201.c1)
auditorul intern trebuie sa efectueze misiunile formale de consultanta/consiliere cu constiinciozitate profesionala necesara. In acest sens se cuvine sa intelegem corect urmatoarele elemente:
necesitatile managerilor entitatii , in special in ceea ce priveste natura,
comunicarea si termenele de prezentare a rezultatelor misiunii;
eventualele motive si cauze care ar fi putut duce la solicitarea misiunii;
sfera activitatilor necesare pentru efectuarea misiunii;
competentele si resursele necesare pentru efectuarea misiunii;
influenta asupra sferei de aplicabilitate a planului de audit aprobat anterior de comisia de audit;
posibilul impact asupra misiunilor viitoare de audit;
posibilele beneficii pentru entitate, obtinute in urma misiunii.
10. in afara conditiilor de independenta, de obiectivitate si de constiinciozitate profesionala descrise mai sus, auditorul intern trebuie sa indeplineasca urmatoarele sarcini:
sa organizeze reuniuni corespunzatoare si sa identifice informatiile necesare pentru evaluarea naturii si a sferelor serviciilor prestate ;
sa se asigure ca beneficiarii serviciilor respecta dispozitiile Cartei de audit intern,regulile si procedurile de audit intern si celelalte prevederi care guverneaza efectuarea misiunilor de consultanta/consiliere . Auditorul intern trebuie sa refuze misiunile de consultanta/consiliere care sunt interzise de Carta de audit intern, care contravin regulilor si procedurilor serviciului de audit intern, sau care nu aduc un plus de valoare si nici nu raspund intereselor entitatii;
sa se asigure de compatibilitatea dintre misiunea de consiliere si planul general de audit intern. Acest plan, fondat pe baza unei analize a riscurilor, poate integra si se poate baza pe misiuni de consultanta/consiliere, in masura in care acestea contribuie la asigurarea necesitatilor de audit ale entitatii;
sa formalizeze, intr-un acord scris sau plan scris, termenii generali, intelegerile , rezultatele asteptate si ceilalti factori cheie ai misiunii de consiliere. Este esential ca atat auditorul intern cat si beneficiarii activitatilor de consultanta/consiliere sa defineasca de comun acord cerintele de raportare si prezentare
SFERA ACTIVITATILOR IN CADRUL MISIUNILOR
FORMALE DE CONSILIERE (NORMELE 2010.C1, 2110.C1 SI C2, 2120.C1 SI C2, 2201.C1, 2210.C1, 2220.C1, 2240.C1 SI 2440.C2)
Asa cum se specifica mai sus, auditorii interni trebuie sa defineasca de comun acord cu beneficiarii activitatilor prestate obiectivele si obiectul (sfera de aplicabilitate) misiunii de consultanta/consiliere consiliere.
Beneficiarii trebuie sa fie informati despre orice fel de rezerva legata de valoarea , avantajele sau, eventualele , repercusiuni negative ale misiunii de consiliere. Auditorii interni trebuie sa stabileasca sfera activitatilor astfel incat sa asigure mentinerea profesionalismului, integritatii credibilitatii si unei bune reputatii a auditului intern.
in cadrul planificarii misiunilor formale de consultanta/consiliere , auditorii interni trebuie sa defineasca obiectivele astfel incat acestea sa raspunda necesitatilor managerilor beneficiari ai activitatilor prestate. In cazul unor solicitari speciale din partea conducerii, auditorii interni pot lua in calcul urmatoarele masuri daca estimeaza ca obiectivele ce trebuie indeplinite depasesc cererile exprimate de conducere:
sa convinga conducerea sa includa obiectivele suplimentare in misiunea de consiliere;
sau sa consemneze faptul ca aceste obiective nu au fost urmarite si sa mentioneze aceasta observatie in comunicarea finala a rezultatelor misiunii de consiliere;
si sa includa ulterior aceste obiective intr-o misiune distincta de asigurare.
Programele de lucru stabilite in cadrul misiunilor formale de consiliere trebuie sa sustina cu documente obiectivele si sfera misiunii, precum si metodologia ce trebuie aplicata pentru atingerea obiectivelor.
Forma si continutul programului pot varia in functie de natura misiunii. Auditorii interni pot largi sau restrange sfera de aplicabilitate a misiunii in functie de cererea conducerii. Totusi auditorul intern trebuie sa se asigure ca sfera prevazuta de activitate , va permite atingerea obiectivelor misiunii. Obiectivele, sfera si modalitatile misiunii trebuie sa fie periodic reexaminate si actualizate pe toata durata activitatii
14. In cursul misiunilor formale de consultanta/consiliere, auditorii interni trebuie sa urmareasca mentinerea eficacitatii proceselor de management al riscurilor si de control. Expunerile la risc sau punctele slabe semnificative ale proceselor de control trebuie sa fie aduse la cunostinta conducerii. In unele cazuri auditorul intern va trebuie de asemenea sa semnaleze aceste probleme directiei generale, comitetului de audit si/sau Consiliului de Administratie. Auditorii trebuie sa se bazeze pe judecata lor profesionala (a) pentru a stabili importanta expunerilor la risc sau a punctelor slabe si masurile luate sau avute in vedere in scopul atenuarii sau remedierii acestora si (b) pentru a raspunde asteptarilor conducerii, ale comitetului de audit si ale Consiliului in ceea ce priveste comunicarea observa
Comunicarea rezultatelor misiunilor formale de consultanta/consiliere (normele 2410.c1 si 2440.c1)
15. Comunicarea etapei (gradului de evolutie) si a concluziilor misiunilor de consultanta/consiliere variaza in ceea ce priveste natura cit si in functie de tipul misiunii si de necesitatile clientului (solicitant). In ceea ce priveste informatiile ce trebuie comunicate, necesitatile sunt in general definite de beneficiarii activitatilor de consultanta si trebuie sa corespunda obiectivelor stabilite de comun acord cu conducerea. Totusi, documentele folosite pentru comunicarea concluziilor misiunilor de consultanta/consiliere trebuie sa contina o descriere clara a naturii misiunii si sa mentioneze orice limitare, restrictie sau orice al factor ce trebuie adus la cunostinta destinatarilor.
16. Se poate intampla, in unele cazuri, ca auditorul intern sa considere oportun sa comunice concluziile sale altor persoane decat beneficiarilor activitatilor prestate sau celor care au solicitat auditul. Atunci cand efectueaza o difuzare altor parti a rezultatelor sale, auditorul trebuie sa parcurga urmatoarele etape :
in primul rand, definirea indrumarilor care decurg din termenii acordului aferent misiunii de consultanta/consiliere cit si comunicarilor privind misiunea;
in al doilea rand, obtinerea acordului acelora acare au comandat sau al beneficiarilor activitatilor prestate in ceea ce priveste comunicarea voluntara la scara mai larga a concluziilor catre persoanele in cauza;
in al treilea rand, examinarea recomandarilor incluse in Carta de audit intern sau in regulile si procedurile auditului cu privire la comunicarea in cadrul misiunilor de consiliere;
in al patrule rand, raportarea dispozitiilor codului de conduita sau ale codului de etica profesionala al entitatii, si la alte reguli, proceduri sau directive administrative;
in al cincilea rand, raportarea la Norme si la Codul Deontologic al IIA, la celelalte norme sau coduri aplicabile auditului sau la orice prevedere legala sau regulamentara privind acest subiect.
17. Auditorii interni trebuie sa transmita conducerii, comitetului de audit, Consiliului sau oricarui alt organ de conducere al entitatii, natura, domeniul si rezultatele generale ale misiunii formale de consultanta/consiliere alaturi de alte rapoarte de activitate ale auditorului intern Acestia informeaza conducerea si comitetul de audit in legatura cu alocarea resurselor de audit. Nu este necesara Transmiterea unor referate detaliate privind aceste misiuni de consultanta/consiliere si a ansamblului de concluzii sau recomandari . Totusi, trebuie sa fie comunicata o descriere corespunzatoare a misiunilor de acest tip si a recomandarilor importante, acestea fiind un aspect esential in indeplinirea responsabilitatilor care revin auditorilor interni in virtutea Normei 2060, cu privire la rapoartele transmise Consiliului si conducerii
Cerinte de documentare a misiunilor formale de consultanta/consiliere (norma 2330.c1)
18. Auditorii interni trebuie sa sustina cu documente activitatile efectuate pentru a raspunde obiectivelor unei misiuni formale de consultanta/consiliere si pentru a-si fundamenta concluziile. Totusi, in ceea ce priveste documentatia, regulile aplicabile misiunilor de asigurare nu sant neaparat aplicabile si misiunilor de consultanta/consiliere
19. Auditorilor li se recomanda sa adopte proceduri corespunzatoare in ceea ce priveste pastrarea documentelor si sa rezolve orice problema legata de acest aspect, precum proprietatea dosarelor referitoare la misiunile de consultanta/consiliere , astfel incit sa asigure o protectie corespunzatoare a entitatii si sa evite eventualele neintelegeri in caz de solicitari de dosare. Unele dintre acestea pot necesita un tratament special, mai ales in cazul unei proceduri judiciare, al unor cerinte din reglementari sau al unor probleme de ordin fiscal sau contabil.
Monitorizarea misiunilor formale de consultanta/consiliere (norma 2500.c1)
20. Activitatea de audit intern trebuie sa monitorizeze rezultatele misiunilor de consultanta/consiliere in conditiile cuvenite cu clientul solicitant. Exista diferite tipuri de monitorizare in functie de tipul misiunii. Aceste modalitati de monitorizare depind in special de interesul acordat misiunii de catre conducere sau de evaluarea de catre auditorul intern a riscurilor legate de proiect, precum si de importanta sa pentru entitate.
1100 INDEPENDENTA SI OBIECTIVITATE
Auditul intern trebuie sa fie independent iar auditorii interni trebuie sa-si desfasoare activitatea cu obiectivitate.
MPA 1100-1
Independenta si obiectivitate
Natura acestei Modalitati Practice de Aplicare
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii atunci cand isi evalueaza independenta si obiectivitatea. Prezenta MPA nu are drept scop expunerea exhaustiva a aspectelor ce trebuie examinate in momentul efectuarii unei astfel de evaluari. Aceasta are drept scop doar recomandarea luarii in calcul a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa
1. Auditorii interni sunt independenti atunci cand pot sa isi exercite activitatea in mod liber si obiectiv. Independenta permite auditorilor interni sa judece in mod impartial si fara prejudecati, ceea ce este esential pentru buna efectuare a auditurilor. Acest obiectiv este atins datorita pozitiei lor in cadrul entitatii si datorita obiectivitatii lor.
TABEL DE CORESPONDENTA
NORME / MODALITATI PRACTICE DE APLICARE
Norme de calificare |
Norme de aplicare |
Modalitati practice de aplicare (MPA) |
1000 Misiuni, competente si responsabilitati |
Carta de audit intern |
|
1000.A1 | ||
1000.C1 |
1000.C1-1 Principii directoare ale realizarii misiunilor de consiliere ale auditorilor interni |
|
1000.C1-2 Preocupari suplimentare pentru misiunile formale de consiliere |
||
1100 Independenta si obiectivitate |
Independenta si obiectivitate |
|
1110 Independenta in cadrul entitatii |
Independenta in cadrul entitatii |
|
1110.A1 |
1110.A1-1 Justificarea cererilor de informatii |
|
1120 Obiectivitate individuala |
Obiectivitate individuala |
|
1130 Prejudicii aduse independentei sau obiectivitatii |
Prejudicii aduse independentei sau obiectivitatii |
|
1130.A1 |
1130.A1-1 Audit al operatiunilor de care auditorii interni au fost responsabili in trecut |
|
1130.A1-2 Responsabilitati exercitate de auditul intern in cazul realizarii altor functii |
||
1130.A2 | ||
1130.C1 |
||
1130.C2 |
||
1200 Competenta si constiinta profesionala |
Competenta si constiinta profesionala |
|
1210 Competenta |
Competenta |
|
1210.A1 |
1210.A1-1 Apel la prestatorii externi de servicii |
|
1210.A2 |
1210.A2-1 Identificarea fraudei |
|
1210.A2-2 Responsabilitatea privind detectarea fraudei |
||
1210.C1 | ||
1220 Constiinta profesionala |
Constiinta profesionala |
|
1220.A1 | ||
1220.A2 |
||
1220.C1 |
||
1230 Formarea profesionala continua |
Formarea profesionala continua |
|
1300 Program de asigurare si de imbunatatire a calitatii | ||
1310 Evaluarea programului pentru calitate |
Program de asigurare si de imbunatatire a calitatii |
|
1311 Evaluari interne |
Evaluari interne |
|
1312 Evaluari externe |
Evaluari externe |
|
1320 Rapoarte privind programul pentru calitate |
Rapoarte privind programul pentru calitate |
|
1330 Folosirea mentiunii "Efectuat conform normelor" |
Audituri "efectuate conform Normelor" |
|
1340 Indicarea neconformitatii | ||
2000 Gestionarea auditului intern |
Gestionarea auditului intern |
|
2010 Planificare |
Planificare |
|
Luarea in calcul a riscurilor privind elaborarea programului de audit |
||
2010.A1 | ||
2010.C1 |
||
2020 Comunicare si aprobare |
Comunicare si aprobare |
|
2030 Gestionarea resurselor |
Gestionarea resurselor |
|
Cerintele SEC privind independenta auditorilor externi pentru prestarea de servicii de audit intern |
||
2040 Reguli si proceduri |
Reguli si proceduri |
|
2050 Coordonare |
Coordonare |
|
Achizitionarea de servicii de audit extern |
||
2060 Rapoarte date Consiliului si directiei generale |
Rapoarte date Consiliului si directiei generale |
|
2100 Natura activitatilor |
Natura activitatilor |
|
Securitatea informatiilor |
||
Rolul auditului intern in procesul de management al riscurilor |
||
Rolul auditului intern in absenta procesului de management al riscurilor |
||
Evaluarea programelor de "compliance" (conformitate cu reglementarile) - aspecte juridice |
||
2110 Managementul riscurilor |
Evaluarea procesului de management al riscurilor |
|
2110.A1 | ||
2110.A2 |
||
2110.C1 | ||
2110.C2 |
||
2120 Control |
2120.A1 |
2120.A1-1 Evaluarea proceselor de control intern Si raportarea acestora |
2120.A1-2 Utilizarea auto-evaluarii controalelor in vederea evaluarii pertinentei proceselor de control |
||
2120.A2 | ||
2120.A3 |
||
2120.A4 |
2120.A4-1 Criterii de control |
|
2120.C1 | ||
2120.C2 |
||
2130 Guvernarea intreprinderii |
2130.A1 |
Rolul auditului intern si al auditorului intern in ceea ce priveste cultura etica |
2130.C1 | ||
2200 Planificarea misiunii |
Consideratii privind planificarea |
|
2201 Consideratii privind planificarea |
2201.C1 | |
2210 Obiectivele misiunii |
Obiectivele misiunii |
|
2210.A1 |
2210.A1-1 Evaluarea riscurilor in planificarea misiunii |
|
2210.A2 | ||
2210.C1 |
||
2220 Domeniul misiunii | ||
2220.A1 |
||
2220.C1 |
||
2230 Resurse alocate misiunii |
Resurse alocate misiunii |
|
2240 Programul de lucru al misiunii |
Programul de lucru al misiunii |
|
2240.A1 |
2240.A1-1 Aprobarea programelor de lucru |
|
2240.C1 | ||
2300 Realizarea misiunii | ||
2310 Identificarea informatiilor |
Identificarea informatiilor |
|
2320 Analiza si evaluare |
Analiza si evaluare |
|
2330 Documentarea informatiilor |
Documentarea informatiilor |
|
2330.A1 |
2330.A1-1 Controlul dosarelor de audit |
|
2330.A1-2 Acces la dosarele de audit - aspecte juridice |
||
2330.A2 |
2330.A2-1 Pastrarea dosarelor |
|
2330.C1 | ||
2340 Supervizarea misiunii |
Supervizarea misiunii |
|
2400 Comunicarea rezultatelor |
Comunicarea rezultatelor - aspecte juridice |
|
Continutul comunicarii |
||
2410 Continutul comunicarii |
2410.A1 | |
2410.A2 |
||
2410.C1 |
||
2420 Calitatea comunicarii |
Calitatea comunicarii |
|
2421 Erori si omisiuni |
Erori si omisiuni |
|
2430 Indicatii de neconformitate cu normele | ||
2440 Difuzarea rezultatelor |
2440.A1 |
Difuzarea rezultatelor |
Difuzarea rezultatelor in exteriorul entitatii |
||
2440.C1 | ||
2440.C2 |
||
2500 Supravegherea actiunilor de evolutie |
Supravegherea actiunilor de evolutie |
|
2500.A1 |
2500.A1-1 Procesul de supraveghere a misiunii |
|
2500.C1 | ||
2600 Acceptarea riscurilor de catre directia generala |
Acceptarea riscurilor de catre directia generala |
Acest tabel evidentiaza urmatorul fapt: nu toate normele sunt insotite de MPA. In paginile urmatoare nu am reluat decat normele asociate MPA. Pentru a avea textul complet al normelor, va invitam sa consultati partea a III-a a prezentei lucrari.
(*) traducerea acestei MPA se gaseste in anexa care urmeaza sectiunii Practice Advisory in limba engleza. O MPA specifica contextului francez este in curs de elaborare, in colaborare cu Comisia Operatiunilor Bursiere (COB) si cu Compania Nationala a Comisarilor de Conturi (CNCC).
Independenta in cadrul entitatii
Responsabilul auditului intern trebuie sa depinda de un nivel ierarhic care sa permita auditorilor interni sa-si exercite responsabilitatile.
MPA 1110-1
Independenta in cadrul entitatii
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii pentru a-si aprecia independenta in cadrul entitatii. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate in momentul efectuarii unei astfel de evaluari. Aceasta are drept scop doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. auditorii interni trebuie sa beneficieze de sprijinul conducerii si al Consiliului pentru a obtine cooperarea clientilor de audit si pentru a-si exercita activitatea fara interventii
2. responsabilul auditului intern trebuie sa raspunda ierarhic unei persoane din cadrul entitatii cu competenta suficienta in promovarea independentei, in asigurarea unui domeniu cat mai larg al activitatii de audit, unei desfasurari adecvate a comunicarilor din cadrul misiunilor de consultanta/consiliere care sa aiba suficienta autoritate pentru independenta, si comunicarilor din cadrul misiunilor si actiunilor corespunzatoare care decurg din recomandarile emise.
3. in mod ideal, responsabilul auditului intern trebuie sa raporteze , pe plan functional, Directorului General al entitatii.
4. responsabilul auditului intern trebuie sa poata comunica direct cu Consiliul. O comunicare regulata cu Consiliul contribuie la asigurarea independentei sale si va constitui un mijloc pentru consiliu si pentru responsabilul auditului intern de a se informa reciproc asupra problemelor de interes comun.
5. comunicarea directa este atunci cand responsabilul auditului intern asista si participa in mod regulat la adunarile Consiliului, cu privire la responsabilitatile lor de supervizare privind auditul, raportarea financiara, conducerea si controlul. Prezenta si participarea activa a responsabilului auditului intern la aceste reuniuni permit un schimb de informatii in ceea ce priveste planificarea si activitatile auditului intern. Responsabilul auditului intern trebuie sa se intalneasca in particular cu Consiliul, cu comitetul de audit sau cu orice alt organ competent cu drept de deliberare, cel putin o data pe an.
6. independenta este favorizata atunci cand consiliul intervine in numirea si inlocuirea responsabilului auditului intern.
1110.A1
Auditul intern nu trebuie sa fie supus nici unei imixtiuni in ceea ce priveste definirea sferei sale de interventie, realizarea activitatii si comunicarea rezultatelor.
MPA 1110.A1-1
Justificarea cererilor de informatii
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii atunci cand li se cere sa isi justifice cererile de informatii. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Aceasta are drept scop doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
Auditorului intern i se cere uneori de catre client sau de alte parti sa explice importanta documentului solicitat in efectuarea misiunii sale. Obligativitatea de a justifica sau nu in cursul misiunii necesitatea anumitor documente trebuie sa fie apreciata de la caz la caz. Prezenta unor nereguli semnificative se poate traduce prin prezenta unui mediu mai putin deschis decat acela care permite o cooperare normala intre auditor si client . Totusi, responsabilul auditului intern este cel care trebuie sa emita o judecata in acest sens, in functie de circumstante.
Obiectivitate individuala
Auditorii interni trebuie sa aiba o atitudine impartiala si lipsita de prejudecati si sa evite conflictele de interese.
MPA 1120-1
Obiectivitate individuala
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii pentru a-si aprecia gradul de obiectivitate. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Aceasta are drept scop doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. obiectivitatea este o atitudine mentala de independenta pe care auditorii trebuie sa o mentina in realizarea misiunilor lor. Auditorii interni nu trebuie sa si subordoneze propria judecata, in ceea ce priveste auditul, judecatii altor persoane.
Vom completa aceasta definitie a obiectivitatii mentionand faptul ca este imperios necesar sa se foloseasca abordari si metode riguroase si deci obiective, asa cum sunt prezentate in normele seriei 2100
2. obiectivitate cere ca auditorii interni sa-si realizeze misiunile astfel incat acestia sa aiba intr-adevar incredere in rezultatul muncii lor si sa nu existe nici un compromis semnificativ privind calitatea. Auditorii interni nu trebuie sa fie constransi in situatii in care s-ar simti incapabili sa emita judecati profesionale obiective
3. numirile in cadrul echipei trebuie efectuate astfel incat sa se evite orice conflict de interese sau lipsa de impartialitate potentiale sau reale. Responsabilul auditului intern trebuie sa fie informat cu privire la eventualele conflicte de interese sau influenta care ar putea afecta independenta auditorilor. Se recomanda o rotatie regulata a auditorilor interni in cadrul echipei.
4. rezultatele aferente activitatilor de audit trebuie sa fie examinate inainte de comunicarea concluziilor auditului,pentru a oferi asigurarea ca activitatea a fost efectuata cu obiectivitate.
5. acceptarea de catre auditorul intern a unei sume de bani sau a unui cadou din partea unui angajat, client, furnizor sau asociat este contrara eticii. Acest tip de comportament poate lasa sa se inteleaga ca obiectivitatea auditorului a fost afectata, fie ca este vorba de misiuni in desfasurare, fie de misiuni viitoare a auditorului. Natura misiunii nu poate sub nici o forma sa justifice acceptarea de sume de bani sau de cadouri. Acceptarea de articole publicitare (precum stilouri, calendare sau esantioane) puse la dispozitia publicului si angajatilor si de o valoare minima nu ar trebui sa afecteze judecata profesionala a auditorilor interni. Acestia din urma trebuie sa raporteze fara intarziere superiorului lor ierarhic orice situatie in care li s-au oferit sume de bani sau cadouri importante.
6. activitatea de audit intern trebuie sa adopte o politica de angajament prin evitarea conflictelor de interese sau a oricaror activitati care ar putea rezulta intr-un posibil conflict de interese.
Prejudicii aduse independentei si obiectivitatii
Daca obiectivitatea sau independenta auditorilor interni sunt compromise in fapt sau chiar in aparenta, partile interesate trebuie sa fie informate de acest lucru cu exactitate.
Forma acestei comunicari va depinde de natura prejudiciului adus independentei.
MPA 1130-1
Prejudicii aduse independentei sau obiectivitatii
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii in momentul examinarii prejudiciilor aduse independentei si obiectivitatii. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Aceasta are drept scop doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. auditorii interni trebuie sa semnaleze responsabilului auditului intern existenta sau probabilitatea unui conflict de interese sau unei impartialitati . Responsabilul auditului intern trebuie in acest caz sa inlocuiasca auditorii respectivi.
2. o limitare a domeniului de aplicabilitate este o restrictie impusa activitatii de audit intern care impiedica indeplinirea obiectivelor acestuia si planificare sa. Limitarile de acest tip pot, printre altele, sa restranga:
domeniul de aplicabilitate definit in Carta;
accesul auditului intern la dosare, personal si la bunurile fizice necesare realizarii misiunilor;
programul de lucru al activitatii de audit aprobate ;
aplicarea procedurilor necesare misiunii;
bugetul si planul de resurse umane care au fost aprobate.
3. o limitare a domeniului de aplicabilitate si eventualele sale repercusiuni trebuie sa fie comunicate, de preferinta in scris, Consiliului,4. responsabilul auditului intern trebuie sa decida daca este bine sa informeze Consiliul, asupra restrictiilor care le-au fost deja comunicate si pe care le-au acceptat. Aceasta informare se poate dovedi necesara mai ales in cazul in care au avut loc schimbari in cadrul entitatii, Consiliului sau conducerii .
1130.A1
Auditorii interni trebuie sa evite sa auditeze operatiuni speciale de care au fost responsabili in trecut. Obiectivitatea unui auditor este considerata a fi afectata atunci cand acesta realizeaza o misiune de asigurare pentru o activitate de care a fost responsabil, in cursul anului precedent.
MPA 1130.A1-1
Auditarea operatiunilor de care auditorii interni au fost responsabili in trecut
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii atunci cand li se cere sa auditeze o activitate de care au fost responsabili in trecut. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie considerate intr-o astfel de evaluare . Aceasta are drept scop doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. auditorii interni nu trebuie sa exercite responsabilitati operationale. in cazul in care conducerea incredinteaza ocazional auditorilor interni sarcini care nu au legatura cu activitatea de audit, trebuie sa fie clar specificat ca acestia nu mai exercita functii de audit intern. In plus, obiectivitatea este considerata a fi afectata atunci cand auditorii interni realizeaza o misiune de asigurare pentru o activitate in cadrul careia acestia au avut o autoritate sau o responsabilitate in cursul anului precedent. In momentul comunicarii rezultatelor auditului trebuie sa tinem cont de acest prejudiciu adus obiectivitatii.
Daca auditorii interni sunt insarcinati sa execute activitati care nu tin de activitatea de audit si care poate sa le afecteze obiectivitatea, precum realizarea de comparari cu datele de la banci, responsabilul auditului intern trebuie sa informeze conducerea generala si Consiliul ca aceste activitati nu intra in sfera unei activitati de asigurare de audit si in consecinta nu vor exista la concluzii de audit.
In plus, atunci cand auditul intern exercita responsabilitati operationale, se recomanda sa se acorde o vigilenta deosebita si asigurarea obiectivitatii auditorilor in cazul in care se intreprinde ulterior o misiune de asigurare in domeniul respectiv. Obiectivitatea auditorilor interni este considerata a fi afectata atunci cand acestia asigura auditul unei activitati de care au fost responsabili in cursul anului precedent. Aceste imprejurari trebuie sa fie clar precizate in cursul difuzarii rezultatelor unui audit efectuat intr-un domeniu in care un auditor a exercitat responsabilitati operationale.
2. daca activitatile incredintate presupun exercitarea unei autoritati operationale, obiectivitatea auditului este considerata a fi afectata pentru activitatea respectiva
3. membrii personalului transferati sau numiti temporar in cadrul serviciului de audit intern nu trebuie sa participe la auditarea activitatii lor precedente, inainte de a lasa sa treaca un interval de timp rezonabil (cel putin un an). Se considera, intr-adevar, ca astfel de participari le afecteaza obiectivitatea si trebuie sa se aiba in vedere acest lucru in cadrul supervizarii activitatilor de audit si al difuzarii rezultatelor acestora.
4. obiectivitatea auditorului intern nu este compromisa atunci cand acesta recomanda aplicarea unor norme de control pentru sistemele si procedurile de examinare inainte ca acestea sa fie implementate . In schimb, se considera ca obiectivitatea auditorului este afectata daca acesta concepe, aplica, redacteaza procedurile aferente sau exploateaza astfel de sisteme.
5. realizarea ocazionala de catre auditorii interni a activitatilor care nu sunt activitati de audit nu le compromite neaparat independenta, in masura in care acestea sant mentionate clar in raportul de audit. Totusi conducerea si auditorii interni trebuie sa urmareasca indeaproape ca aceste activitati sa nu le afecteze obiectivitatea
MPA 1130.A1-2
Responsabilitati exercitate de auditul intern in baza altor functii de non audit
Natura acestei Modalitati Practice de Aplicare:
Urmatoarea Modalitate Practica de Aplicare se datoreaza auditorilor interni care trebuie sa decida daca accepta sau nu sa exercite alte functii operationale decat cele de audit. Acceptarea unor astfel de responsabilitati poate compromite independenta si obiectivitatea auditorului si trebuie pe cat posibil evitata. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate in vederea evaluarii acestor responsabilitati sau functii.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. unii auditori interni primesc sau accepta alte functii decat cele de audit din diverse motive pe care conducerea entitatii le considera logice. Auditorii interni sunt din ce in ce mai des solicitati sa-si asume functii si responsabilitati care le-ar putea compromite independenta sau obiectivitatea. Entitatile, fie ca nu fac apel public la economisire, trebuie sa corespunda exigentelor crescande de eficienta si eficacitate si toate acestea in conditiile reducerii resurselor de care beneficiaza; unii auditori interni se vad pusi in situatia, la solicitarea conducerii entitatii, de a-si asuma functii care fac periodic obiectul unui audit intern.
2. independenta si obiectivitatea auditorului intern risca sa fie afectate atunci cand auditul intern sau un auditor intern isi asuma o functie pe care ar putea sa o auditeze sau pe care conducerea intentioneaza sa le-o atribuie. Pentru a aprecia impactul asupra independentei si obiectivitatii sale, auditorul intern trebuie sa tina cont de urmatorii factori:
principiile enuntate de Codul Deontologic si de Normele pentru Practica Profesionala a auditului intern;
estimarile partilor implicate in entitate, in special estimarile actionarilor sai, ale Consiliului, ale comitetului de audit, ale conducerii, ale legiuitorului, ale instantelor publice si ale celor de reglementare si ale asociatilor de interes general;
dispozitiile si /sau restrictiile prevazute de carta auditului intern;
informatiile a caror comunicare este obligatorie conform Normelor;
indeplinirea ulterioara, in cadrul programului de audit, a functiilor sau responsabilitatilor acceptate de catre auditorul intern.
3. pentru a stabili daca acestia pot accepta responsabilitatea unei alte functii decat cea de audit, auditorii interni trebuie sa tina cont de urmatorii factori:
conform Codului Deontologic si Normelor IIA, auditul intern trebuie sa fie independent iar auditorii interni trebuie sa-si indeplineasca misiunea cu obiectivitate;
auditorii interni trebuie, daca este posibil sa evite sa exercite alte functii decat cele de audit, functii care periodic fac obiectul unui audit intern;
daca nu este posibil, este bine ca partile interesate sa fie informate ca aceasta situatie ar putea aduce prejudicii independentei si obiectivitatii auditorului, natura informatiilor ce trebuie comunicate depinzand de gravitatea prejudiciului adus;
se considera ca obiectivitatea unui auditor este afectata atunci cand acesta realizeaza o misiune de asigurare pentru o activitate de care a fost responsabil in cursul anului precedent;
atunci cand conducerea incredinteaza in mod ocazional auditorilor interni activitati care nu tin de audit, trebuie sa se precizeze clar ca acestia nu intervin in calitate de auditori;interni
estimarile partilor implicate in entitate, inclusiv dispozitiile legale sau de reglementare trebuie sa fie evaluate tinand cont de riscul potential de non-obiectivitate;
in cazul in care carta auditului intern contine restrictii sau clauze limitative privind atribuirea altor functii decat cele de audit auditorilor interni, se recomanda sa fie mentionate ca aceste restrictii si discutate cu conducerea. Daca aceasta din urma insista sa incredinteze aceste functii unui auditor, el va informa si va consulta comitetul de audit sau orice alt organ de conducere corespunzator cu drept de deliberare in acest domeniu. In lipsa unei prevederi exprese cartei, se recomanda sa se ia in considerare liniile directoare prezentate mai jos, care sunt subordonate clauzelor cartei.
Evaluare - rezultatele evaluarii trebuie sa fie analizate impreuna cu conducerea, cu comitetul de audit si/sau cu ceilalti actionari competenti. Se recomanda sa se examineze un anumit numar de aspecte, uneori interdependente, si anume:
sa se aprecieze importanta functiei operationale pentru entitate (ca venituri , cheltuieli, reputatie si influenta);
sa se evalueze durata misiunii incredintate si sfera responsabilitatilor;
sa se stabileasca daca principiul separarii sarcinilor este adecvat ;
sa se tina cont, in cursul comunicarii rezultatelor raportului de audit, de posibilele prejudicii aduse obiectivitatii sau independentei auditorului, in fapt sau in aparenta.
Auditarea functiei si comunicarea informatiilor - in momentul in care auditul intern exercita responsabilitati operationale intr-un domeniu acoperit de planul de audit, auditorul trebuie sa aiba in vedere mai multe linii de actiune
auditul poate fi realizat de o societate terta contractata , de auditori externi sau de serviciul de audit intern. In primele doua cazuri, riscul legat de lipsa de obiectivitate este redus prin apelarea la auditori externi. In ultimul caz, obiectivitatea ar fi afectata;
auditorii care exercita responsabilitati operationale nu trebuie sa participe la auditarea operatiunilor de care sunt responsabili. In masura in care este posibil, auditorii care efectueaza evaluarea trebuie sa fie monitorizati si sa raporteze rezultatele evaluarii persoanelor a caror independenta si obiectivitate nu sunt prejudiciate ;
se recomanda sa se mentioneze responsabilitatile operationale exercitate de auditor in cadrul functiei in cauza, importanta acestor operatiuni pentru entitate (ca venituri , cheltuieli sau functie de orice alt criteriu relevant ), precum si legatura existenta intre persoanele care au efectuat auditarea functiei si auditorul implicat;
se recomanda sa se indice responsabilitatile operationale ale auditorului in raportul de audit aferent si in prezentarea standard transmisa de auditor comitetului de audit sau oricarui alt organ de conducere.
1200 - Competenta si constiinta profesionala
Misiunile trebuie indeplinite cu competenta si constiinciozitate profesionala
MPA 1200-1
Competenta si constiinciozitate profesionala
Natura acestei modalitati practice de aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii in ceea ce priveste realizarea misiunilor. Prezenta MPA nu are ca scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea modalitatilor practice de aplicare este facultativa.
1210 - Competenta
Auditorii interni trebuie sa detina cunostintele, priceperea si celelalte competente necesare exercitarii responsabilitatii individuale. Auditul intern trebuie sa detina sau sa dobandeasca in mod colectiv cunostintele, priceperea si celelalte competente necesare exercitarii responsabilitatilor sale.
MPA 1210-1
Competenta
Natura acestei modalitati practice de aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii in momentul examinarii competentei lor. Prezenta MPA nu are ca scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea modalitatilor practice de aplicare este facultativa.
1210.A1
Responsabilul auditului intern trebuie sa obtina sprijinul avizul si asistenta persoanelor calificate daca auditorii interni nu detin cunostintele, priceperea si celelalte competente necesare pentru a-si realiza partial sau total misiunea.
MPA 1210.A1-1
Recurgerea la prestatorii externi de servicii
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii in momentul in care intentioneaza sa recurga la prestatori de servicii a caror responsabilitate este aceea de a asista activitatea de audit intern. Prezenta MPA nu are ca scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea modalitatilor practice de aplicare este facultativa.
diploma, certificare sau alt titlu care sa ateste competenta prestatorului de servicii in domeniul in cauza;
aderarea prestatorului de servicii la o entitate, asociatie profesionala competenta si aderarea la Codul Deontologic al acestei entitati
reputatia prestatorului de servicii. Luarea in calcul al acestui element poate implica consultarea unor terti care apeleaza de obicei la activitatile prestatorului;
experienta prestatorului de servicii in tipul de activitati care urmeaza a-i fi incredintate;
nivelul de studii si de formare profesionala a prestatorului de servicii in domeniul aferent misiunii in cauza;
cunostintele si experienta prestatorului de servicii in sectorul de activitate al entitatii;
Aceste calificari sunt cerute nu doar de asociatul care semneaza contractul ci si de responsabilul pe care acesta il deleaga la fata locului.
posibilul interes financiar detinut de prestatorul de servicii in cadrul entitatii;
legatura personala sau profesionala intre prestatorul de servicii si consiliul, conducerea generala sau ceilalti membri ai entitatii;
eventualele legaturi stabilite in trecut intre prestatorul de servicii si organizatia sau activitatile examinate;
sfera celorlalte servicii recurente prestate intr-o entitate de prestatorul de servicii;
sumele de bani sau alte avantaje obtinute, daca este cazul, de catre prestatorul de servicii.
In Franta, Codul Deontologic Profesional al Companiei Nationale a Comisarilor de Conturi (CNCC).
Daca auditorii externi actioneaza in fapt sau aparent ca membri ai conducerii generale, ai conducerii sau ca angajati ai entitatii, atunci independenta lor este compromisa. In plus, este posibil ca auditorii externi sa furnizeze alte servicii entitatii, de exemplu in ceea ce priveste fiscalitatea sau consultanta/consiliere Independenta trebuie sa fie apreciata in functie de gama completa a serviciilor prestate pentru entitate.
obiectivele si sfera misiunii;
punctele speciale care vor trebui acoperite in rapoartele predate ca urmare a misiunii;'
accesul la documentele, persoanele si bunurile materiale implicate;
informatiile privind ipotezele si procedurile care trebuie folosite;
proprietatea si pastrarea documentelor de lucru intocmite in cadrul misiunii daca este cazul;
confidentialitatea informatiilor obtinute in cursul misiunii si restrictiile pe care acestea le implica
1210.A2
Auditorul intern trebuie sa detina cunostinte suficiente pentru a identifica indiciile unei fraude, dar aceasta nu inseamna ca trebuie sa aiba competenta unei persoane a carei principala responsabilitate este identificarea detectarea si investigarea fraudelor.
MPA 1210.A2-1
Identificarea fraudei
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii in ceea ce priveste identificarea fraudei. Prezenta MPA nu are ca scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea modalitatilor practice de aplicare este facultativa.
Mentionam cateva exemple de frauda in beneficiul entitatii:
Iata cateva exemple:
acceptarea mitei sau a "micilor atentii"
deturnarea, in beneficiul unui angajat sau a unui tert, a unei operatiuni profitabile care in conditii normale ar genera beneficii entitatii;
deturnarea de fonduri sau de bunuri si falsificarea registrelor contabile pentru disimula actiunea, astfel incat detectarea sa fie dificila;
omiterea intentionata sau interpretarea inselatoare a evenimentelor sau a datelor;
facturarea serviciilor sau a bunurilor care nu au fost furnizate entitatii.
mediul organizational stimuleaza constientizarea si sensibilizarea in ceea ce priveste necesitatea controlului intern;
sunt stabilite scopuri si obiective realiste in cadrul entitatii;
exista reguli scrise (de ex. codul de conduita) care sa descrie activitatile interzise si masurile care trebuie luate in cazul in care regulile stabilite sunt incarcate;
sunt stabilite si mentinute reguli de autorizare pentru fiecare operatiune sau tranzactie;
sunt dezvoltate politici, practici, proceduri, rapoarte si alte mijloace in vederea monitorizarii activitatilor si a asigurarii protectiei bunurilor si resurselor entitatii, mai ales pentru domeniile cu grad mare de risc;
canalele de comunicatie permit conducerii sa obtina date adecvate si fiabile;
sunt necesare recomandari pentru stabilirea sau imbunatatirea din punct de vedere al costurilor sistemelor de control intern eficiente in vederea descurajarii fraudelor.
sa cerceteze si sa evalueze existenta si importanta eventualelor complicitati din cadrul entitatii . Aceasta etapa este esentiala pentru a evita ca auditorul intern sa furnizeze informatii persoanelor care ar putea fi implicate in comiterea fraudei sau ca acesta sa obtina date eronate;
sa determine cunostintele, priceperea si celelalte competente necesare pentru a efectua investigatia in mod eficient . Pentru a se asigura ca auditul va fi realizat de o echipa care dispune de calificarile tehnice necesare, trebuie sa se efectueze o evaluare a aptitudinilor si a priceperii auditorilor interni si ale specialistilor care vor participa la audit. Aceasta evaluare va putea sa aiba la baza certificate profesionale, diplome , reputatia si asigurarea ca fiecare membru al echipei este independent de activitatile sau persoanele care fac obiectul investigatiei sau de orice angajat al entitatii;
sa defineasca proceduri care trebuie urmate in vederea descoperirii autorilor fraudei, a intinderii acesteia, a cauzelor si a tehnicilor de frauda folosite;
sa-si efectueze activitatile pe parcursul investigatiei in acord cu conducerea, consilierii juridici si cu orice alt specialist considerat a fi util in timpul investigatiei;
sa cunoasca drepturile autorilor presupusi ai fraudei ale personalului care face obiectul investigatiei, precum si reputatia entitatii.
de a determina daca masurile de control intern trebuie aplicate sau intarite in vederea diminuarii riscurilor viitoare de comitere a fraudelor;
de a defini testele de audit care permit detectarea pe viitor a riscurilor similare de frauda;
de a mentine un grad suficient de cunoastere a riscurilor de frauda si a mecanismelor acestora pentru a putea fi capabili de a le identifica in viitor.
in cazul in care auditul intern a detectat o frauda importanta cu un grad de certitudine rezonabil, conducerea generala si Consiliul trebuie sa fie instiintate imediat dupa aceasta;
rezultatele investigarii fraudei pot indica faptul ca frauda a avut deja un efect defavorabil important si neobservat asupra situatiei financiare si a rezultatelor de exploatare a entitatii publicate in anii anteriori. Auditorii interni trebuie sa informeze conducerea generala si Consiliul cu privire la orice descoperire de acest fel;
un raport scris trebuie realizat, imediat dupa finalizarea auditului. Acesta trebuie sa contina, toate constatarile, concluziile, recomandarile si toate masurile corective intreprinse;
proiectul de raport asupra fraudei trebuie sa fie supus unei examinari a consilierului juridic. in cazul in care auditorul intern doreste sa invoce secretul profesional, trebuie sa stabileasca daca e bine sau nu sa transmita raportul consilierului juridic.
Norma face aici referire la dreptul american conform caruia "client attorney privilege" permite confidentialitatea informatiilor, inclusiv pentru puterea judiciara, incredintandu-le, in conditii speciale, unui avocat spre pastrare.
sa detina cunostinte suficiente referitoare la frauda pentru a putea detecta eventualele elemente care indica faptul ca o frauda ar fi putut fi comisa. In consecinta, auditorul intern trebuie sa fie capabil sa identifice elementele constitutive ale unei fraude, tehnicile utilizate si sa cunoasca tipurile de frauda care s-ar putea produce in activitatile pe care le auditeaza;
sa fie vigilent la situatiile in care sistemele de control intern prezinta insuficiente. In situatia in care sunt identificate puncte slabe ale controlului intern, auditorii interni trebuie sa desfasoare activitati suplimentare, inclusiv examinari in vederea identificarii altor indicii de frauda. Prin indiciu se intelege, de exemplu, efectuarea unor tranzactii neautorizate, nerespectarea controalelor, derogarea, nefondata , de la regulile de stabilire a preturilor, si pierderile de exploatare exagerat de mari. Auditorii interni trebuie sa aiba in vedere faptul ca prezenta mai multor indicii, in acelasi moment, creste probabilitatea ca o frauda sa fi fost comisa;
sa evalueze indiciile unei fraude si sa decida daca sunt necesare alte masuri sau daca trebuie sa se recomande o ancheta;
sa instiinteze autoritatile competente din cadrul entitatii, daca auditorii interni considera ca prezumtiile de frauda sunt suficiente pentru a recomanda o ancheta.
MPA 1210.A2-2
Responsabilitatea privind detectarea fraudei
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii in ceea ce priveste detectarea fraudei. Prezenta MPA nu are ca scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea modalitatilor practice de aplicare este facultativa.
Constiinta profesionala
Auditorii interni trebuie sa-si exercite activitatea cu constiinciozitate si priceperea la care ne putem astepta de la un auditor intern prudent si competent. Constiinciozitatea profesionala nu implica infailibilitatea.
MPA 1220-1
Constiinciozitate profesionala
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii atunci cand isi evalueaza constiinta profesionala. Prezenta MPA nu are ca scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea modalitatilor practice de aplicare este facultativa.
Constiinta profesionala se refera la constiinciozitatea si priceperea pe care ar trebui sa le detina un auditor intern suficient de prudent si competent. Constiinta profesionala trebuie sa tina cont de complexitatea misiunii realizate. Actionand cu constiinciozitate profesionala corespunzatoare, auditorii interni vor tine cont de riscurile de a exista greseli intentionate, erori sau omisiuni, ineficienta , risipa si conflicte de interese. Va trebui ca auditorii sa fie deosebit de atenti in ceea ce priveste situatiile si activitatile in care exista o probabilitate mai mare de producere a unor iregularitati. In fine, ei trebuie sa detecteze existenta unor controale ineficiente si sa faca recomandari cu privire la promovarea respectarii procedurilor si a practicilor acceptabile.
Constiinta profesionala implica constiinciozitatea si priceperea rezonabile necesare pentru executarea misiunii si nu infailibilitatea sau performantele exceptionale. Acest lucru inseamna ca auditorul efectueaza verificari si controale suficient de aprofundate si nu examinare detaliata si a tuturor operatiunilor. In consecinta, auditorul intern nu poate oferi asigurarea absoluta ca nu exista nici o anomalie sau iregularitate. Totusi, posibilitatea unor iregularitati sau neconformitati importante trebuie avuta in permanenta in vedere atunci cand auditorul intern intreprinde o misiune de audit.
Formarea profesionala continua
Auditorii interni trebuie sa-si dezvolte cunostintele, priceperea si alte competente printr-o formare profesionala continua.
MPA 1230-1
Formarea profesionala continua
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii in ceea ce priveste formarea profesionala continua. Prezenta MPA nu are ca scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea modalitatilor practice de aplicare este facultativa.
auditorii interni au responsabilitatea de a-si actualiza cunostintele. Ei trebuie sa se informeze cu privire la progresele facute si la evolutiile actuale in domeniul normelor, procedurilor si tehnicilor de audit. Formarea continua poate fi dobandita prin aderarea si participare la asociatiile profesionale, prin asistarea la conferinte, seminarii, sesiuni de studii si prin participarea la actiuni interne de formare, precum si din participarea la proiecte de cercetare.
este indicat ca auditorii interni sa obtina o certificare care sa le ateste competenta, cum ar fi titlul de auditor intern Autorizat (CIA, Certified internal auditor), sau orice alt titlu eliberat de IFACI in numele IIA.
auditorii interni certificati trebuie sa urmeze o formare profesionala continua adecvata pentru a putea indeplini conditiile pe care le implica certificarile obtinute .
auditorilor interni care nu sunt inca certificati li se recomanda sa urmeze un program de formare adaptat in vederea obtinerii cerificarii.
1300 - PROGRAM DE ASIGURARE Sl DE
IMBUNATATIRE A CALITATII
RESPONSABILUL
AUDITULUI INTERN TREBUIE SA ELABOREZE Sl SAMENTINA UN PROGRAM DE ASIGURARE Sl DE IMBUNATATIRE
ACALITATII PRIVIND TOATE ASPECTELE AUDITULUI INTERN PERMITANDO MONITORIZARE
CONTINUA AL EFICACITATII
ACESTUIA.PROGRAMULTREBUIE SA FIE CONCEPUT CU UN DUBLU SCOP: SA ATUTE AUDITUL
INTERN SA ADUCA UN PLUS DE VALOARE OPERATIUNILOR
ENTITATII Sl SA LE IMBUNATATEASCA, Sl SA ASIGURE CONFORMITATEA ACESTEIA CU NORMELE Sl CODUL
DEONTOLOGIC
Controlul permanent al eficacitatii auditului intern presupune o definire clara a obiectivelor sale care trebuie precizate in carta.
'Asigurarea calitatii' implica satisfacerea asteptarilor diferitelor parti implicate in auditul intern cum ar fi: conducerea generala, Consiliul, auditorii externi, si autoritatile publice sau private de tutela si de control. Este asadar absolut necesara identificarea acestora si cunoasterea asteptarilor lor. Carta auditului intern trebuie sa indice marile orientari in acest domeniu.
Asteptarile partilor implicate pot fi explicite sau implicite. Daca nu sunt exprimate formal, se poate considera ca un serviciu de audit intern care respecta normele si codul deontologic si care aduce un plus de valoare entitatii satisface asteptarile lor implicite.
Programul de asigurare si de imbunatatire a calitatii trebuie bineinteles sa fie conceput pentru a satisface asteptarile partilor implicate, dar si pentru ca acestea din urma sa inteleaga faptul ca asteptarile le sunt satisfacute. Este asadar important sa se comunice cu privire la rezultatele examinarilor interne si externe cu scopul intaririi increderii pe care partile implicate o pot avea in activitatea si rezultatele auditului intern, precum si pentru a avea deplina siguranta ca organizatia este sub control.
Asteptarile si partile implicate pot evolua in timp, !a fel ca si normele pentru practica profesionala a auditului intern. De aceea programul de asigurare si imbunatatire a calitatii trebuie sa tina cont de aceste evolutii si in consecinta sa se adapteze la acestea. Responsabilul auditului intern ar avea de castigat daca s-ar inspira din referentialele generice de management al calitatii cum ar fi seria ISO 9000 sau modelul EFQM. 1310-
Evaluari ale programului de asigurare a calitatii
Auditul
intern necesita adoptarea unui proces care sa permita
monitorizarea si evaluarea eficacitatii
globale a programului
pentru calitate. Acest proces trebuie
sa includa atat evaluari interne
cat si evaluari externe.
MPA
1310-1
Program de Asigurare si imbunatatire a Calitatii
Aceste evaluari sunt destinate atat
Responsabilului auditului intern ca punct de plecare pentru imbunatatirea calitatii auditului intern, cat si
Partilor implicate in auditul intern care se pot baza pe rezultatul evaluarilor pentru a intarii increderea pe care acestea o acorda auditului intern.
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii atunci cand elaboreaza sau evalueaza programele pentru calitate. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
implementarea programelor pentru calitate - Responsabilul auditului intern are obligatia de a se asigura de aplicarea procesului care permite sa ofere diferitelor parti implicate in auditul intern asigurarea rezonabila ca acest serviciu:
respecta Carta sa, care trebuie sa fie in conformitate cu Normele pentru Practica Profesionala a auditului intern si cu Codul Deontologic;
functioneaza in mod eficace;
contribuie, din punct de vedere al partilor implicate, la crearea unui plus de valoare si la imbunatatirea functionarii entitatii.
Aceste procese trebuie sa includa o supervizare corespunzatoare, evaluari interne periodice si o monitorizare continua a asigurarii calitatii, precum si evaluari externe periodice.
2. Monitorizarea programelor pentru calitate - Aceasta monitorizare trebuie sa cuprinda o masurare si o analiza continua a indicatiilor de performanta, cum ar fi ciclul de auditare a misiunilor si procentul recomandarilor acceptate.
3. Evaluarea programelor pentru calitate - Obiectul acestei evaluari este acela de a aprecia calitatea activitatilor de audit intern si de a emite recomandari in vederea imbunatatirii acestora. Evaluarea programelor pentru calitate se bazeaza in special pe urmatoarele puncte:
respectarea Normelor si a Codului Deontologic;
caracterul adecvat al Cartei, al obiectivelor, al regulilor si procedurilor de audit intern;
contributia la procesele de management al riscurilor, de guvernare a intreprinderii si de control al entitatii;
respectarea legilor, a reglementarilor, a normelor administrative sau sectoriale in vigoare;
eficacitatea proceselor de imbunatatire continua si adoptarea celor ai bune practici;
contributia auditului intern la crearea unui plus de valoare si la imbunatatirea functionarii entitatii.
4. Imbunatatirea continua - Orice program de imbunatatire si de evaluare a calitatii trebuie sa cuprinda un sistem de comunicare destinat sa faciliteze modificarile care trebuie sa fie aduse resurselor, tehnologiei, proceselor si procedurilor implicate de operatiunile de monitorizare si evaluare.
5. Comunicarea rezultatelor - Responsabilul auditului intern trebuie sa comunice rezultatele evoluarilor externe si, daca este necesar, al evaluarilor interne ale programului pentru calitate, diferitelor parti implicate in auditul intern, cum ar fi conducerea generala, Consiliul si auditorii externi, in baza unor principii de justificare si transparent
Evaluari interne
Evaluarile interne trebuie sa includa:
MPA 1311-1
Evaluari interne
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii atunci cand efectueaza evaluari interne ale serviciului lor. Prezenta MPA nu are drept scop expunerea exhaustiva a tuturor procedurilor care trebuie puse in aplicare in cadrul acestor evaluari. Ea are ca obiect doar formularea unei serii de recomandari.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Controale continue - Evaluarile continue se bazeaza in special pe urmatoarele elemente:
supervizarea misiunilor conform modalitatilor descrise in MPA 2340-1 referitoare la Supervizarea misiunilor;
liste de control si alte procedee care ofera asigurarea ca procesele adoptate de auditul intern (de exemplu intr-un manual de audit si de proceduri) sunt urmate;
informatii furnizate, la randul lor, de clientii si partile implicate in auditul intern;
analize ale indicatorilor de performanta (de ex. frecventa ciclului de auditare si procentul recomandarilor acceptate);
bugete stabilite pe proiecte, sisteme de monitorizare a perioadelor incheiate, realizarea planului de audit, recuperarea costurilor, etc.
2. Se recomanda sa se emita concluzii privind calitatea prestatiilor si sa se efectueze o monitorizare pentru a se asigura ca s-au luat masurile adecvate de imbunatatire.
3. Evaluari interne periodice - Evaluarile periodice urmaresc respectarea Cartei, a Normelor pentru Practica Profesionala a auditului intern si a Codului Deontologic, si aprecierea eficacitatii serviciului, mai ales a capacitatii sale de a raspunde necesitatilor diferitelor parti implicate. Manualul IIA referitor la evaluarea calitatii (Quality Assessment Manual) cuprinde linii directoare si instrumente pentru evaluarile interne periodice.
4. Verificari periodice:
pot include anchete si discutii mai aprofundate cu partile implicate in auditul intern;
pot fi realizate de membrii auditului intern (autoevaluare);
pot fi realizate de auditori interni certificati CIA, sau de alti profesionisti in audit, care intervin in alte sectoare ale entitatii.
IFACI este centrul de examinare al CIA in Franta.
5. Este necesar sa se emita concluzii cu privire la calitatea prestatiilor si sa se ia orice masura corespunzatoare pentru a pune in practica imbunatatirile, in functie de necesitati, si pentru a asigura respectarea Normelor.
6. Responsabilul auditului intern trebuie sa adopte un sistem de raportare a rezultatelor examinarilor periodice care sa permita mentinerea credibilitatii serviciului si sa-i garanteze obiectivitatea. Ca regula generala, persoanele insarcinate cu evaluarile continue si periodice trebuie sa raporteze responsabilului auditului intern pe parcursul examinarilor si sa-i comunice direct rezultatele.
7. Comunicarea rezultatelor - Responsabilul auditului trebuie sa comunice persoanelor interesate din afara auditului intern, cum ar fi conducerea generala, Consiliul si auditorii externi, rezultatele evaluarilor interne si planurile de actiune care trebuie puse in practica.
Responsabilul auditului intern va aprecia oportunitatea si va adapta amploarea comunicarii rezultatelor pentru fiecare implicata. Comunicarea rezultatelor examinarilor interne de catre auditorii externi poate favoriza un climat de incredere propice cooperarii intre auditul intern si auditul extern.
Evaluari externe
Evaluarile externe, de exemplu monitorizarile privind asigurarea calitatii, trebuie sa fie realizate cel putin o data la cinci ani de catre un evoluator sau o echipa de evaluatori calificati si independenti din afara entitatii.
MPA I3I2-I
Evaluari externe
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii atunci cand solicita o evaluare externa a serviciului lor de audit intern. Prezenta MPA nu are drept scop expunerea exhaustiva a tuturor punctelor ce trebuie examinate in cadrul unei evaluari externe. Ea are ca obiect doar formularea unei serii de recomandari.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Consideratii de ordin general - Evaluarea externa a activitatii de audit intern are ca obiect aprecierea si formularea unei opinii privind respectarea Normelor pentru Practica Profesionala a auditului intern si, daca este necesar, emiterea de recomandari in vederea unei imbunatatiri. Acest tip de control poate constitui un punct important de interes pentru responsabilul auditului intern si ceilalti membri ai echipei. Doar persoanele calificate (vezi paragraful 4 de mai jos) pot efectua aceste revizuiri.
2. Incepand de la 1 ianuarie 2002, o evaluare externa trebuie sa fie realizata intr-o perioada de 5 ani . Entitatilor care au efectuat deja revizuiri externe inainte de aceasta data li se recomanda sa planifice revizuirea externa urmatoare in maximum cinci ani de la ultima revizuire.
3. Dupa finalizarea revizuirii, trebuie sa se transmita un raport formal Consiliului (asa cum este definit in glosarul anexat la norme) si conducerii generale.
4. Calificarile necesare pentru a fi evaluator extern - Evaluatorii interni inclusiv cei care valideaza operatiunile de autoevaluare (vezi paragraful 13 de mai jos), trebuie sa fie independente de entitate si de activitatea de audit intern. Echipa insarcinata cu activitatea de revizuire trebuie sa fie formata din profesionisti competenti in domeniul auditului intern si al evaluarii externe. Candidatii care ar putea fi selectati ca evaluatori calificati pot fi evaluatori de asigurare a calitatii autorizati de IIA, examinatori de instante de reglementare, consultanti, auditori externi, alti prestatori de servicii si auditori interni din afara entitatii.
5. Independenta - Persoana fizica sau juridica ce efectueaza evaluarea externa, membrii echipei de evaluare si orice alta persoana fizica ce participa la evaluare nu trebuie sa aiba nici un interes in cadrul entitatii sau o obligatie fata de aceasta sau fata de personal Personalul din cadrul celorlalte departamente ale entitatii implicate, chiar daca nu face parte din auditul intern, nu este considerat ca fiind independent pentru realizarea unei evaluari externe.
6. Revizuirile reciproce pot fi efectuate de persoane provenind din cel putin 3 entitati diferite pentru a atenua probleme de independenta. In general, nu sunt indicate revizuirile reciproce intre doua entitati.
Evaluarile externe trebuie sa fie incredintate persoanelor care indeplinesc conditiile necesare, care sunt independente fata de entitate si care nu se afla intr-o situatie de conflict de interese real sau aparent. Expresia 'independente fata de entitate' inseamna ca aceste persoane nu fac parte din organizatia careia ii apartine auditul intern si nu sunt plasate sub controlul acesteia. Alegerea unui evaluator extern trebuie sa fie efectuata tinand cont de un eventual conflict de interese, real sau aparent, care rezulta din relatiile sale prezente sau anterioare cu organizatia sau serviciul de audit intern al acesteia.
8. Integritate si obiectivitate - Integritatea presupune ca persoanele insarcinate cu efectuarea evaluarii sa fie cinstite si sincere, in limitele impuse de obligatia de confidentialitate. Prestatiile si increderea nu trebuie sa fie subordonate intereselor si castigurilor personale. Obiectivitatea este o stare de spirit si o calitate care intareste valoarea serviciilor . Principiul obiectivitatii implica obligatia de impartialitate, corectitudine intelectuala si absenta unui conflict de interese.
9. Competenta - Realizarea unei evaluari externe si comunicarea rezultatelor acesteia necesita formularea unei judecati profesionale. in consecinta o persoana fizica insarcinata cu evaluarea externa trebuie sa posede urmatoarele calitati:
sa fie un profesionist al auditului si autorizat in activitatea de audit care poseda cunostinte actuale si aprofundate ale Normelor
sa stapaneasca bine cele mai bune practici profesionale;
sa aiba o experienta recenta de cel putin trei ani in practica auditului intern pe un post de conducere.
Echipa insarcinata cu evaluarea trebuie sa fie formata in special din persoane care poseda cunostinte in domeniul tehnologiei informatiei si experienta in sectorul de activitate vizat. Persoane competente in alte domenii pot sa le ofere asistenta. Astfel, pot participa la anumite aspecte ale evaluarii experti in domeniul esantionarii statistice sau al autoevaluarii revizuirilor, al sistemelor de monitorizare a operatiilor si managementului riscurilor.
Aprobarea alegerii evaluatorului extern de catre conducerea generala sau Consiliu - Responsabilul auditului intern trebuie sa implice conducerea generala si Consiliul in procesul de selectare a evaluatorului extern si sa obtina aprobarea acestora.
Obiectul evaluarilor externe - Evaluarea externa consta intr-o examinare complexa bazata in principal pe urmatorii parametri de audit intern:
respectarea Normelor, a Codului Deontologic, a Cartei, a planurilor, regulilor, procedurilor si practicilor auditului intern, precum si a legislatiei si a reglementarilor in vigoare;
estimarile Consiliului, ale conducerii si ale directorilor operationali in ceea ce priveste activitatea de audit intern;
integrarea auditului intern in procesul de guvernare a corporativa , inclusiv la nivelul relatiilor intre principalele grupuri cheie implicate in acest proces dispozitiv;
instrumentele si tehnicile utilizate in auditul intern,
varietatea cunostintelor, a experientei si a competentelor echipei de audit intern, in special in ceea ce priveste imbunatatirea proceselor;
contributia auditului intern la crearea unui plus de valoare si la imbunatatirea modului de functionare a entitatii.
Paragraful 12 defineste punctele sferei de evaluare, puncte care trebuie neaparat luate in considerare. Aceste puncte, foarte precise dar nerestrictive, impun o buna cunoastere a meseriei de audit intern, lucru care nu este neaparat valabil in cazul certificatorului ISO care este un generalist si nu un expert in auditul intern.
Acest lucru pune in evidenta necesitatea realizarii unei evaluari proprii auditului intern si a unui demers ad-hoc care sa permita evaluarea calitatii auditului intern, a eficacitatii sale, a independentei sale si a modului sau de functionare si aprecierea masurii in care aduce un plus de valoare si ajuta organizatia in indeplinirea obiectivelor pe care le are.
Autoevaluarea cu validare independenta - Responsabilul auditului intern (RAI) poate opta pentru o alta metoda care consta intr-o autoevaluare validata de un organism extern independent si care cuprinde urmatoarele etape:
proces cuprinzator si perfect documentat de autoevaluare;
validare independenta la fata locului, acordata de catre un evaluator calificat (vezi paragraful 4 de mai sus);
cerinte cu privire la economisirea timpului si resurselor .
Realizarea si documentarea procesului de autoevaluare trebuie sa fie incredintata unei echipe aflate sub conducerea RAI. Manualul IIA referitor la evoluarea calitatii (Quafity Assessment Manual) prezinta etapele acestui proces inclusiv linii directoare si instrumente privind autoevaluarea. Un evaluator calificat si independent trebuie sa realizeze teste limitate asupra procesului de autoevaluare cu scopul de a valida rezultatele si de a emite o opinie cu privire la gradul de respectare a Normelor de catre serviciu.
Comunicarea rezultatelor autoevaluarii trebuie sa urmeze procesul descris mai jos (vezi paragraful 1 7).
Chiar daca o evaluare externa completa prezinta maximum de interes pentru serviciul de audit intern si trebuie sa figureze in programul sau pentru calitate, autoevaluarea urmata de o validare independenta reprezinta o cale alternativa a respectarii prezentei Norme 1312 .
Comunicarea rezultatelor - Rezultatele preliminare ale evaluarii trebuie verificate impreuna cu responsabilul auditului intern in cursul procesului de evaluare si la finalizarea acestuia. Rezultatele definitive trebuie sa fie comunicate RAI sau responsabilului care a autorizat evaluarea, de preferinta cu copii atasate transmise anumitor membri din conducerea generala sau din Consiliu.
Informatiile comunicate trebuie sa contina:
o opinie cu privire la respectarea Normelor de catre serviciul de audit intern, bazata pe un sistem structurat de evaluare . Termenul 'respectare' inseamna ca practicile auditului intern, in ansamblul lor, corespund conditiilor impuse de Norme. In paralel, termenul 'nerespectare' inseamna ca impactul si gravitatea anomaliilor constatate in practicile auditului intern sunt suficient de insemnate pentru a afecta capacitatea acestui serviciu de a-si indeplini responsabilitatile. Formularea unei opinii cu privire la rezultatele evaluarii externe necesita un rationament in afaceri competent cat si calitati de integritate si de constiinta profesionala;
o evaluare a aplicarii celor mai bune practici atat cele respectate pe parcurs cat si in cursul revizuirii sau cele ar putea sa se aplice in cadrul activitatii ;
recomandari, daca este cazul;
raspunsurile RAI cuprinzand un plan de actiune si datele pentru implementare .
Responsabilul auditului intern trebuie sa informeze conducerea generala si, daca este cazul, Consiliul cu privire la rezultatele verificarii si la planul de actiune care urmeaza a fi pus in practica si informatii privind monitorizarea aplicarii acestuia. In definitiv, punerea in practica a QAR reprezinta o manifestare a provocarii cu care se confrunta astazi auditul intern. Este vorba despre
Acestea sunt motivele pentru care este necesar mai mult ca oricand sa se sublinieze necesitatea profesionalizarii auditului intern in scopul de asigura credibilitatea si increderea pe care partile implicate le vor acorda activitatii de audit intern. Astazi, se poate afirma ca o QAR, efectuata de profesionisti independenti in activitatea de audit intern este cea mai in masura sa ofere asigurarea ca un serviciu de audit intern actioneaza cu profesionalism si aduce un plus de valoare entitatii.
Rapoarte referitoare la programul pentru calitate
Responsabilul
auditului intern trebuie sa comunice Consiliului
rezultatele evaluarilor externe.
MPA
1320-1
Rapoarte referitoare la programul pentru calitate
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii atunci cand comunica rezultatele programului pentru calitate. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor care trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. in scopul finalizarii unei evaluari externe este necesar sa se pregateasca un raport in care evaluatorul isi exprima parerea cu privire la respectarea normelor de catre serviciul de audit intern. Raportul trebuie sa trateze aspecte referitoare la respectarea Cartei de audit si a altor norme aplicabile, si sa includa toate recomandarile adecvate procesului de imbunatatire. Raportul trebuie sa fie adresat persoanei fizice sau juridice care a solicitat verificarea. Responsabilul auditului intern trebuie sa pregateasca un plan de actiune scris pentru a raspunde comentariilor importante si recomandarilor continute in raportul de evaluare externa. De asemenea, responsabilul auditului intern trebuie sa asigure o monitorizare corespunzatoare a aplicarii actiunilor corective.
2. Evaluarea gradului de respectare a Normelor constituie un criteriu esential in evaluarea externa Echipa insarcinata cu aceasta trebuie sa cunoasca Normele pentru a fi in masura sa verifice aplicarea acestora de catre serviciul de audit intern si pentru a putea formula o opinie in aceasta privinta. Totusi, asa cum este mentionat in Modalitatea Practica de Aplicare nr. 1310-1, aceste criterii nu sunt singurele care trebuie luate in considerare pentru a evalua performantele serviciului mai sus mentionat.
Utilizarea mentiunii
'Efectuat conform Normelor'
Auditorii interni sunt incurajati sa indice in rapoartele pe care le fac faptul ca activitatile lor sunt 'efectuate conform Normelor pentru practica profesionala a auditului intern'. Totusi, ei nu pot folosi aceasta mentiune decat daca evaluarile programului de imbunatatire a calitatii demonstreaza ca auditul intern functioneaza conform Normelor.
MPA
1330-1
Audituri 'efectuate conform Normelor'
Utilizare acestei mentiuni necesita asadar realizarea unei evaluari externe odata la 5 ani, respectand criteriile definite in MPA 1312-1.
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii inainte de a folosi expresia 'efectuat conform Normelor pentru Practica Profesionala a auditului intern'. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Consideratii de ordin general - Evaluarile externe si interne ale serviciului de audit intern au drept scop formularea unei opinii cu privire la respectarea Normelor pentru Practica Profesionala si a Codului Deontologic . Ele includ, daca este necesar, recomandari privind imbunatatiri . Aceste evaluari pot prezenta un interes considerabil pentru responsabilul auditului intern si pentru ceilalti membri ai echipei. Doar persoanele calificate pot efectua aceste evaluari.
2. Incepand de la 1 ianuarie 2002, o evaluare externa trebuie sa fie realizata intr-o perioada de maxim 5 ani . Entitatilor care au efectuat deja revizuiri externe li se recomanda sa planifice urmatoarea evaluare de acest tip intr-un interval de cel mult cinci ani incepand de la ultima revizuire.
3. Folosirea expresiei 'Respectarea Normelor' - Folosirea expresiei
'Respectarea Normelor' presupune realizarea unei evaluari a programului de imbunatatire a calitatii care sa aiba ca rezultat asigurarea ca auditul intern respecta Normele. Cazurile de nerespectare a Normelor care afecteaza domeniul in ansamblu sau modul de functionare a auditului intern, inclusiv absenta realizarii unei evaluari externe la 1 ianuarie 2007, trebuie sa fie comunicate conducerii generale si Consiliului.
2000 - Gestionarea auditului intern
Responsabilul auditului intern trebuie gestioneze aceasta activitate astfel incat sa asigure un plus de valoare in cadrul entitatii
MPA 2000-1
Gestionarea auditului intern
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii atunci cand gestioneaza auditul intern. Prezenta MPA nu are ca scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea modalitatilor practice de aplicare este facultativa.
Gestionarea eficace si eficienta a resurselor auditului intern presupune ca responsabilul auditului intern sa aiba un rol major in recrutarea si formarea profesionala a echipei sale. In consecinta, el trebuie sa convinga directia generala si directia de resurse umane cu privire la necesitatea profesionalizarii acestei activitati si deci a realizarii in acest scop unei actiuni intense de comunicare. Pentru a face acest lucru, el trebuie sa tina cont de toti parametrii acestei gestionari (numar, calitate....). in cazul unui dezacord cu directia de resurse umane, este important ca auditul intern sa poata apela la comitetul de audit care trebuie sa arbitreze in ultima instanta. Aceasta posibilitate trebuie sa fie inscrisa in Carta auditului intern.
Planificare
Responsabilul auditului intern trebuie sa realizeze o planificare a activitatii de audit intern bazata pe riscuri pentru a defini prioritatile in acord cu obiectivele entitatii.
MPA 2010-1
Planificare
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii atunci cind realizeaza planificarea. Prezenta MPA nu are ca scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea modalitatilor practice de aplicare este facultativa.
Procesul de planificare presupune stabilirea urmatoarelor elemente:
Obiectivele trebuie sa fie completate cu criterii de masurare si un plan de realizare a obiectivelor.
Obiectivele si criteriile de masurare a eficacitatii auditului intern sunt mentionate in aceasta MPA care se refera la procesul de planificare. De fapt, incai din faza de planificare se profileaza obligatia obtinerii de rezultate din partea auditului intern, cu fixarea de obiective cuantificabile masurabile si realizabile ("trebuie sa poata fi atinse") si masurarea efectiva a acestor obiective . Prin obiective masurabile intelegem de acum inainte imbunatatirea anticiparii si solutionarii riscurilor .
activitatile care trebuie auditate;
data misiunilor;
o estimare a timpului necesar tinand cont de domeniul misiunii prevazute precum si de natura si obiectul lucrarilor de audit realizate de alti participanti .
data si rezultatele misiunii precedente;
evaluari actualizate a riscurilor si a eficacitatii proceselor de management al riscurilor si de control;
solicitarile conducerii generale si ale Consiliului, ;
problematicele actuale referitoare la guvernarea corporativa ;
schimbarile importante survenite in activitate, sarcinile operationale, programele, sistemele si controalele;
oportunitatile de realizare a beneficiilor de exploatare;
modificarile intervenite in cadrul echipei de audit intern si aptitudinile sale. Planificarea lucrarilor trebuie sa fie suficient de flexibila pentru a face fata cererilor de misiuni neprevazute.
Aceasta MPA situeaza auditul intern in procesul de management al riscurilor, evaluarea riscurilor si eficacitatea procesului de management al riscurilor reprezentand in mod evident unul din obiectivele prioritare pentru realizarea planificarii. Se recomanda sa se discute si sa se stabileasca intr-o maniera consensuala criteriile de masurare a acestui obiectiv impreuna cu proprietarii riscurilor si cu risk managers.
In ceea ce priveste problematicele actuale referitoare la guvernarea intreprinderii, va recomandam sa consultati MPA 2130-1 intitulata "Rolul auditului intern si al auditorului intern in ceea ce priveste cultura etica", modalitate ce face referire la contributia auditului intern in procesul de guvernare corporativa (a societatii) .
MPA 2010-2
Luarea in considerare a expunerilor la risc in elaborarea programului de audit
Natura acestei Modalitati Practice de Aplicare:
Planificarea auditului intern trebuie sa reflecte strategia adoptata de entitate in ceea ce priveste riscurile. Se recomanda sa se adopte o abordare coordonata cu scopul de a exploata sinergiile care exista intre procesul de management al riscurilor din cadrul entitatii si dispozitivul sau de audit intern. Se poate dovedi necesara luarea in considerare a altor elemente decat cele cuprinse in prezenta MPA.
Respectarea modalitatilor practice de aplicare este facultativa.
Pentru a indeplini aceasta misiune, este important ca auditul intern sa inteleaga bine procesul de management al riscurilor. Pentru aceasta el trebuie sa isi insuseasca bine rolurile auditului intern, ale risk managerilor, ale comitetului de audit si ale comitetului pentru riscuri daca acestea exista. Daca reiese ca rolurile nu sunt suficient de precise sau sunt necoordonate, auditul intern trebuie sa informeze directia generala si sa-i comunice recomandarile sale in vederea imbunatatirii gestionarii riscurilor din entitate. Facem referire la MPA 2100-3 si MPA 2100-4 care trateaza chiar rolul auditorului intern in procesul de management al riscurilor si in absenta unui astfel de proces.
printre diversele modele de riscuri existente, citam de exemplu:
Bineinteles, fiecare serviciu de audit intern trebuie sa le analizeze si sa le insuseasca.
Comunicare si aprobare
Responsabilul auditului intern trebuie sa comunice conducerii generale si Consiliului programul sau de audit si necesitatile sale in vederea examinarii si aprobarii, precum si orice modificare importanta care ar putea interveni in cursul exercitarii activitatii. Responsabilul auditului intern trebuie de asemenea sa semnaleze impactul oricarei limitari a resurselor sale.
MPA 2020-1
Comunicare si aprobare
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii atunci cand comunica si solicita aprobarea programului si a necesitatilor auditului intern. Prezenta MPA nu are ca scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea modalitatilor practice de aplicare este facultativa.
Gestionarea resurselor
Responsabilul auditului intern trebuie sa asigure ca resursele alocate acestei activitati sa fie adecvate, suficiente si utilizate in mod rational in vederea realizarii programului aprobat.
MPA 2030-1
Gestionarea resurselor
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii atunci cand evalueaza resursele auditului intern. Prezenta MPA nu are ca scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea modalitatilor practice de aplicare este facultativa.
Se recomanda sa amintim ca bugetul unui serviciu de audit intern realizat in colaborare cu directia de resurse umane si directia de control de gestiune, este format din trei elemente:
Acest buget trebuie sa permita optimizarea structurii si armonizarii serviciului de audit intern in functie de sfera de aplicare a auditului si constrangerile financiare.
descrieri ale functiei, la fiecare nivel de responsabilitate;
selectarea persoanelor fizice calificate si competente in domeniile auditate si in aplicarea cunostintelor de audit intern
o formare profesionala initiala si un program de formare continua pentru fiecare dintre auditorii interni;
stabilirea de obiective de performanta pentru fiecare auditor intern;
consultanta/consiliere pentru auditorii interni privind performantele personale si dezvoltarea lor profesionala;
reinnoirea echipei de audit intern;
evaluarea performantei fiecarui auditor intern, cel putin o data pe an;
Gestionarea procesului de recrutare se realizeaza in functie de planul de independenta a planului de resurse umane al auditului intern in raport cu cel al entitatii in ansamblul sau. Un grad mare de independenta permite selectarea colaboratorilor cel mai bine adaptati si luarea in considerarea a exigentelor entitatii cum ar fi redistribuirea competentelor, prioritatile interne, planul social, grila de salarizare.
MPA 2030-2
Cerintele SEC in ceea ce priveste independenta auditorilor externi pentru a furniza prestari de audit intern.
Traducerea acestei MPA se gaseste sub forma de anexa la sfarsitul Practice Advisory 2030-2 in limba engleza.
O MPA specifica situatiei din Franta este in curs de elaborare in colaborare cu Comisia Operatiunilor Bursiere (COB) si Compania Nationala a Comisarilor de Conturi (CNCC).
Aceasta va fi pusa la dispozitie imediat dupa ce va fi redactata.
Reguli si proceduri
Responsabilul
auditului intern trebuie sa stabileasca reguli si
proceduri care sa furnizeze un cadru activitatii de audit intern.
MPA
2040-1
Reguli si Proceduri
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii atunci cand stabilesc reguli si proceduri. Prezenta MPA nu are drept scop expunerea
exhaustiva a punctelor care trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
Forma si continutul regulilor si procedurilor scrise trebuie sa fie adaptate dimensiunii si structurii auditului intern precum si complexitatii activitatii sale. Nu este neaparat necesar sa se realizeze manuale administrative si tehnice pentru toate entitatile de audit intern. Un serviciu minor de audit intern poate fi condus in mod informal. Personalul sau poate fi condus si monitorizat zi de zi printr-o supervizare stricta si note de serviciu. In schimb, intr-un serviciu de audit intern mare, este esential sa existe reguli si proceduri formalizate si complete pentru a ghida auditorii catre o respectare corespunzatoare a normelor de functionare a auditului intern.
Este important sa existe protocoale sau proceduri interne pentru auditul intern care sa se inscrie in cadrul conventiilor care guverneaza raporturile intre societatile aceluiasi grup : de exemplu ,existenta unui audit de grup si a unor servicii de audit descentralizate in filialele cotate sau participarea minoritara intr-o societate filiala. Anumite proceduri cum ar fi validarea programelor si raportarea, necesita uneori aprobarea Consiliului.
Oricare ar fi dimensiunea si structura auditului intern, se recomanda, cel putin, sa se realizeze o carta grafica pentru rapoarte sau orice alta forma de comunicare, in scopul de a pastra pentru orice auditor aceeasi forma si pentru a putea fi imediat identificate ca produse ale auditului intern de catre orice colaborator al entitatii.
Coordonare
Responsabilul
auditului intern trebuie sa comunice informatiile si
sa coordoneze activitatile cu ceilalti prestatori interni si externi de
servicii de asigurare si de consultanta/consiliere astfel incat sa asigure
o acoperire adecvata a activitatilor si sa evite suprapunerile acestora.
MPA 2050-1 Coordonare
Aceasta norma si MPA aferenta sunt fundamentale. Ele incurajeaza dialogul si o relatie de incredere intre auditul intern si comisarii de conturi; ambii vor avea mai degraba de castigat din aceasta cooperare decat de pierdut. Este necesar ca in locutiunea " prestatorii interni si externi de servicii de asigurare si consultanta/consiliere " sa se faca diferenta intre comisarii de conturi si ceilalti prestatori cu care auditul intern nu are aceeasi relatie de incredere si de colaborare.
Totusi, aceasta relatie de colaborare si de schimb de lucrari nu trebuie sa conduca la omiterea faptului ca informatii delicate, destinate a priori Conducerii Generale si/sau Comitetului de Audit, si care figureaza in raportul de audit ar putea fi cunoscute in afara entitatii. De fapt, rapoartele de audit intern trebuie sa fie comunicate Comisarilor de conturi si justitiei daca se solicita acest lucru. Pentru sectorul bancar, regulamentul CRBF 97-02, inlocuit cu regulamentul 2000-01, precizeaza faptul ca rapoartele privind controlul intern si supravegherea riscurilor sunt transmise in fiecare an Comisarilor de conturi si secretariatului general al Comisiei Bancare. Este asadar important ca faptele pe care auditorii interni le cunosc sa fie prezentate cu discernamant, prudenta si circumspectie.
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii pentru a coordona activitatile cu ceilalti intervenienti insarcinati cu misiuni de asigurare si consultanta/consiliere. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiectiv doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Activitatile de audit intern si de audit extern trebuie sa fie coordonate pentru ca toate activitatile sau functiile sa fie auditate fara redundanta sau suprapunere. Sfera de aplicabilitate a auditului intern implica o abordare sistematica si metodica pentru evaluarea si imbunatatirea eficacitatii proceselor de management al riscurilor, de control si de guvernare corporativa . Obiectul a auditului intern este prezentat in Norma 2100. In paralel, verificarea obisnuita a auditorului extern consta in obtinerea unor informatii probante suficiente pentru formularea unei opinii privind exactitatea si transparenta globala a situatiilor financiare anuale. Sfera activitatilor auditorilor externi este determinata de normele lor profesionale, iar acestia trebuie sa estimeze daca procedurile aplicate si probele obtinute sunt suficiente astfel incat sa-si poata exprima propria opinie privind situatiile financiare anuale.
2. monitorizarea activitatilor de audit extern, inclusiv coordonarea cu auditul intern, este in general responsabilitatea Consiliului. Coordonarea trebuie sa fie in sarcina responsabilului auditului intern. Acesta trebuie sa beneficieze de sprijinul Consiliului pentru a coordona eficace activitatile de audit.
In Franta, coordonarea audit intern/audit extern Intr-un anumit numar de societati importante este in responsabilitatea Directorului Financiar. Este de dorit coresponsabilul auditului intern, in cadrul responsabilitatilor sale si daca pozitia sa ierarhica ii permite acest lucru, sa isi asume realizarea coordonarii.
3. Coordonand activitatea auditorilor interni cu cea a auditorilor externi, responsabilul auditului intern trebuie sa se asigure, in conformitate cu norma 2100, ca prin activitatea efectuata auditorii interni nu repeta activitatile auditorilor externi. tinand cont de limitele impuse de obligatiile profesionale si organizatorice in ceea ce priveste raportarea conturilor, auditorii interni trebuie sa-si indeplineasca misiunile in asa fel incat sa sprijine la maxim coordonarea si eficacitatea activitatii de audit.
Este asadar de dorit ca responsabilul auditului intern sa asiste la reuniunile de arbitraj al planificarii realizate de comisarii de conturi si la reuniunile de raportare a rezultatelor.
4. Responsabilul auditului intern poate accepta sa efectueze activitati pentru auditorii externi cu ocazia auditarii anuale a situatiilor financiare . Activitatile efectuate de auditorii interni pentru a-i ajuta pe auditorii externi in indeplinirea responsabilitatilor lor sunt supuse tuturor dispozitiilor 'Normelor pentru Practica Profesionala a auditului intern'.
5. Responsabilul auditului intern trebuie sa evalueze in mod regulat coordonarea intre auditorii interni si cei externi. Aceste evaluari pot de asemenea sa includa aprecieri ale eficacitatii si eficientei globale ale de audit intern si extern si ale costului de audit total.
6. Exercitandu-si rolul de supraveghere, Consiliul poate solicita responsabilului auditului intern sa evalueze performanta auditorilor externi. In general, acest tip de evaluare se inscrie in cadrul coordonarii activitatilor de audit intern si de audit extern, care revine responsabilului auditului intern si care nu trebuie sa se extinda in alte domenii decat la cererea expresa a conducerii generale sau a Consiliului. Evaluarea performantelor auditorilor externi trebuie sa se bazeze pe informatii eficiente , pentru a justifica concluziile formulate. Evaluarea trebuie sa se bazeze pe criteriile descrise de prezenta MPA.
7. Atunci cand depaseste simpla coordonare cu auditorii interni, evaluarea performantelor auditorilor externi poate acoperi in esenta punctele urmatoare:
. cunostintele si experienta profesionala;
. cunoasterea sectorului de activitate a entitatii;
. independenta;
. prestarea de servicii specializate;
. anticiparea necesitatilor entitatii si a modului de raspuns la acestea;
. continuitatea rezonabila a personalului de audit
. mentinerea calitatii in relatiile de lucru;
. respectarea angajamentelor contractuale;
. plusul de valoare adus de serviciile prestate entitatii.
8. Responsabilul auditului intern trebuie sa comunice conducerii generale si Consiliului concluziile privind coordonarea intre auditorii interni si auditorii externi, insotite, daca este cazul, de observatii cu privire la performantele auditorilor externi.
Auditul intern poate juca de asemenea un rol fundamental informand conducerea generala si/sau Comitetul de audit in situatia in care presiunea exercitata asupra comisarilor de conturi si reducerile de onorarii nu mai permit asigurarea eficacitatii si a calitatii activitatilor lor de control.
9. Auditorii externi trebuie uneori, conform normelor lor profesionale, sa se asigure ca anumite informatii sunt comunicate Consiliului. Responsabilul auditului intern trebuie sa consulte auditorii externi pentru o mai buna intelegere a urmatoarelor puncte:
. factorii care pot influenta independenta auditorilor externi;
. punctele slabe semnificative ale controlului intern;
erorile si iregularitatile;
. actele ilegale;
. rationamente ale conducerii si estimarile contabile;
. ajustarile importante privind auditul;
. existenta unui dezacord cu conducerea;
. dificultatile intalnite pe parcursul desfasurarii auditului.
Coordonarea activitatilor de audit implica reuniuni periodice in vederea discutarii subiectelor de interes reciproc;
Acoperirea domeniilor de audit. Planurile de audit ale auditorilor interni si externi trebuie sa fie discutate pentru a se asigura ca este coordonata acoperirea domeniilor de audit si ca este minimizata suprapunerea activitatilor.
Un numar suficient de reuniuni trebuie sa fie stabilit in timpul misiunilor de audit. Acest lucru permite coordonarea activitatii de audit si in special luarea de decizii cu privire la modificarea obiectului programului de lucru tinand cont de observatiile si recomandarile generate de activitatea pana la acea data .
Accesul reciproc la programele si dosarele de lucru. Poate fi important pentru auditorul intern sa aiba acces la programele si dosarele de lucru ale auditorilor externi pentru a se putea baza pe activitatea acestora din urma, in exercitarea propriei sale misiuni. Auditorul intern trebuie sa respecte caracterul confidential al informatiilor la care are acces. De asemenea, accesul la programele si dosarele de lucru ale auditorului intern trebuie sa fie permis auditorilor externi pentru ca acestia sa se poata baza, in exercitarea functiilor lor, pe activitatea auditorilor interni.
Schimbul de rapoarte de audit si note de sinteza transmise conducerii. Rapoartele finale de audit intern, observatiile conducerii si monitorizarile misiunii efectuate de auditorii interni trebuie sa fie accesibile auditorilor externi. Aceste rapoarte ii ajuta pe auditorii externi sa determine si sa ajusteze sfera activitatilor lor.
Facem referire la comentariul formulat la inceputul MPA privind necesitatea prezentarii faptelor cu discernamant, prudenta si circumspectie.
Este important pentru auditorii interni sa aiba acces la notele de sinteza adresate conducerii de catre auditorii externi. Punctele abordate in aceste note ii ajuta pe auditorii interni sa planifice domeniile care urmeaza a fi auditate cu prioritate, in viitor Dupa verificarea acestor note de catre conducere si Consiliu si dupa luarea deciziei de catre acestia privind aplicarea unor masuri corective, responsabilul auditului intern trebuie sa se asigure ca au fost luate masurile adecvate si ca a fost efectuata monitorizarea corespunzatoare.
Intelegerea reciproca a tehnicilor, a metodelor si a terminologiei auditului.
In primul rand. responsabilul auditului intern trebuie sa cunoasca sfera activitatii planificate de auditorii externi si trebuie sa se asigure ca activitatea auditorilor interni si externi raspunde cerintelor Normei 2100. Aceasta asigurare necesita intelegerea nivelului semnificativ folosit de auditorii externi in programele lor de lucru si natura, aria de acoperire a procedurilor pe care acestia le aplica.
In al doilea rand , responsabilul auditului intern trebuie sa se asigure ca tehnicile, metodele si terminologia folosite de auditorii externi sunt suficient de bine intelese de auditorii interni pentru a putea:
coordona activitatea auditorilor interni si externi;
evalua activitatea auditorilor externi pentru a se baza pe aceasta,
3) sa se asigure ca auditorii interni care vor lucra cu auditorii externi pot comunica eficient cu acestia.
In final. responsabilul auditului intern trebuie sa furnizeze suficiente informatii pentru a permite auditorilor externi sa inteleaga tehnicile, metodele si terminologia folosite de auditorii interni. In acest fel, se faciliteaza utilizarea de catre auditorii externi a activitatii auditorilor interni. Poate fi mai eficient pentru auditorii interni si externi sa foloseasca tehnici, metode si o terminologie similare pentru a-si coordona eficace activitatea si pentru ca fiecare sa se poata baza pe activitatea celuilalt.
De asemenea , auditorul intern trebuie sa se poata baza pe activitatile auditorilor externi.
Iata recomandarile Comitetului din Bale in documentul sau publicat in august 2001 privind " Auditul intern in banci si relatiile autoritatilor tutelare cu auditorii".
Relatiile intre auditorii interni si auditorii externi:
Principiul nr.16
Autoritatile tutelare trebuie sa incurajeze contactele dintre auditorii interni si externi in vederea unei colaborari pe cat de reala pe atat de eficace.
64. Auditorii externi au o influenta importanta asupra calitatii controalelor interne, ca urmare a activitatilor lor de audit si mai ales, a intrevederilor cu conducerea generala si Consiliul de Administratie sau Comitetul de Audit, daca acestea exista , precum si prin recomandarile pe care le fac pentru imbunatatirea controlului intern.
65. Se admite in general faptul ca auditul intern este util pentru a determina natura, calendarul si aria de acoperire a procedurilor de audit extern. Totusi, auditorul extern ( Comisarul de conturi in Franta ) este unicul responsabil pentru opinia sa privind situatiile financiare. Auditorul extern trebuie sa fie instiintat cu privire la activitatile de audit intern, sa aiba acces la rapoartele pertinente si sa fie informat cu privire la orice problema semnificativa care a retinut atentia auditorului intern si care ar putea afecta activitatea sa. In acelasi timp, auditorul extern trebuie sa informeze auditorul intern cu privire la orice problema importanta care l-ar putea viza.
66. Responsabilul auditului intern trebuie sa se asigure ca activitatea auditorilor interni nu se suprapune cu cea auditorilor externi. Coordonarea intre serviciile de audit necesita intalniri periodice pentru a discuta chestiuni de interes comun, pentru a schimba rapoarte de audit si note ale directiei si pentru a decide tehnicile, metodele si terminologia comuna.
Cooperare intre autoritatile tutelare,auditorii externi si auditorii interni.
Principiul nr.18
Cooperarea intre activitatea tutelara, auditorul extern si auditorul intern are drept obiectiv ca toate partile implicate sa realizeze activitati mai rationale si mai eficace in vederea optimizarii controlului.
Cooperarea se poate materializa prin reuniuni periodice.
76. Obiectul cooperarii este ca toti intervenientii implicati sa aiba o contributie mai eficienta si mai eficace in vederea optimizarii controlului autoritatii tutelare chiar daca fiecare parte implicata isi asuma mai intai propriile responsabilitati.
77. In anumite tari, aceasta cooperare se manifesta prin intalniri periodice. Este posibil ca autoritatea tutelara sa considere oportuna prezenta Conducerii Generale la aceste intalniri. In cursul acestor reuniuni, fiecare aduce informatii cu privire la domeniile de interes comun si o atentie deosebita este acordata domeniilor care vor fi controlate si a calendarului de lucru. Cele trei parti prezente discuta de asemenea despre punerea in practica de catre entitate a recomandarilor auditorilor interni si externi.
78. Cooperarea presupune o relatie de incredere intre banca, auditorul extern si autoritatea tutelara. Fara incredere, cooperarea nu este posibila. In consecinta, autoritatea tutelara asteapta de la Conducerea Generala a bancii sa fie informata cu privire la deciziile, faptele sau evolutiile care ar putea avea o influenta semnificativa asupra situatiei bancii.
Sunt in curs de elaborare impreuna cu CNCC observatii complementare.
MPA
2050-2
Recurgerea la serviciile de audit extern
Traducerea
acestei MPA se gaseste ca anexa dupa Practice Advisory 2050-2 in
limba engleza.
0 MPA specifica situatiei din Franta este in curs de elaborare impreuna cu Comisia Operatiunilor Bursiere (COB) si Compania Nationala a Comisarilor de Conturi (CNCC).
Aceasta va va fi pusa la dispozitie dupa ce va fi redactata.
Rapoartele transmise Consiliului si conducerii generale
Responsabilul auditului Intern trebuie sa informeze periodic conducerea generala si Consiliul cu privire la misiunile, competentele si responsabilitatile auditului intern, precum si cu privire la rezultatele semnificative obtinute fata de programul prevazut.
Aceste rapoarte trebuie de asemenea sa mentioneze expunerile la risc , controlul si guvernarea corporativa , precum si alte subiecte solicitate de catre Consiliu si conducerea generala .
MPA
2060-1
Rapoartele transmise Consiliului si conducerii generale
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de sugestiile urmatoare atunci cand inainteaza rapoarte Consiliului sau directiei generale. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiectiv recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Responsabilul auditului intern trebuie sa prezinte rapoarte periodice de activitate conducerii generale si Consiliului,pe tot parcursul anului Rapoartele de activitate trebuie sa sublinieze constatarile cele mai importante obtinute in timpul auditurilor si recomandarile aferente. Aceste rapoarte trebuie sa permita de asemenea informarea conducerii generale si a Consiliului cu privire la orice modificare importanta fata de programul de lucru, de bugetele de personal si financiare . Motivele acestor modificari trebuie sa fie justificate .
2. Constatarile de audit semnificative corespund unor situatii care, in opinia responsabilului auditului intern, ar pute fi nefaste pentru entitate. Constatarile de audit importante pot fi reprezentate de iregularitati, acte ilegale, erori, ineficienta, risipa, ineficacitate, conflicte de interese si puncte slabe de control Dupa examinarea acestor constatari si recomandari cu conducerea generala, responsabilul auditului intern trebuie sa le comunice Consiliului, indiferent daca acestea au fost sau nu solutionate.
3. Conducerea are responsabilitatea de a decide masurile corespunzatoare privind constatarile importante semnalate si recomandarile formulate . Conducerea generala poate decide sa-si asume riscul de a nu remedia situatiile raportate din pricina costurilor lor sau a altor considerente. Consiliul trebuie sa fie informat cu privire la dispozitiile luate de conducerea generala privind constatarile si recomandarile semnificative din cadrul misiunii de audit
Responsabilul auditului intern trebuie sa aprecieze daca este cazul sa informeze Consiliul cu privire la constatarile semnificative ale misiunii de audit si recomandarile care i-au fost deja semnalate si pentru care conducerea generala si Consiliul au hotarat sa sa-si asume riscul de a nu remedia situatia raportata (sau de a nu aplica masurile corective specifice situatiilor raportate) Aceasta comunicare poate fi considerata deosebit de necesara daca au avut loc schimbari in cadrul entitatii, in cadrul Consiliului sau al conducerii generale.
In acest sens, auditul intern trebuie sa dispuna de mijloacele necesare pentru a se orienta catre un organ independent : Consiliul si/sau comitetul de audit, in cazul in care considera ca directia generala nu ia masurile adecvate. Facem referire la MPA 2600-1 care trateaza acest punct special.
5. In plus fata de subiectele de mai sus, rapoartele de audit mai trebuie sa faca o comparatie:
intre realizari si obiectivele si programele de lucru ale auditului intern;
intre cheltuielile si bugetul financiar.
Ele trebuie sa explice motivele pentru variatiile semnificative si sa indice toate masurile luate sau care vor fi luate.
2100 - Natura Activitatii
AUDITUL INTERN EVALUEAZA SISTEMELE DE MANAGEMENT AL RISCURILOR, DE CONTROL Sl DE GUVERNARE CORPORATIVA Sl CONTRIBUIE LA IMBUNATATIREA ACESTORA
MPA2100-I
Natura activitatilor
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii atunci cand determina natura activitatii de audit intern care va fi desfasurata. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Natura activitatilor de audit intern se defineste printr-o abordare sistematica si metodica de evaluare si imbunatatire a relevantei si a eficacitatii procesului de management al riscurilor, de control si de guvernare corporativa , precum si prin nivelul de calitate atins in indeplinirea responsabilitatilor incredintate. Obiectivul evaluarii pertinentei proceselor de management al riscurilor, de control si de guvernare a intreprinderii este de a oferi o asigurare rezonabila ca aceste procese functioneaza dupa cum s-a prevazut si ca vor permite entitatii sa-si atinga obiectivele si scopurile propuse. Un alte obiectiv este acela de a propune recomandari pentru imbunatatirea modului de functionare a entitatii, atat in ceea ce priveste eficienta cat si eficacitatea. Este de asemenea posibil ca directia generala si Consiliul sa indice orientari generale cu privire la sfera de aplicabilitate si la activitatile care vor fi auditate.
2. Se poate vorbi despre o relevanta a proceselor de management al riscurilor, de control si de guvernare corporativa daca conducerea le-a conceput si organizat astfel incat sa ofere o asigurare rezonabila ca obiectivele si scopurile fixate vor fi atinse in mod eficient si economic. 0 functionare eficienta permite atingerea cu precizie a obiectivelor si a scopurilor fixate, la data fixata si la un pret minim. 0 functionare economica permite atingerea obiectivelor si a scopurilor cu o utilizare minima a resurselor (costuri minime) in functie de expunerea la risc . 0 asigurare rezonabila este obtinuta daca sunt luate masurile cele ai eficace si economice incepand cu conceperea si aplicarea proceselor pentru reducerea riscurilor si pentru limitarea neregularitatilor anticipate la un nivel tolerabil. Astfel, conceperea proceselor incepe prin determinarea obiectivelor si a scopurilor. Apoi este necesar sa se coreleze conceptele, diversele componente, activitatile si persoanele astfel incat toate acestea sa participe la realizarea obiectivelor si a scopurilor fixate.
3. Se poate vorbi despre o eficacitate a proceselor de management al riscurilor, de control si guvernare corporativa in cazul in care conducerea coordoneaza aceste procese astfel incat sa se obtina asigurarea rezonabila ca obiectivele si scopuri!e entitatii vor fi atinse. Pe langa realizarea obiectivelor si a activitatilor prevazute, coordonarea presupune si autorizarea tranzactiilor si a activitatilor, monitorizarea rezultatelor obtinute si verificarea faptului ca procesele entitatii functioneaza asa cum s-a prevazut.
4. In general, conducerea este responsabila de dezvoltarea entitatii in fata actionarilor celorlalte parti implicate, agentiilor de reglementare si publicului pe care trebuie sa-l informeze cu privire la actiunile sale, gestionarea sa si rezultatele entitatii.
Mai precis, obiectivul principal al procesului de management este acela de a obtine:
. informatii financiare si operationale relevante si fiabile ;
. o utilizare eficace si eficienta a resurselor entitatii;
. protejarea activelor entitatii;
. respectarea legilor, a reglementarilor, a normelor de etica si de conduita in afaceri, precum si a contractelor;
. identificarea expunerilor la risc existente si utilizarea unor strategii eficace pentru a le controla;
. obiectivele si scopurile fixate pentru operatiuni sau proiecte.
5. Conducerea planifica, organizeaza si coordoneaza desfasurarea actiunilor necesare care sa ofere asigurarea rezonabila ca obiectivele si scopurile stabilite vor fi atinse. Conducerea le examineaza periodic si isi modifica procesele pentru a tine cont de schimbarile conditiilor interne si externe. Conducerea stabileste si mentine o cultura a intreprinderii si un climat etic ce intelege existenta expunerilor la risc si implementeaza eficient strategii de risc pentru controale .
6. Orice masura luata de conducere pentru a creste probabilitatea ca obiectivele si scopurile fixate vor fi atinse reprezenta un control. Controalele pot fi preventive (pentru a preveni aparitia oricarui eveniment nedorit), de detectare (pentru a identifica evenimentele nedorite care s-au produs si a corecta efectele acestora), sau de directionare (pentru o provoca si incuraja aparitia unui eveniment dorit).
Conceptul unui sistem de control face trimitere la un ansamblu integrat de componente si activitati utilizate de catre o entitate pentru a-si atinge obiectivele si scopurile.
7. Auditorii interni examineaza si evalueaza intregul proces de planificare, de organizare si de gestionare pentru a stabili daca exista o asigurare rezonabila ca obiectivele si scopurile vor fi atinse. Luand in considerare posibila evolutie, auditorii interni trebuie sa fie atenti la schimbarile conditiilor interne sau externe, reale sau potentiale, care ar putea afecta capacitatea sistemului de control de a oferi o asigurare de perspectiva. In acest context, auditorii interni trebuie sa acorde atentie riscurilor unei eventuale deteriorari a performantei.
8. Aceste evaluari de audit intern permit in mod global obtinerea informatiilor necesare aprecierii procesului de management in ansamblul sau. Toate sistemele de activitate, procesele, operatiunile, functiile si activitatile din cadrul entitatii sunt supuse evaluarilor auditului intern. Un domeniu exhaustiv al activitatilor de audit intern trebuie sa permita obtinerea unei asigurari rezonabile ca:
. sistemul de management al riscurilor este eficace;
. sistemul de control intern este adecvat si eficient;
.procesul de conducere este eficace si raspunde urmatoarelor obiective: definirea si pastrarea valorilor, fixarea obiectivelor, monitorizarea activitatilor si a performantelor si definirea modurilor de raportare.
MPA 2100-2
Securitatea informatiei
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii atunci cand evalueaza activitatile de guvernare a intreprinderii in ceea ce priveste securitatea informatiei. Prezenta MPA nu are drept scop prezentarea tuturor procedurilor ce trebuie aplicate in cadrul unei misiuni de audit sau de consultanta/consiliere privind securitatea informatiei. Ea are ca obiectiv doar descrierea responsabilitatilor care ar trebui incredintate auditorilor in plus fata de cele care revin Consiliului sau conducerii.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Auditorii interni trebuie sa se asigure ca atat conducerea, Consiliul, sunt constienti de responsabilitatea conducerii in ceea ce priveste securitatea informatiei. Aceasta responsabilitate vizeaza toate informatiile esentiale pentru entitate, oricare ar fi suportul lor de pastrare.
2. Responsabilul auditului intern trebuie sa se asigure ca auditul intern dispune de sau are acces la resursele adecvate pentru a evalua securitatea informatiei si expunerile la risc aferente. Acestea din urma includ atat expunerile la risc interne cat si cele externe si, mai ales, cele aferente relatiilor stabilite de entitate cu alte entitati externe.
3. Auditorii interni trebuie sa se asigure ca managementul a furnizat Consiliului, comitetului de audit asigurarea ca auditul intern va fi rapid informat cu privire la orice situatie in care securitatea informatiei a fost afectata sau care ar putea constitui o amenintare pentru entitate.
4. Auditorii interni trebuie sa evalueze gradul de eficacitate a masurilor luate astfel incat sa se poata preveni, detecta si atenua atacurile aparute in trecut, precum si orice incident sau tentativa de atac care s-ar putea produce in viitor. Auditorii interni trebuie sa confirme ca au fost bine informate atat Consiliul, cat si comitetul de audit cu privire la amenintarile sau incidentele aparute, punctele slabe exploatate si masurile corective.
5. Auditorii interni trebuie sa evalueze periodic sistemul de securitate a informatiei din entitate si sa recomande, daca este cazul, imbunatatiri sau efectuarea unor noi controale si luarea de noi masuri de siguranta. Dupa aceasta evaluare, un raport de asigurare trebuie sa fie prezentat membrilor Consiliului, . Aceste evaluari pot face obiectul misiunilor distincte si izolate sau pot fi integrate in alte misiuni realizate in cadrul altor activitati de audit sau in cadrul planului de audit aprobat.
MPA 2100-3
Rolul auditului intern in procesul de
management al riscurilor
Natura acestei Modalitati Practice de Aplicare:
Definitia auditului intern enunta faptul ca 'ajuta aceasta entitate sa isi atinga obiectivele evaluand, printr-o abordare sistematica si metodica, procesele sale de management al riscurilor, de control, si de guvernare a intreprinderii, si facand propuneri pentru a le consolida eficacitatea'. Respectarea Normelor presupune faptul ca auditorii interni joaca un rol cheie in procesul de management al riscurilor unei entitati. Obiectul prezentei MPA este acela de a ajuta auditorii interni sa-si defineasca rolul in procesul de management al riscurilor dintr-o entitate si sa respecte Normele. Poate fi necesar sa se tina cont de alte elemente decat cele cuprinse in prezenta Modalitate Practica de Aplicare.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Gestionarea riscurilor este o responsabilitate majora a conducerii care trebuie sa se asigure, pentru a-si atinge obiectivele, de implementarea si buna functionare a proceselor de management al riscurilor. Este obligatia Consiliului si a comitetului de audit de a se asigura de existenta proceselor adecvate, suficiente si eficace de management al riscurilor. Rolul auditorilor interni consta in a asista atat conducerea cat si comitetul de audit, examinand si evaluand procesele de management al riscurilor puse in practica de conducere, verificand daca sunt suficiente si eficace, elaborand apoi rapoarte si recomandari in vederea imbunatatirii acestora. Conducerea si Consiliul sunt responsabile de procesele de control si de management al riscurilor din cadrul entitatii lor. Totusi, auditorii interni pot, in cadrul unei misiuni de consultanta/consiliere , sa ajute organizatia sa identifice, sa evalueze si sa implementeze un sistem de management al riscurilor si al controalelor care sa raspunda acestor riscuri.
2. Evaluarea proceselor de management al riscurilor entitatii si informarea cu privire la aceste evaluari fac parte in mod normal din obiectivele prioritare ale auditului. Trebuie sa se faca deosebire intre evaluarea procesului de management al riscurilor si analiza riscurilor pe care auditorii trebuie sa o efectueze pentru a-si planifica activitatile. Totusi, informatiile obtinute dintr-un proces complet de management al riscurilor, si mai ales identificarea subiectelor de interes pentru conducere si Consiliu, il pot ajuta pe auditorul intern sa isi planifice activitatile de audit.
3. Responsabilul auditului intern trebuie sa cunoasca asteptarile de la conducerii si Consiliului cu privire la rolul auditului intern in procesul de management al riscurilor entitatii. Acest rol va fi precizat in cartele auditului intern si ale comitetului de audit.
4. Responsabilitatile si activitatile tuturor persoanelor care intervin in grup sau individual in procesul de management al riscurilor entitatii trebuie sa fie coordonate. Aceste responsabilitati si activitati trebuie sa se regaseasca in mod corect prin planurile strategice ale entitatii, solutiile Consiliului ,decizii ale conducerii, procedurile operationale si alte instrumente care tin de guvernarea corporativa . De exemplu, activitatile si responsabilitatile cuprind:
. definirea orientarilor strategice, care pot fi in sarcina Consiliului sau a unui comitet;
. responsabilitatile legate de riscurile pot sa revina conducerii generale . acceptarea riscurilor reziduale, care poate fi incredintata cadrelor de conducere;
. operatiunile continue de identificare, evaluare, atenuare si monitorizare, care pot fi delegate personalului de executie;
. evaluarile periodice si realizarea unei asigurari trebuie sa fie in sarcina auditului intern.
5. Se asteapta din partea auditorilor interni sa identifice si sa evalueze expunerile la risc semnificative in cadrul activitatilor lor curente.
6. Rolul auditului intern in procesul de management al riscurilor unei entitati poate evolua in timp si se poate regasi sub urmatoarele forme:
. nici o interventie a auditului intern;
. auditarea procesului de management al riscurilor in cadrul programului de audit intern;
. sprijin activ si continuu, si participare la procesul de management al riscurilor, mai ales in cadrul comitetelor de supraveghere si de monitorizare si in cadrul emiterii de rapoarte privind acest proces;
. gestionarea si coordonarea procesului de management al riscurilor.
7. In definitiv, cadrelor de conducere si comitetului de audit le revine sarcina de a determina rolul auditului intern in procesul de management al riscurilor. Viziunea conducerii asupra rolului auditului intern va depinde, dupa cat se pare, de factori precum cultura entitatii, competenta auditorilor interni, conjunctura locala si practicile tarii.
8. Alte linii directoare figureaza in urmatoarele Modalitati Practice de Aplicare:
. Modalitatea Practica de Aplicare nr. 2100-4. Rolul auditului intern in lipsa procesului de management al riscurilor.
. Modalitatea Practica de Aplicare nr. 1130.A1-2. Responsabilitatile exercitate de auditul intern in baza altor functii.
. Modalitatea Practica de Aplicare nr. 2110-1. Evaluarea procesului de management al riscurilor.
. Modalitatea Practica de Aplicare nr. 2010-2. Luarea in considerare a riscurilor la elaborarea programului de audit.
MPA2100-4
Rolul auditului
intern in absenta procesului de
management al riscurilor
Natura acestei Modalitati Practice de Aplicare:
Definitia auditului intern enunta faptul ca 'ajuta organizatia sa isi atinga obiectivele evaluand, printr-o abordare sistematica si metodica, procesele sale de management al riscurilor, de control, si de guvernare a intreprinderii, si facand propuneri pentru a le consolida eficacitatea'.
Respectarea Normelor pentru Practica Profesionala a auditului intern presupune faptul ca auditorii interni sa joace un rol cheie in procesul de management al riscurilor unei entitati. Totusi, anumite entitati nu dispun de nici un proces real de gestionare a riscurilor. Obiectul prezentei MPA este acela de a ajuta auditorii interni sa-si defineasca rolul in cadrul unei entitati in care nu exista un astfel de proces. Poate fi necesar sa se tina cont de alte elemente decat cele cuprinse in prezenta Modalitate Practica de Aplicare.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Managementul riscurilor este o responsabilitate majora a conducerii care trebuie sa se asigure, pentru a-si atinge obiectivele, de implementarea si buna functionare a proceselor de management al riscurilor. Consiliul si comitetul de audit trebuie sa se asigure de aplicarea proceselor adecvate, suficiente si eficace de management al riscurilor. Rolul auditorilor interni consta in a asista atat conducerea cat si comitetul de audit, examinand si evaluand procesele de management al riscurilor , verificand suficienta si eficacitatea lor, elaborand apoi rapoarte si recomandari in vederea imbunatatirii acestora. Conducerea si Consiliul sunt responsabile de procesele de control si de management al riscurilor din cadrul entitatii lor. Totusi, auditorii interni pot, in cadrul unei misiuni de consultanta/consiliere , sa ajute organizatia sa identifice, sa evalueze si sa implementeze un sistem de management al riscurilor si de control care sa raspunda acestor riscuri.
2. Evaluarea proceselor de management al riscurilor entitatii si informarea cu privire la aceste evaluari fac in mod normal parte din obiectivele prioritare ale auditului. Trebuie sa se faca deosebire intre evaluarea proceselor de management al riscurilor adoptate de catre conducere si analiza riscurilor pe care auditorii trebuie sa o efectueze pentru a-si intocmi programul de activitate. Totusi, informatiile extrase dintr-un proces complet de management al riscurilor, inclusiv identificarea subiectelor de interes pentru conducere si Consiliu, il pot ajuta pe auditorul intern in planificarea activitatilor de audit.
3. Responsabilul auditului intern trebuie sa solicite informatii de la conducere si Consiliu cu privire la rolul auditului intern in procesul de management al riscurilor entitatii. Acest rol va fi precizat in cartele auditului intern si ale comitetului de audit.
4. in cazul in care organizatia nu a adoptat un proces de management al riscurilor, auditorul intern trebuie sa atraga atentia conducerii asupra acestui aspect si sa formuleze sugestii in vederea adoptarii unui astfel de proces. Auditorul intern trebuie sa consulte conducerea si Consiliul cu privire la rolul auditului intern in procesul de management al riscurilor. Cartele auditului intern si ale comitetului de audit trebuie sa indice rolul lor in acest proces.
5. Auditorii interni pot, daca li se solicita acest lucru, sa joace un rol activ participand la initierea unui proces de management al riscurilor in cadrul entitatii. In afara misiunii lor clasice de asigurare, acestia isi asuma un rol de consultanta/consiliere in vederea imbunatatirii proceselor fundamentale. Daca aceasta asistenta depaseste cadrul misiunilor de asigurare si de consiliere incredintate in general auditorilor interni, independenta auditorilor poate fi afectata. In acest caz, trebuie ca ei sa respecte obligatia de informare prevazuta de Norme. Directive complementare se gasesc si in Modalitatea Practica de Aplicare nr. 1130.A1 -2 referitoare la responsabilitatile exercitate de auditul intern in baza altor functii.
6. Este necesar sa se faca o diferenta intre rolul activ al auditorului in implementarea si gestionarea unui dispozitiv de management al riscurilor si rolul de 'responsabil al riscurilor'. Pentru a evita ca responsabilitatea riscurilor sa le fie atribuita, auditorii interni trebuie sa obtina de la conducere confirmarea ca aceasta urmareste identificarea, atenuarea si monitorizarea riscurilor si ca isi asuma responsabilitatea acestor actiuni.
7. In concluzie, auditorii interni pot facilita sau permite aplicarea proceselor de management al riscurilor, dar aceasta nu inseamna ca trebuie sa isi asume responsabilitatea pentru managementul riscurilor identificate.
MPA 2100-5
Aspecte juridice ale evaluarii programelor de conformitate Evaluarea programelor de 'compliance' (conformitate cu reglementarile) - aspecte juridice
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii atunci cand evalueaza programele de conformitate ale unei entitati. Prezenta MPA nu are ca scop prezentarea tuturor procedurilor care pot fi necesare in furnizarea de asigurari suficiente .
Respectarea Modalitatilor Practice de Aplicare este facultativa. Avertisment - Auditorii interni trebuie sa consulte un jurist cu privire la orice problema de ordin juridic, reglementarile putand fi foarte diferite de la o tara la alta. Indrumarile cuprinse in prezenta Modalitate Practica de Aplicare se bazeaza in principal pe sistemul juridic din Statele Unite.
1. Obiectul programelor de conformitate consta in sprijinirea entitatilor in prevenirea infractiunilor comise neintentionat de catre personal, identificarea actelor ilegale si descurajarea oricarei infractiuni comise cu buna stiinta de catre personal. Aceste programe faciliteaza de asemenea justificarea cererilor de plata a despagubirilor , delimitarea responsabilitatilor conducerii si a resturilor personalului crearea sau consolidarea identitatii corporative si aprecierea corectitudinii despagubirilor. Pentru a evalua programele de conformitate ale unei entitati, auditorii interni trebuie sa examineze urmatoarele puncte care au ca obiect garantarea eficientei acestor programe.
2. Organizatia trebuie sa stabileasca, pentru personal si ceilalti agenti, standarde si proceduri de conformitate care vor permite reducerea , in mod rezonabil, a riscului de conduita ilegala .
. Organizatia trebuie sa elaboreze un cod de conduita scris, indicand clar activitatile interzise. Acest cod trebuie sa fie redactat intr-un limbaj usor de inteles si lipsit de jargoane juridice.
. Un bun cod de conduita furnizeaza angajatilor indrumari in problemele relevante . Inserarea unor 'check-list-uri si a unei sectiuni de intrebari-raspunsuri, precum si trimiterea la alte surse continand informatii mai ample, vor face acest cod mai usor de utilizat .
. Organizatia trebuie sa realizeze o organigrama care sa permita identificarea membrilor Consiliului de Administratie a conducerii generale, a responsabilului cu conformitatea si a personalului insarcinat cu implementarea programelor de conformitate.
. Un cod de conduita poate mari riscul comiterii de activitati ilegale sau contrare eticii de catre angajati daca acestia il considera formalist si inechitabil, sau dimpotriva poate reduce acest risc daca ei il considera la obiect si echitabil.
. Societatile care folosesc un sistem de recompense financiare pentru comportamente ilegale sau aparent contrare eticii creeaza un mediu putin propice respectarii reglementarilor.
. Societatile internationale trebuie sa instaureze un program de conformitate la scara mondiala, nu doar pentru anumite zone geografice . Aceste programe trebuie sa tina cont de conditiile legislatiile si reglementarile nationale.
3. Se recomanda desemnarea in cadrul entitatii a unuia sau a mai multor angajati cu functie de conducere care sa supravegheze conformitatea cu normele si procedurile .
. colaboratorii cu functie de conducere sunt persoanele care joaca un rol important in entitate sau in procesul de luare a deciziilor.
. Angajatii cu functii de conducere pot fi administratorii, un director, un presedinte persoanele cu functii de conducere responsabile de o ramura sau de o parte importanta din cadrul entitatii cum ar fi vanzari, administratie sau finante, precum si persoanele care au un rol important in cadrul entitatii.
. Directorul General si ceilalti membri ai comitetului executiv trebuie sa se implice in mare masura in program pentru a asigura eficacitatea acestuia.
. In anumite entitati, atribuirea responsabilitatii pentru conformitate coordonatorului departamentului juridic al societatii poate determina personalul sa creada ca managementul nu este interesat de program si ca acesta din urma nu prezinta importanta decat pentru departamentul juridic si nu pentru intreaga entitate. In alte entitati, aceeasi distributie poate avea efectul invers.
. In marile societati care cuprind mai multe unitati de profit, este indicat sa se desemneze in fiecare dintre acestea un angajat cu functie de raspundere l responsabil de respectarea conformitatii .
. Nu este suficient sa se creeze postul de responsabil cu conformitatea si sa se selecteze ceilalti membri ai echipei. Societatea trebuie de asemenea sa se asigure ca acestia au autoritatea si resursele necesare exercitarii misiunii lor. In plus, trebuie ca ei sa aiba acces la conducerea generala. Acest responsabil cu conformitatea trebuie sa fie direct subordonat directorului general .
4. Organizatia nu trebuie sa delege competente nelimitate importante unor persoane despre care stie, sau ar trebui sa stie, ca ar putea comite activitati ilicite.
. Societatile trebuie sa verifice antecedentele oricarui candidat la un post, indiferent de nivelul acestuia si sa se asigure ca nu a comis nici o ilegalitate, in special in sectorul de activitate al societatii.
. Formularele de candidatura ar trebui sa cuprinda o rubrica privind cazierul judiciar. Va trebui ca membrii profesiunilor reglementate sa fie chestionati cu privire la orice antecedent disciplinar.
. Se recomanda ca societatea sa nu prejudicieze in nici un fel viata privata a angajatilor si a candidatilor, conform legilor aplicabile in acest domeniu. Numeroase tari au o legislatie care limiteaza informatiile pe care o societate le poate obtine in cadrul verificarilor privind personalul.
5. Organizatia trebuie sa asigure o buna comunicare a normelor si a procedurilor sale catre intregul personal si agentii sai . In acest sens, ea poate, de exemplu, solicita participarea acestora la programe de formare sau poate distribui documente prin care acestora li se explica ce se asteapta de la ei.
. Eficacitatea unui program de conformitate va depinde de modul in care este prezentat angajatilor . In general, comunicarea de tip interactiv este mai eficace decat o expunere formala. In acelasi timp, programele comunicate personal functioneaza in general mai bine decat programele prezentate in intregime sub forma de video sau joc. Organizarea de sesiuni periodice este mai eficace decat o prezentare unica.
. Cele mai bune programe includ o instruire care permite salariatilor sa experimenteze noi tehnici si sa exploateze noi informatii. Acest tip de instruire, special adaptat pentru conducere, este de asemenea eficace pentru angajatii de la toate nivelurile.
. Codul de conduita si manualul personalului trebuie sa fie redactate astfel incat sa faciliteze intelegerea. Modalitati alternative de prezentare a codului si a manualului trebuie sa fie adoptate si aplicate pentru colaboratorii care nu au un nivelul necesar de studii.
. Conformitatea cu reglementarile trebuie sa faca obiectul consilierilor, declaratiilor si avertismentelor distribuite angajatilor pe diverse suporturi: buletine, afise, curier electronic, chestionare si prezentari.
. Se recomanda ca programul sa fie prezentat in mai multe etape diferitelor categorii de personal, avand informatiile prezentate pe punctele care sunt importante pentru fiecare grup. Informatiile distribuite trebuie sa fie adaptate fiselor posturilor specifice grupului avut in vedere. Trebuie, de exemplu, sa se comunice informatii cu privire la protectia mediului inconjurator angajatilor din serviciile de fabricare sau gestiune imobiliara care sunt mai predispusi sa comita sau sa identifice o incalcare a legislatiei sau a regulamentelor aplicabile in acest domeniu. In schimb, in cazul unui grup care nu exercita astfel de responsabilitati, aceasta formare se poate dovedi daunatoare si poate inspira doar indiferenta, sau ii poate face pe salariati sa creada ca programul este prost conceput.
. Se recomanda sa se acorde noilor angajati , in cadrul programului de indrumare care le este destinat, o instruire de baza privind conformitatea cu reglementarile. Ulterior , acestia vor putea fi inclusi in actiunile intreprinse in cadrul serviciului lor.
. Agentii din cadrul entitatii trebuie sa fie invitati la o prezentare special destinata lor. Este important ca o societate sa comunice agentilor sai valorile fundamentale ale entitatii si sa-i informeze cu privire la faptul ca actiunile in care acestia reprezinta societatea vor face obiectul unei monitorizari in cadrul unui program de conformitate din moment ce acestia angajeaza societatea. Organizatia trebuie sa fie pregatita sa inceteze relatiile cu agentii care nu adera la principiile sale in ceea ce priveste conceptul de conformitate .
. Entitatile trebuie sa solicite periodic de la salariatii lor o declaratie scrisa care sa ateste ca acestia cunosc codul de conduita al societatii, ca l-au inteles si ca il respecta. Aceste informatii trebuie sa fie comunicate anual conducerii generale si Consiliului de Administratie.
. Toate documentele referitoare la etica - coduri de conduita, politici /manuale ale de Resurse Umane, etc. - trebuie sa fie puse la dispozitia fiecarui salariat. Se recomanda cu tarie adoptarea unui mod de acces permanent cum ar fi difuzarea pe intranet.
6. Organizatia trebuie sa ia masuri adecvate pentru a asigura respectarea normelor sale. De exemplu, aceste masuri includ utilizarea sistemelor de monitorizare si de audit permitand detectarea infractiunilor comise de angajati si agenti, precum si prezentarea pentru angajatii si agentii din cadrul entitatii a unui sistem prin care acestia pot raporta, fara teama de masuri coercitive , infractiunile comise de alte persoane din cadrul entitatii.
. Organizatia trebuie sa asigure resursele adecvate pentru planul de audit intern tinand cont de dimensiunile societatii si de dificultatea sarcinilor de audit. Planul de audit trebuie sa fie axat pe operatiunile specifice fiecarei ramuri de activitate a entitatii.
. Planul de audit trebuie de asemenea sa cuprinda o expunere a programului de conformitate al entitatii si a procedurilor sale, expunere al carei obiect principal va fi sa se verifice daca documentele scrise sunt eficiente , daca comunicarile au fost receptate de angajati , daca au fost corect solutionate situatiile in care s-au identificat proceduri incalcate daca problemele de disciplina au fost rezolvate in mod echitabil, daca nu s-au luat masuri coercitive impotriva persoanelor care au raportat infractiunile comise si daca serviciul de conformitate si-a indeplinit responsabilitatile. Auditorii trebuie sa examineze programul de conformitate, sa identifice posibilele imbunatatiri si sa solicite opinia angajatilor cu privire la acest punct.
. Fiecare program trebuie sa cuprinda un telefon de urgenta sau alt sistem de comunicare prin care angajatii pot raporta activitatile pe care le considera ilegale sau contrare eticii sau codului de conduita al entitatii. Este necesar ca personalul sa aiba libertatea de a dezvalui astfel de incalcari fara teama de masuri coercitive .
. In momentul in care responsabilitatea monitorizarii telefonului de urgenta este incredintata unui avocat, secretul profesional al clientilor sai sau cel cuprins in dosarele de lucru este mai bine pastrat. Totusi, rezultatele unui studiu arata ca angajatii nu au deloc incredere in numerele de urgenta gestionate de serviciul juridic sau de un prestator extern. Acest studiu a mai aratat ca ei au si mai putina incredere in rapoartele emise sau apelarea la un mediator extern. Liniile telefonice de urgenta gestionate de un reprezentant intern al entitatii si sprijinite de o politica de evitare a masurilor coercitive sunt cele care le inspira cea mai mare incredere.
. Apelarea la un mediator intern este mai eficace daca acesta este direct subordonat unui responsabil cu conformitatea sau Consiliului de Administratie, daca acesta poate pastra anonimatul avertizorilor , daca le ofera consultanta/consiliere si daca efectueaza o monitorizare cu scopul de a se asigura ca nu s-au luat masuri coercitive impotriva lor . De altfel, in unele legislatii , mediatorul beneficiaza de protectie si nu este obligat sa dezvaluie informatiile confidentiale care i-au fost comunicate.
. Chestionarul asupra eticii este un mod eficace de a detecta actele ilegale sau contrare eticii. Chestionarul este destinat fiecarui angajat al entitatii, care trebuie sa indice daca are cunostinta de informatii privind luarea de mita, 'micile atentii' sau alte nereguli Pentru a oferi toate garantiile de protectie, chestionarul trebuie sa fie trimis de consilierul juridic al entitatii, sa mentioneze o clauza de confidentialitate sa precizeze ca angajatul trebuie sa completeze, sa semneze si sa inapoieze chestionarul fara a pastra o copie, si sa indice faptul ca organizatia isi rezerva dreptul de a divulga informatiile furnizate fie autoritatilor publice, fie justitiei. De retinut ca aceasta confidentialitate a informatiilor nu mai este garantata in cazul in care chestionarul este divulgat unor terte parti.
7. Respectarea regulilor trebuie sa fie asigurata constant printr-un sistem adecvat de sanctiuni vizand in special persoanele care impiedica detectarea unei infractiuni. Adoptarea de masuri disciplinare impotriva persoanelor responsabile de comiterea unei infractiuni este necesara pentru a asigura respectarea regulilor; totusi, masurile necesare nu pot fi determinate decat de la caz la caz .
. Programul de conformitate trebuie sa fie insotit de un sistem disciplinar care sa prevada aplicarea, in cazul nerespectarii codului de conduita al entitatii, a unor sanctiuni adaptate incalcarii comise cum ar fi avertismentul, neplata salariului, suspendarea, transferul sau concedierea. In momentul in care un angajat a comis un act ilegal, este posibil ca organizatia sa fie obligata sa il concedieze conform principiului dupa care 'organizatia nu trebuie sa delege competente nelimitate unor persoane despre care stie, prin supravegherea pe care o efectueaza, sau ar trebui sa stie, ca ar putea comite acte ilicite'.
. Masurile disciplinare prevazute de program trebuie sa fie echitabile. Sunt putine sanse ca programul sa reuseasca daca actele ilegale sau contrare eticii raman nepedepsite, in special daca sunt legate de activitatile conducerii generale sau ale unor producatori importanti. In lipsa sanctiunilor, infractiunile comise de aceste persoane vor incuraja acest tip de comportament in restul entitatii.
. Este posibil ca celelalte masuri disciplinare sau concedierea sa fie supuse unor restrictii care rezulta din legislatia privind avertizorii sau din exceptii privind anumite categorii de angajati , contracte de munca sau acorduri sindicale, responsabilitati ale angajatorului in ceea ce priveste discriminarea si concedierea abuziva, si legi sau jurisprudente referitoare la reaua-credinta a angajatorului.
8. In cazul in care se detecteaza o eroare, organizatia trebuie sa intreprinda toate masurile necesare pentru a o solutiona si pentru a preveni orice alte incalcari similare, modificand, daca este cazul, programul sau de prevenire si detectare a incalcarilor legii.
. Organizatia trebuie sa reactioneze in mod corespunzator fata de orice greseala detectata in cadrul programului de conformitate. Printre reactiile corespunzatoare figureaza masurile disciplinare luate impotriva celor care au comis incalcarea
. In anumite cazuri, o reactie adecvata implica denuntarea catre autoritati a infractiunii, cooperarea la anchetele desfasurate de acestea si acceptarea responsabilitatii entitatii in ceea ce priveste infractiunea. Se recomanda sa se observe ca aceste reactii, precum si existenta unui program de conformitate eficace, pot determina instanta sa reduca suma amenzii impuse entitatii.
. Nedetectarea sau neprevenirea unei infractiuni grave implica uneori necesitatea unei revizuiri a programului de conformitate. Dupa detectarea unei infractiuni, personalul responsabil cu conformitatea trebuie, cel putin, sa examineze programul si sa decida daca sunt necesare modificari.
. Este posibil ca, in urma unei infractiuni constatate, sa fie necesara inlocuirea sau reorganizarea echipei insarcinate cu activitatea de conformitate . De fapt, organizatia poate fi determinata sa sanctioneze sau sa inlocuiasca un manager pentru nedetectarea sau neprevenirea unei erori in sectoarele de care este responsabil, in special daca este vorba despre o infractiune pe care respectivul manager ar fi trebuit s-o detecteze.
Traducere: "employees" a fost tradus fie prin "salariati" , fie prin "colaboratori", fie prin "personal" ; "agents" a fost tradus prin "agenti". In acest caz este vorba despre persoane nesalariate.
Managementul riscurilor
Auditul
intern trebuie sa ajute organizatia prin identificarea
fi evaluarea expunerilor semnificative la risc si sa contribuie la imbunatatirea
sistemelor de management al riscurilor si de control.
MPA 2110-1
Evaluarea procesului de management al riscurilor
Natura acestei Modalitati Practice de Aplicare:
Auditorii interni pot fi solicitati sa verifice, la cererea conducerii si a comitetului de audit, daca organizatia dispune de procese adecvate de management al riscurilor. Aceasta responsabilitate presupune ca auditorul sa formuleze o opinie si sa indice daca procesul de management al riscurilor este suficient pentru a proteja bunurile, reputatia si activitatile entitatii. Obiectul prezentei MPA este acela de a preciza principalele obiective de care auditorul trebuie sa tina cont pentru a-si exprima opinia in ceea ce priveste procesul de management al riscurilor folosit de entitate . Aici sunt abordate numai evaluarea eficacitatii procesului si comunicarea acestuia Alte Modalitati Practice de Aplicare vor trata mai aprofundat aspectele legate de controale si de misiunile de consultanta/consiliere. Conform prezentei MPA, procesul de management al riscurilor care face parte din procesele importante ale entitatii poate si trebuie sa fie evaluat ca orice alt proces strategic important.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Gestionarea riscurilor este o responsabilitate majora a conducerii care trebuie sa se asigure, pentru a-si atinge obiectivele, de adoptarea si de buna functionare a proceselor riguroase de management al riscurilor. Sarcina de a monitoriza aplicarea proceselor adecvate, suficiente si eficiente de management al riscurilor revine consiliului si comitetului de audit. Rolul auditorilor interni este acela de a asista conducerea si comitetul de audit. In acest scop, ei trebuie sa examineze si sa evalueze procesele de management al riscurilor adoptate de conducere, sa verifice daca acestea sunt suficiente si eficace, apoi sa emita rapoarte si recomandari in vederea imbunatatirii lor. Conducerea si Consiliul sunt responsabili de procesele de management al riscurilor si de control din organizatia lor. Totusi, auditorii interni pot, in cadrul misiunilor de consultanta/consiliere , sa ajute organizatia sa identifice, sa evalueze si sa implementeze metodologii si controale privind managementul riscurilor care sa permita gestionarea acestor riscuri.
2. Evaluarea proceselor de management al riscurilor entitatii si raportarea acestor evaluari fac parte in mod normal din obiectivele prioritare ale auditului. Trebuie sa se faca distinctia intre evaluarea proceselor de management al riscurilor si analiza riscurilor pe care auditorii trebuie sa o realizeze in planificarea activitatii de audit . Totusi, informatiile rezultate in urma unui proces complet de management al riscurilor inclusiv identificarea subiectelor de interes pentru conducere si pentru Consiliu il pot ajuta pe auditorul intern sa-si planifice activitatile de audit.
3. Fiecare entitate poate adopta o metodologie proprie pentru implementarea propriului proces de management al riscurilor. Auditorul intern trebuie sa se asigure ca grupurile sau indivizii implicati in guvernarea corporativa , inclusiv Consiliul si comitetul de audit, inteleg aceasta metodologie. Pentru a formula o opinie in ceea ce priveste adecvarea in general a proceselor de management al riscurilor, auditorii interni trebuie de asemenea sa se asigure ca procesul de management al riscurilor indeplineste cinci obiective principale. Cele cinci obiective principale ale procesului de management al riscurilor sunt urmatoarele:
riscurile care decurg din strategiile si activitatile entitatii sunt identificate si ierarhizate;
conducerea si Consiliul au stabilit un nivel al riscurilor acceptabil pentru entitate, incluzand riscurile acceptate pentru punerea in aplicare a planurilor strategice ale entitatii;
activitati de atenuare a riscurilor sunt create si implementate in vederea reducerii sau gestionarii riscurilor, Tinand cont de pragurile considerate acceptabile de catre conducere si Consiliu;
o monitorizare permanenta a activitatilor este efectuata in vederea unei reevaluari periodice a riscurilor si a eficacitatii controalelor care permit gestionarea acestora;
rapoarte privind rezultatele proceselor de management al riscurilor sunt transmise periodic Consiliului si conducerii. Procesele de guvernare corporativa trebuie sa furnizeze o prezentare periodica a riscurilor, a strategiilor de risc si a controalelor, destinata celor implicati .
4. Auditorii interni trebuie sa tina cont de diferentele semnificative care pot exista intre entitati in ceea ce priveste practicile de management al riscurilor. Procesele de management al riscurilor trebuie sa fie concepute in functie de natura activitatilor entitatii. In functie de importanta si complexitatea acestor activitati, procesele de management al riscurilor pot:
sa fie formalizate sau informale;
sa aiba la baza o abordare cantitativa sau subiectiva;
sa fie integrate in diferitele unitati ale entitatii sau sa fie centralizate la nivelul corporatiei .
Procesul fiecarei entitati trebuie sa fie adaptat "culturii" sale, stilului sau de management si obiectivelor sale. De exemplu, recurgerea de catre entitate la titluri derivate sau la alte produse perfectionate de pe pietele de capital perfectionate presupune utilizarea unor instrumente cantitative de management al riscurilor. Entitatile mai mici, cu o structura mai simpla pot in schimb sa analizeze profilul de risc al entitatii si sa ia in mod periodic masuri in cadrul unui comitet informal de risc . Auditorul trebuie sa se asigure ca metodologia utilizata este exhaustiva si adaptata naturii activitatilor entitatii. Pentru a formula o opinie in ceea ce priveste procesele, auditorii interni trebuie sa dispuna de dovezi pentru a se asigura ca cele cinci obiective principale ale proceselor de management al riscurilor sunt indeplinite corespunzator. Pentru a obtine aceste elemente, auditorul intern poate sa recurga la procedurile de audit descrise mai jos.
5. Cercetarea si examinarea documentelor de referinta si a informatiilor de ordin general privind metodele de management al riscurilor pentru a aprecia daca procesul adoptat de entitate este corespunzator si se bazeaza pe cele mai bune practici din acest sector de activitate.
Cercetarea si analizarea informatiilor si referintelor privind sectorul de activitate al entitatii, privind evolutia recenta si tendintele, precum si oricare alta sursa corespunzatoare de informatii, in vederea determinarii riscurilor care ar putea afecta organizatia si a procedurilor de control utilizate in scopul gestionarii, monitorizarii si reevaluarii acestor riscuri.
Examinarea politicilor entitatii precum si a proceselor verbale ale deliberarilor Consiliului si comitetului de audit pentru a determina strategiile entitatii, abordarea de catre aceasta a managementului riscurilor, expunerea entitatii la risc si acceptarea riscurilor de catre aceasta.
Examinarea rapoartelor de evaluare a riscurilor intocmite anterior de conducere, de auditorii interni sau externi si, dupa caz, de alte surse care ar fi putut emite astfel de rapoarte .
Organizarea de intalniri cu responsabilii operationali si cu managerii lor in vederea stabilirii obiectivelor fiecarei ramuri de activitate, a riscurilor corespunzatoare si a masurilor luate de conducere privind monitorizarea, controlul si atenuarea riscurilor.
Asimilarea de informatii in vederea evaluarii, in mod independent, a eficacitatii procesului de monitorizare, de comunicare si de atenuare a riscurilor si a activitatilor de control corespunzatoare.
Verificarea transmiterii catre nivelul ierarhic corespunzator a informatiilor sau a rapoartelor referitoare la monitorizarea riscurilor.
Verificarea difuzarii conform modalitatilor si termenelor corespunzatoare a rapoartelor privind rezultatele managementului riscurilor.
Asigurarea ca analiza riscurilor efectuate de conducere si a masurilor luate in vederea solutionarii problemelor ridicate in cadrul procesului de management al riscurilor au un caracter exhaustiv, si propunerea de solutii de imbunatatire a situatiei.
Aprecierea eficacitatii procesului de autoevaluare adoptat de conducere, pe baza observatiilor si testelor privind procedurile de monitorizare si de control care testeaza exactitatea informatiilor folosite in cadrul activitatilor de monitorizare si pe baza altor tehnici corespunzatoare.
Examinarea eventualelor puncte slabe in tacticile de management al riscurilor si, dupa caz, analizarea acestora impreuna cu conducerea, comitetul de audit si Consiliul. Daca auditorul estimeaza ca managementul a acceptat un nivel de risc incompatibil cu strategia si politicile entitatii privind gestionarea riscurilor, sau considerat inacceptabil pentru entitate, auditorul trebuie sa faca referire la Norma 2600 privind acceptarea riscurilor de catre conducere, si la orice indrumare suplimentara .
Controlul
Auditul
intern trebuie sa ajute organizatia sa mentina
un mecanism de control corespunzator
evaluand eficacitatea
si eficienta sa si incurajand imbunatatirea sa continua.
2120.A1
Pe baza rezultatelor evaluarii riscurilor,
auditul intern trebuie sa evalueze relevanta si eficacitatea
mecanismului de control privind
guvernarea entitatii ,
operatiunile si sistemele de informare
ale acesteia .
Aceasta evaluare trebuie sa cuprinda urmatoarele aspecte:
credibilitatea si integritatea informatiilor financiare si operationale;
eficacitatea si eficienta operatiunilor;
protectia patrimoniului;
respectarea legilor, a regulamentelor si a contractelor.
MPA 2120.A1 - 1
Evaluarea proceselor de control intern si raportarea acestora
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii in evaluarea eficacitatii mecanismului de control al unei entitati si in raportarea rezultatelor acestei evaluari conducerii generale si Consiliului. Informatiile colectate in decursul exercitiului, in cadrul activitatilor de audit, trebuie sa fie suficiente pentru a permite evaluarea mecanismului de control si formularea unei opinii.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
. Una din misiunile Consiliului este stabilirea si mentinerea proceselor de guvernare a intreprinderii si obtinerea asigurarii ca procesele de management al riscurilor si de control sunt eficace. Rolul directiei generale este acela de a superviza stabilirea , gestionarea si evoluarea acestor procese. Acest sistem de control, cu multiple fatete, are scopul de a ajuta pe angajatii entitatii in gestionarea riscurilor si indeplinirea obiectivelor fixate si comunicate in cadrul entitatii. Mai exact, aceste procese de control trebuie sa asigure indeplinirea urmatoarelor conditii:
. informatiile financiare si operationale sunt credibile si indeplinesc criteriul de integritate;
. operatiunile sunt realizate in mod eficace si eficient;
. activele sunt protejate ;
. actiunile intreprinse si deciziile luate de entitate sunt in conformitate cu legea, reglementarile si contractele.
2. Managerii entitatii trebuie sa evalueze procesele de control adoptate in domeniile de care raspund . Auditorii interni si cei externi ofera diverse niveluri de asigurare in ceea ce priveste gradul de eficacitate a proceselor de management al riscurilor si de control puse in practica in respectivele activitati si segmente ale entitatii.
3. Directia generala si comitetul de audit considera in general activitatile indeplinite si informatiile colectate de responsabilul auditului intern in cursul exercitiului ca fiind suficiente pentru a-i permite sa formuleze o opinie cu privire la relevanta si eficacitatea proceselor de control. Responsabilul auditului intern trebuie sa comunice conducerii generale si comitetului de audit aceasta opinie de ansamblu cu privire la sistemul de control al entitatii. Un numar din ce in ce mai mare de entitati includ, in rapoartele anuale sau periodice destinate tertilor, un raport al conducerii cu privire la sistemul de control intern si la procesul de management al riscurilor.
4. Responsabilul auditului intern trebuie sa elaboreze un proiect de plan de audit pentru anul urmator, care sa asigure ca elementele colectate vor permite evaluarea eficacitatii proceselor de control. Acest plan trebuie sa ia in considerare necesitatea de a strange , in cadrul misiunilor de audit sau a celorlalte proceduri , informatii pertinente cu privire la toate segmentele si unitatile operationale importante. Se recomanda de asemenea sa se acorde o atentie deosebita operatiunilor afectate in mare masura de modificarile recente sau prevazute care pot aparea ca rezultat al pietei, conditiilor de investitie, de achizitie si de cesiune sau restructurare, si al noilor asocieri . Planul propus trebuie sa fie suficient de flexibil pentru a permite o actualizare in cursul anului, in cazul in care strategiile de conducere sau mediul exterior evolueaza sau in cazul reajustarii previziunilor legate de indeplinirea obiectivelor entitatii.
5. Odata cu elaborarea proiectului planului de audit, responsabilul auditului intern trebuie sa tina cont de activitatile care vor fi efectuate de terti. Pentru a minimaliza redundanta si lipsa de eficienta se recomanda sa se intocmeasca un plan de audit al exercitiului viitor tinand cont de activitatile planificate de auditorii externi si de activitatile planificate sau realizate recent de catre conducere in cadrul evaluarii proceselor de control si de imbunatatire a calitatii.
6. In fine, responsabilul auditului intern trebuie sa evalueze aria de aplicabilitate planul propus si din doua perspective: planul trebuie adaptat la toate entitatile entitatii si trebuie sa se aplice pentru diferite tipuri de tranzactii si de activitati de afaceri . Daca aria de aplicabilitate a planului de audit propus nu permite formularea unei asigurari cu privire la procesele de control din entitate, responsabilul auditului intern trebuie sa informeze conducerea generala si comitetul de audit cu privire la aceste lipsuri, la cauzele lor si consecintele probabile.
7. Provocarea pentru auditul intern consta in evaluarea eficacitatii dispozitivului de control din entitate pe baza numeroaselor evaluari individuale. Aceste evaluari provin, in mare parte, din misiunile de audit intern, din autoevaluarile efectuate de conducere si din activitatile auditorilor externi. Pe masura ce misiunile se deruleaza, auditorii interni trebuie sa comunice observatiile lor celor responsabili, astfel incat sa poata fi luate rapid masuri pentru a remedia punctele slabe sau inadvertentele constatate sau pentru a le atenua consecintele.
8. Evaluarea eficacitatii proceselor de control dintr-o entitate trebuie sa tina cont de urmatoarele trei elemente cheie:
. Activitatile de audit si informatiile adunate in cadrul evaluarilor au scos in evidenta inadvertentele sau punctele slabe semnificative?
. In cazul unui raspuns pozitiv, s-au facut corecturile sau imbunatatirile necesare dupa constatarea anomaliilor sau a punctelor slabe?
. Aceste inadvertente sau puncte slabe si consecintele lor sunt generalizate si determina astfel un grad de risc inacceptabil?
Existenta temporara a unei inadvertente sau a unui punct slab semnificativ nu inseamna neaparat ca aceasta inadvertenta sau punct slab este generalizat si ca atrage dupa sine un risc rezidual inacceptabil. Natura inadvertentelor sau a punctelor slabe constatate, caracterul lor restrans sau generalizat, precum si gravitatea consecintelor sau a expunerilor la risc , reprezinta tot atatia factori de luat in considerare pentru a determina daca este pusa sub semnul intrebarii problema eficacitatii ansamblului mecanismului de control si daca exista riscuri inacceptabile. Responsabilul auditului intern trebuie sa prezinte conducerii generale si comitetului de audit, in general o data pe an, un raport cu privire la starea proceselor de control din entitate.
9. Acest raport trebuie sa sublinieze importanta rolului jucat de procesele de control in indeplinirea obiectivelor entitatii. Trebuie de asemenea sa contina principalele activitati realizate de auditul intern si alte surse importante de informatii pe care se bazeaza rationamentul general . Partea din raport destinata opiniei este in general formulata printr-o asigurare negativa; acest lucru inseamna ca activitatile de audit efectuate pentru perioada in cauza si celelalte informatii colectate nu au scos in evidenta punctele slabe semnificative si generalizate ale proceselor de control. In cazul unei inadvertente sau al unui punct slab semnificativ si generalizat, aceasta parte a raportului poate contine rezerve sau o opinie nefavorabila, in functie de gravitatea prevazuta a riscului rezidual si de impactul acestuia asupra obiectivelor entitatii.
Membrii conducerii si ai comitetului de audit sunt principalii destinatari ai raportului anual. Dat fiind faptul ca ei abordeaza diferit auditul si activitatea, raportul anual al responsabilului auditului intern trebuie sa fie clar, concis si bine documentat. Trebuie sa fie conceput si redactat astfel incat sa fie usor de citit si sa satisfaca nevoia de informarea destinatarilor. Raportul va fi cu atat mai util cu cat va cuprinde si principalele recomandari si imbunatatiri propuse, precum si informatii despre problemele de actualitate (de exemplu, riscurile aferente tehnologiilor si sigurantei informatiilor), despre tipul de inadvertente sau puncte slabe constatate in entitate, si despre dificultatile pe care le poate ridica respectarea legilor sau a reglementarilor.
11. Exista in mod vizibil un 'decalaj' in ceea ce priveste efectele asteptate de la activitatile de audit intern in materie de evaluare si asigurare a starii proceselor de control. Acest decalaj vizeaza printre altele aspiratiile conducerii si ale comisiei de audit care, de regula , se asteapta la prestari de audit intern cu o valoare sporita si pe acelea mai modeste ale auditorului intern care cunoaste limitele practice ale ariei de aplicabilitate a auditului si care nu e foarte sigur ca a intrunit toate dovezile suficiente pentru a justifica un rationament clara si obiectiva. Responsabilul auditului intern trebuie sa acorde atentie decalajului care poate exista intre presupunerile cititorului raportului si realitatea exercitiului care a fost executat. Acest raport trebuie utilizat ca o alta modalitate de a te adresa unor modele mentale diferite si de a sugera o imbunatatire a capacitatilor auditului intern sau diminuarea constrangerilor care dauneaza eficientei.
MPA2120.A1 -2
Utilizarea autoevaluarii controalelor pentru a evalua
relevanta proceselor de control
Natura acestei Modalitati Practice de Aplicare:
Managerii si auditorii interni pot adopta o metodologie fondata pe autoevaluarea controalelor (CSA) pentru a se asigura ca procesele de management al riscurilor si de control din entitate sunt adecvate . Auditorii interni pot apela la programe de autoevaluare a controalelor pentru a strange informatiile relevante cu privire la riscuri si controale, pentru a axa planul de audit pe riscurile importante si pe elementele exceptionale, si pentru a consolida colaborarea cu directorii operationali si grupurile de lucru.
Respectarea Modalitatilor Practice este facultativa.
1. Conducerea trebuie sa supervizeze stabilirea gestionarea si evaluarea proceselor de management al riscurilor si de control. Directorii operationali sunt insarcinati tocmai cu evaluarea riscurilor si controalele existente in unitatile lor. Auditorii interni si auditorii externi ofera diferite grade de asigurare in ceea ce priveste eficienta proceselor de management al riscurilor si de control din entitate. Ar fi util ca managerii si auditorii sa foloseasca tehnici si instrumente axate pe evaluarea proceselor de management al riscurilor si de control existente, precum si pe identificarea mijloacelor de sporire a eficacitatii acestora.
2. Punerea in practica a unei metodologii fondate in principal pe studiile de autoevaluare si pe animarea de ateliere de lucru (CSA sau Autoevaluarea controalelor) constituie pentru manageri si auditorii intern un mijloc util si eficace de a colabora la evaluarea procedurilor de control. In principiu, luarea in considerare a obiectivelor sau a riscurilor face parte integranta din autoevaluarea controalelor (CSA) care uneori este denumita 'autoevaluarea controalelor si a riscurilor' (CRSA). Utilizatorii CSA folosesc diferite tehnici, insa marea parte a programelor implementate prezinta anumite caracteristici si obiective comune. 0 entitate care practica autoevaluarea dispune de un proces formalizat si documentat gratie caruia conducerea si grupurile de lucru care sunt direct implicate intr-o unitate operationala, un segment sau un proces, pot participa in mod structurat la urmatoarele operatiuni:
identificarea riscurilor si expunerilor la risc existente;
evaluarea proceselor de control care permit atenuarea sau gestionarea acestor riscuri;
elaborarea de planuri de actiuni prin care sa se aduca riscurile la niveluri acceptabile;
estimarea probabilitatii ca obiectivele entitatii sa fie atinse.
3. Procesele de autoevaluare pot prezenta urmatoarele avantaje:
4. Abordarea adoptata in cadrul unui program de autoevaluare a controalelor variaza mult in functie de sectorul de activitate al entitatii, de pozitia, structura si cultura sa organizationala, de gradul de autonomie al personalului sau, de stilul de conducere si modalitatea de formulare a strategiilor si a politicilor , ceea ce ne face sa credem ca succesul intalnit de un anumit tip de program de autoevaluare intr-o anumita entitate nu poate fi intalnit si in alta parte. Procesul de autoevaluare trebuie personalizat si adaptat la caracteristicile fiecarei entitati. Trebuie deci sa se adopte o abordare dinamica si aceasta sa fie modificata in functie de evolutia entitatii.
5. Programele de autoevaluare se prezinta, in principal, sub urmatoarele trei forme: ateliere de lucru in echipa, anchete si analize si studii realizate de catre conducere. Entitatile folosesc adesea o combinatie intre abordari.
6. In cadrul atelierelor de lucru se aduna informatiile colectate de grupurile de lucru care reprezinta, la diferite niveluri, unitatea sau segmentul in cauza. Atelierul poate fi axat pe obiective, riscuri, controale sau procese.
7. Anchetele sunt realizate cu ajutorul unui chestionar la care in general trebuie raspuns cu da sau nu, intrebarile fiind formulate cu grija astfel incat sa fie usor de inteles. Anchetele sunt adesea utilizate atunci cand persoanele ce trebuie consultate sunt prea multe sau prea raspandite pentru a participa la un atelier. Ele sunt folosite si atunci cand cultura entitatii nu favorizeaza dialogul sincer si deschis in cadrul atelierelor sau daca managementul doreste sa economiseasca timp si bani in procesul de colectare a informatiilor.
8. Forma de autoevaluare denumita 'analize realizate de conducere' cuprinde majoritatea celorlalte abordari adoptate de grupurile de conducere pentru a strange informatii cu privire la anumite procese, anumite activitati de management al riscurilor sau anumite proceduri de control. Studiul are adesea ca scop emiterea, in termene rezonabile de timp, a unei opinii clare cu privire la anumite caracteristici ale procedurilor de control. Acest lucru se realizeaza in principal de catre o echipa din postul respectiv sau care joaca rolul de suport. Auditorul intern poate sintetiza aceasta analiza si alte informatii pentru a-si imbunatati cunostintele cu privire la controale si a le impartasi si responsabililor unitatilor operationale sau functionale in cadrul programului de autoevaluare a controalelor din entitate.
9. Toate programele de autoevaluare se bazeaza pe faptul ca membrii conducerii si ai grupurilor de lucru cunosc bine conceptele de risc si control si ca le utilizeaza pentru a comunica. in timpul instruirilor, entitatile folosesc adesea un cadru, de control precum modelele COSO si COCO, destinat facilitarii bunei derulari a discutiilor in cadrul atelierelor si verificarii caracterului exhaustiv al ansamblului procesului.
Ca regula generala, atelierele au ca rezultat emiterea unui raport redactat in mare parte in timpul discutiilor. Se va realiza un consens cu privire la diferitele subiecte de discutie, iar grupul va examina proiectul de raport inainte de sfarsitul ultimei sesiuni. Anumite programe cuprind un sistem de vot anonim care asigura libera circulatie a informatiilor si a parerilor in timpul atelierelor si care faciliteaza rezolvarea divergentelor de puncte de vedere si de interese.
Auditul intern se implica foarte mult in anumite programe de autoevaluare a controalelor. El poate sa initieze, sa conceapa, sa aplice, si de fapt sa isi insuseasca procesul, sa coordoneze formarea, sa puna la dispozitie moderatorii , secretarele si raportorii, si sa coordoneze participarea conducerii si a grupurilor de lucru. in cadrul altor programe, auditul intern isi reduce participarea la minimum si nu intervine decat in calitate de parte interesata si consultant pentru intreg procesul, pentru a verifica in ultima instanta concluziile echipelor. In marea majoritate a cazurilor, implicarea auditului intern in programele de autoevaluare a controalelor se situeaza intre aceste doua extreme. Cu cat este mai importanta participarea auditului intern la programele de autoevaluare si la discutiile organizate in ateliere, cu atat responsabilul auditului intern trebuie sa se asigure de obiectivitatea echipei de audit intern, sa ia masuri in acest sens (daca este necesar), si sa mareasca numarul de teste efectuate pentru a se asigura ca opinia finala este obiectiva si impartiala Conform Normei 1120: 'Auditorii interni trebuie sa adopte o atitudine impartiala si nepartinitoare si sa evite conflictele de interese'.
Existenta unui program de autoevaluare a controalelor consolideaza rolul traditional al auditului intern deoarece ii permite acestuia sa asiste conducerea in exercitarea responsabilitatilor ei, mai ales in ceea ce priveste implementarea si mentinerea procesului de management al riscurilor si de control si in ceea ce priveste evaluarea sistemului. In cadrul unui astfel de program, auditul intern, unitatile operationale si functionale coopereaza in scopul de a imbunatati calitatea informatiilor privind functionarea proceselor de control si importanta riscurilor reziduale.
Desi participa la programul de autoevaluare a controalelor in calitate de moderator si de expert, auditul intern constata deseori ca acest program ii permite sa reduca eforturile necesare pentru culegerea informatiilor privind procedurile de control si sa elimine anumite teste. Un program de autoevaluare trebuie sa aiba ca efect extinderea sferei de evaluare a proceselor de control in cadrul entitatii, imbunatatirea calitatii masurilor de corectare luate de responsabilii proceselor si axarea activitatilor de audit intern pe examinarea proceselor cu un grad mare de risc si a situatiilor neobisnuite. In acest caz, poate proceda la validarea concluziilor care rezulta din programul de autoevaluare, poate sa efectueze sinteza informatiilor care provin din diferitele componente ale entitatii si sa formuleze, in atentia conducerii si a comitetului de audit, o opinie de ansamblu privind eficacitatea controalelor.
2120.A4
Sunt
necesare criterii adecvate pentru a evalua mecanismul de control.
Auditorii interni trebuie sa stabileasca in ce masura conducerea a
definit criterii adecvate pentru a aprecia daca obiectivele si scopurile
au fost atinse. Daca aceste criterii sunt
adecvate, auditorii interni
trebuie sa le utilizeze in propria evaluare Daca sunt
neadecvate, auditorii interni trebuie sa colaboreze cu conducerea
pentru a elabora criterii
corespunzatoare de evaluare.
MPA2120.A4-1
Criterii de control
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii atunci cand evalueaza criteriile de control. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Ea are ca obiect doar recomandarea de a include un ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Auditorii interni trebuie sa evalueze obiectivele si previziunile operationale fixate si sa determine daca sunt acceptabile si daca pot fi respectate. Daca obiectivele si criteriile de apreciere sunt imprecise, este necesar sa se apeleze la interpretari oficiale. Daca auditorii interni sunt pusi in situatia de a interpreta sau alege normele operationale, trebuie sa obtina acordul clientului misiunii in ceea ce priveste criteriile ce trebuie utilizate pentru a masura rezultatele operationale.
Guvernarea entitatii
Auditul
intern trebuie sa contribuie la procesul de guvernare a
entitatii prin evaluarea si imbunatatirea
procesului prin
care
(1) se definesc si se comunica
valorile si obiectivele, (2) se urmareste
realizarea obiectivelor, (3) se raporteaza si (4) se pastreaza valorile.
2130.A1
Auditorii
interni trebuie sa verifice operatiunile si
proiectele pentru a asigura compatibilitatea
acestora cu valorile entitatii.
MPA 2130 - 1
Rolul
auditului intern sl al auditorului intern in ceea ce priveste
modelul etic
Natura acestei Modalitati Practice de Aplicare:
Auditorii interni trebuie sa tina cont de urmatoarele puncte pentru a-si defini rolul in ceea ce priveste modelul etic al unei entitati. Acest rol variaza in functie de existenta sau absenta unei culturi etice in entitate si in functie de gradul sau de dezvoltare. Prezenta MPA nu are drept scop descrierea tuturor procedurilor necesare pentru a indeplini o misiune completa de asigurare sau de consultanta/consiliere cu privire la modelul etic al unei entitati.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Prezenta MPA subliniaza importanta culturii organizationale in crearea unui mediu etic si contine sugestii cu privire la rolul pe care auditorii interni il pot juca in imbunatatirea acestui mediu. Aceasta MPA:
Descrie natura procesului de guvernare a entitatii ;
Stabileste o legatura intre acest proces si cultura entitatii in ceea ce priveste etica;
Precizeaza ca orice persoana care are legatura cu organizatia, si in special auditorii interni, trebuie sa promoveze si sa apere etica;
Enumera caracteristicile unui model etic consolidat.
2. O Entitate poate adopta diverse forme juridice, structuri, strategii si proceduri pentru a se asigura ca:
Mijloacele folosite de o entitate pentru a indeplini aceste patru obiective corespund conceptului general de proces de guvernare a entitatii Eficacitatea guvernarii entitatii depinde de responsabilitatea organului de conducere al acesteia (cum ar fi Consiliul sau comitetul de conducere) si de conducerea generala.
3. Practicile adoptate de o entitate in ceea ce priveste guvernarea sa reprezinta rezultatul unei culturi unice si in continua evolutie care influenteaza rolurile, conditioneaza comportamentele, determina obiectivele si strategiile, masoara performantele si defineste responsabilitatile. Aceasta cultura influenteaza valorile, rolurile si comportamentele dictate si tolerate de entitate si conditioneaza importanta, grija sau indiferenta pe care o confera exercitarii responsabilitatilor sale fata de societate. Astfel, eficacitatea procesului de guvernare depinde in mare masura de cultura organizationala.
4. Toate persoanele care au legatura cu organizatia sunt intr-o anumita masura responsabile de modelul sau Data fiind complexitatea si raspandirea proceselor de decizie in majoritatea entitatilor, fiecare persoana trebuie incurajata sa promoveze si sa apere etica, indiferent daca acest rol i-a fost delegat oficial sau neoficial. Codurile de conduita, precum si rapoartele referitoare la strategia si politicile entitatii, constituie declaratii importante in care organizatia precizeaza valorile si scopurile sale, comportamentul pe care-l asteapta din partea personalului si strategiile adoptate pentru a instaura un model compatibil cu responsabilitatile care ii revin pe plan juridic, etic si cu privire la societate. Un numar din ce in ce mai mare de entitati au desemnat un responsabil al carui rol este de a consilia conducerea , managerii si ceilalti membri ai personalului si de a fi un exemplu in cadrul entitatii.
5. Auditorii interni si auditul intern trebuie sa contribuie activ la sustinerea modelului etic in cadrul entitatii fiind un exemplu de incredere si o integritate morala sporita; de asemenea dispun de competentele necesare pentru promovarea eficienta a unei conduite morale . Acestia au capacitatea de a determina conducerea , managerii precum si pe ceilalti angajati din cadrul entitatii sa respecte obligatiile care le revin atat pe plan juridic cat si in ceea ce priveste etica sau responsabilitatile fata de societate
6. Auditul intern poate promova si poate apara etica in diferite moduri. Poate, , sa numeasca din randul colaboratorilor sai un responsabil cu etica (mediator, responsabil cu conformitatea , consilier al conducerii sau expert in domeniul eticii), un membru al comitetului intern de etica, sau o persoana insarcinata cu evaluarea climatului etic din entitate. in anumite cazuri, se poate intampla ca exercitarea functiilor responsabilului cu etica sa dauneze independentei auditului intern.
7. Serviciul de audit intern trebuie, cel putin, sa evalueze periodic climatul etic din cadrul entitatii si eficacitatea strategiilor, a tacticilor, a comunicarii si a altor procese adoptate pentru a atinge nivelul dorit de conformitate cu legea si cu normele de etica. Auditorii interni trebuie sa aprecieze realitatea urmatoarelor elemente, care reprezinta semnul unui model etic puternic si eficace :
existenta unui cod oficial de conduita, clar si usor de inteles, a declaratiilor si politicilor aferente (in special proceduri referitoare la frauda si la coruptie), si a altor elemente care exprima aspiratiile entitatii;
demonstratii frecvente si dovezi ale comportamentului etic exemplar al conducatorilor influenti ai entitatii;
strategii explicite care au ca scop sustinerea si consolidarea modelului etic prin programe periodice care permit actualizarea si reinnoirea angajamentului entitatii in ceea ce priveste etica;
existenta mai multor modalitati usor de accesat ce permit raportarea , cu maxima confidentialitate, a presupuselor nerespectari ale codului de conduita si ale politicilor , precum si a altor dovezi de conduita necorespunzatoare;
declaratiile periodice ale angajatilor, furnizorilor si clientilor care atesta ca acestia sunt informati in privinta regulilor etice care trebuie respectate in tranzactiile care implica organizatia;
definirea clara a responsabilitatilor ce permit asigurarea ca implicatiile etice sunt evaluate, ca sfaturile sunt oferite cu maxima confidentialitate, ca pretinsele incalcari fac obiectul unei anchete si sunt raportate corect;
facilitarea accesului la o formare profesionala ce permite tuturor colaboratorilor sa promoveze si sa apere etica;
practici pozitive ale personalului, care ii incurajeaza sa contribuie la instaurarea unui climat etic in cadrul entitatii;
anchete periodice in randul angajatilor, furnizorilor si clientilor pentru a aprecia climatul etic din cadrul entitatii;
examinari periodice ale proceselor formale si informale ale entitatii care ar putea provoca presiuni si abateri de natura sa submineze modelul etic ;
verificarea periodica a referintelor si a evolutiei profesionale a personalului in curs de recrutare, in special prin teste de integritate, controale cu privire la consumul de droguri si alte masuri similare.
Planificarea misiunii
Auditorii interni trebuie sa conceapa si sa formalizeze un plan pentru fiecare misiune
Consideratii cu privire la planificare
La planificarea misiunii, auditorii interni trebuie sa tina cont de:
Activitate: textul original vorbeste despre "activity"; entitatea supusa auditului nu reprezinta neaparat un serviciu in sensul strict al cuvantului. Poate fi un proces complet (care poate deci viza mai multe servicii, de ex.: auditul procesului de achizitii va viza serviciul achizitii, serviciul logistica, serviciul contabilitate), un sistem, o tema, etc.
MPA 2200-1
Planificarea misiunii
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii in planificarea misiunilor. Prezenta MPA nu are drept scop prezentarea tuturor procedurilor ce trebuie puse in aplicare in cadrul unei misiuni de audit sau de consultanta/consiliere cu privire la respectarea reglementarilor.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
Raport final de audit: termenul din limba engleza este mai general "final engagement communication"; acesta indica faptul ca produsul finit al unei misiuni nu se realizeaza neaparat sub forma unui raport in sensul traditional al cuvantului. Prezentarea rezultatelor unei misiuni se poate face pe diferite suporturi si in diverse formate (prezentare de tip power point, raport "clasic"..). in schimb, daca formatul a fost definit in scrisoarea de misiune, este obligatoriu sa fie respectat. Forma si mijloacele sunt lasate la aprecierea departamentului de audit intern.
In anumite situatii, pentru a asigura reusita misiunii si fiabilitatea rezultatelor asteptate, comunicarea prealabila misiunii poate fi restransa sau poate avea un grad de confidentialitate mai mare. In anumite cazuri, avand acordul directiei generale se poate chiar ca responsabilul entitatii auditate sa nu fie anuntat cu privire la misiune.
Subiectele discutiei pot fi urmatoarele:
obiectivele si aria de aplicabilitate a misiunii de audit planificate;
calendarul misiunii;
lista auditorilor interni carora li s-a repartizat misiunea'
procesul de comunicare in cursul misiunii, inclusiv metodele, calendarul si persoanele responsabile;
conditiile de gestionare si operatiunile activitatii auditate, inclusiv schimbarile recente la nivelul conducerii si al sistemelor celor mai importante;
preocuparile si cerintele conducerii;
subiectele importante sau preocuparile auditorului intern;
descrierea procedurilor de audit intern pentru a putea raporta s asigura monitorizarea misiunii.
Obiectivele misiunii
Obiectivele misiunii trebuie sa abordeze procesele de management al riscurilor, de control si de guvernare a entitatii asociate activitatilor supuse auditului.
MPA 2210-1
Obiectivele misiunii
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii in stabilirea obiectivelor misiunii. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Singurul sau scop este acela de a recomanda luarea in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
2210.A1
Obiectivele misiunii
In planificarea misiunii, auditorul intern trebuie sa identifice si sa evalueze riscurile aferente activitatii supuse auditului. Obiectivele misiunii trebuie sa fie stabilite in functie de rezultatele evaluarii riscurilor.
MPA 2210.A1-1
Evaluarea riscurilor la planificarea misiunii
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii la evaluarea riscurilor in timpul planificarii misiunii. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Singurul sau scop este acela de a recomanda luarea in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
intelegerea activitatii studiate;
identificarea sectoarelor importante care necesita o analiza mai aprofundata;
obtinerea de informatii utile pentru indeplinirea misiunii;
determinarea necesitatii de a continua sau nu misiunea.
discutii cu clientul misiunii;
intalniri cu persoanele vizate de activitate, de exemplu, utilizatorii produselor obtinute din aceasta activitate;
observari la fata locului;
revizuirea rapoartelor si a studiilor de management;
proceduri analitice de audit;
scheme de lucru ;
repetitii functionale (teste privind sarcinile unei anumite activitati de la inceput pana la sfarsit);
documentatia activitatilor cheie de control.
problemele importante si motivele pentru realizarea unui studiu mai amanuntit;
informatiile relevante obtinute in timpul examinarii preliminare;
obiectivele si procedurile misiunii, precum si abordarile speciale cum ar fi tehnicile de audit asistate de calculator;
punctele de control care necesita o atentie sporita, lipsurile sau excesele aparente legate de control;
estimari preliminare in ceea ce priveste termenul si resursele necesare;
datele actualizate pentru etapele de raportare si de incheiere a misiunii;
daca este necesar, motivele pentru a nu continua misiunea.
Resurse alocate misiunii
Auditorii interni trebuie sa stabileasca resursele necesare atingerii obiectivelor misiunii. La formarea echipei trebuie sa se tina cont de natura si complexitatea fiecarei misiuni, de limitele de timp si de resursele disponibile.
MPA 2230-1
Resursele alocate misiunii
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii in alocarea resurselor misiunii. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Singurul sau scop este acela de a recomanda luarea in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
Necesitati de formare : aceasta recomandare nu implica neaparat faptul ca auditorul sa urmeze o formare ad-hoc inainte de a incepe o misiune (competente necesare abordate la punctul 2) ci faptul ca o misiune poate reprezenta de asemenea ocazia ca auditorul sa-si aprofundeze cunostintele cu privire la intreprindere si procesele acesteia astfel putand sa-si dezvolte competentele.
Utilizarea resurselor externe trebuie avuta in vedere in cazul in care sunt necesare cunostinte, abilitati sau competente suplimentare.
Programul de lucru al misiunii
Auditorii interni trebuie sa elaboreze un program de lucru care sa permita indeplinirea obiectivelor misiunii. Acest program de lucru trebuie sa fie formalizat.
MPA 2240-1
Programul de lucru al misiunii
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii in elaborarea programelor de lucru pentru misiune. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Singurul sau scop este acela de a recomanda luarea in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
2240.A1
Programul de lucru trebuie sa defineasca procedurile ce urmeaza a fi aplicate pentru a colecta, analiza, evalua si documenta informatiile in cadrul misiunii. Programul de lucru trebuie sa fie aprobat inainte de inceperea lucrarilor. Eventualele modificari trebuie sa fie aprobate rapid.
MPA 2240A1-1
Aprobarea programelor de lucru
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii la aprobarea programelor de lucru. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Singurul sau scop este acela de a recomanda luarea in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
In scris: formalizarea aprobarii nu este neaparat greoaie. Documentul "program de lucru" poate contine numele celui care a intocmit acest document si poate avea un spatiu "revizuit de ________ " pentru ca responsabilul auditului intern sau delegatul sau sa poata semna odata ce documentul a fost revizuit.
2300 - Realizarea misiunii
Auditorii interni trebuie sa identifice, sa analizeze, sa evalueze si sa documenteze informatiile in vederea indeplinirii obiectivelor misiunii.
Identificarea informatiilor
Auditorii interni trebuie sa identifice informatiile necesare, credibile , relevante si utile in vederea indeplinirii obiectivelor misiunii.
MPA 2310-1
Identificarea informatiilor
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii la colectarea informatiilor. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Singurul sau scop este acela de a recomanda luarea in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
Analiza si evaluare
Auditorii interni trebuie sa-si bazeze concluziile si rezultatele misiunii lor pe analize si evaluari corespunzatoare.
MPA 2320-1
Analiza si evaluare
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii in utilizarea analizelor si evaluarilor pentru asi fonda concluziile. Prezenta MPA nu are drept scop nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Singurul sau scop este acela de a recomanda luarea in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
compararea informatiilor perioadei in curs cu informatiile similare din perioadele precedente;
compararea informatiilor din perioada in curs cu bugetele sau previziunile;
studiul rapoartelor existente intre informatiile financiare si celelalte informatii corespunzatoare (de exemplu, valorile contabilizate din cadrul platii salariilor comparate cu evolutia numarului mediu de angajati );
studiul raporturilor existente intre diferite elemente de informare (de exemplu, fluctuatiile valorilor contabilizate ale dobanzii comparate cu evolutiile soldurilor datoriilor aferente);
compararea informatiilor cu informatii similare de la mai multe unitati operationale;
compararea informatiilor sectoriale de acelasi fel.
importanta sectorului studiat;
validitatea sistemului de control intern;
disponibilitatea si credibilitatea in informatiile financiare si a celorlalte informatii ;
gradul de precizie asteptata de la rezultatele procedurilor analitice de audit;
disponibilitatea si posibilitatea de a face comparatii intre sectoare;
relevanta altor proceduri de audit pentru sustinerea rezultatelor misiunii.
Documentarea informatiilor
Auditorii interni trebuie sa documenteze informatiile relevante in vederea justificarii concluziilor si rezultatelor misiunii.
MPA2330-1
Documentarea informatiilor
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii la inregistrarea informatiilor obtinute. Prezenta MPA nu are drept scop nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Singurul sau scop este acela de a recomanda luarea in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
planificarea misiunii;
evaluarea riscurilor
examinarea si evaluarea relevantei si a eficacitatii sistemului de control intern;
procedurile folosite pentru realizarea misiunii, informatiile obtinute si concluziile rezultate ;
revizuirea dosarelor de lucru;
comunicarea rezultatelor;
monitorizarea misiunii;
documentele de planificare si programele misiunii;
chestionarele de control, schemele de lucru (diagramele de circulatie a informatiei), listele de control si memorandumurile de sinteza;
note si referate privind intalnirile;
date despre entitate, precum organigramele si descrierile posturilor;
o copie a contractelor importante;
scrisori de confirmare si reprezentare;
analiza si sondajele efectuate cu privire la tranzactii, procese si solduri contabile;
rezultatele procedurilor analitice de audit;
raportul final al misiunii si observatiile conducerii;
corespondenta , daca aceasta vine in sprijinul concluziilor trase in urma misiunii.
fiecare document e lucru trebuie sa poarte numele misiunii si sa descrie continutul sau obiectul documentului de lucru;
fiecare document de lucru trebuie sa fie semnat (sau parafat) si datat de catre auditorul intern care realizeaza activitatea;
fiecare document de lucru trebuie sa aiba un index sau un numar de referinta;
trebuie explicate simbolurile de verificare ("tick marks");
trebuie precizate sursele datelor.
2330.A1
Responsabilul auditului intern trebuie sa controleze accesul la dosarele misiunii. Acesta trebuie sa obtina, daca este necesar, acordul conducerii si/sau avizul unui jurist inainte de a transmite aceste dosare in exterior.
MPA 2330.A1-1
Controlul dosarelor de audit
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii privind controlul dosarelor de audit. Prezenta MPA nu are drept scop nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Singurul sau scop este acela de a recomanda luarea in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
documentele de lucru ale misiunii sunt proprietatea entitatii. In general ele trebuie sa ramana sub controlul auditului intern si nu trebuie sa aiba acces la ele decat personalul autorizat.
conducerea si ceilalti membrii ai entitatii pot cere accesul la documentele de lucru ale misiunii. Un astfel de acces poate fi necesar pentru a corobora sau explica constatarile si recomandarile misiunii sau pentru a utiliza documentele unei misiuni in alte scopuri. In prealabil, responsabilul auditului intern trebuie sa autorizeze aceste cereri.
in practica, auditorii externi si interni isi transmit uni altora dosarele de lucru. Accesul acordat auditorilor externi trebuie sa fie aprobat de catre responsabilul auditului intern.
exista situatii cand cererile de acces la dosarele de lucru si la rapoarte sunt facute de catre persoane dina afara entitatii, altele decat auditorii externi. Inainte de a accepta furnizarea documentatiei cerute, responsabilul auditului intern trebuie sa obtina aprobarea din partea conducerii si/sau dupa caz, din partea consilierului juridic.
In Franta, rapoartele de audit intern trebuie transmise, la cererea acestora, Comisarilor de conturi si justitiei. Pentru sectorul bancar, regulamentul 97-02 al CRBF, inlocuit cu regulamentul 2000-01, mentioneaza in plus ca rapoartele cu privire la controlul intern si la supravegherea riscurilor sunt prezentate in fiecare an Comisarilor de conturi si secretariatului general al Comisiei Bancare. Se recomanda deci ca faptele de care au cunostinta auditorii interni sa fie prezentate cu discernamant, prudenta si circumspectie. Facem trimitere la comentariile formulate cu privire la codul deontologic.
MPA 2330.A1-2
Accesul la dosarele de audit - aspecte juridice
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii inainte de a permite accesul la dosarele de audit persoanelor din exteriorul auditului intern. Prezenta MPA nu are drept scop nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate.
Respectarea Modalitatilor Practice de Aplicare este facultativa
Avertisment : auditorii interni trebuie sa consulte un consilier juridic cu privire la toate problemele de ordin juridic, regulile aplicabile putand varia considerabil de la o legislatie la alta. Indrumarile continute in prezenta MPA se bazeaza in principal pe sistemul juridic american
dosarele de audit intern rapoartele, documentele justificative, notele de reexaminare si corespondenta schimbata, oricare ar fi suportul utilizat. Auditorii interni intocmesc aceste dosare cu ajutorul conducerii si al organelor deliberante pentru care efectueaza prestarile. Cuprinsul acestor dosare se estimeaza a fi in general confidential si poate fi intemeiat atat pe fapte cat si pe opinii. Accesul la dosarele de audit poate fi solicitat de catre terti prin diverse proceduri, printre care putem enumera urmaririle penale, litigiile, verificarile fiscale, controalele instantelor de reglementare, examinarea achizitiilor publice si controalele efectuate in cadrul profesiunilor abilitate sa se autoreglementeze. Teoretic toate dosarele care nu sunt acoperite de secretul profesional dintre avocat si clientul sau pot fi comunicate in cazul procedurilor judiciare. Pentru celelalte proceduri, problema accesului la dosare este mai puti evidenta.
inserarea procedurilor explicite in documentele auditului intern enumerate mai jos poate permite sporirea controlului asupra accesului la dosarele de audit. Aceste sugestii sunt analizate in paragrafele de mai jos:
carta;
descrierea posturilor;
politicile interne ale serviciului;
proceduri referitoare la desfasurarea anchetelor efectuate impreuna cu Consilierii juridici.
carta auditului intern trebuie sa trateze atat accesul la dosarele si informatiile care apartin entitatii cat si controlul acestora, indiferent de suportul utilizat pentru pastrarea documentelor.
membrii auditului intern trebuie sa dispuna de descrieri scrise ale posturilor precizand natura sarcinilor complexe si variate pe care le indeplinesc. Aceste descrieri ale posturilor ar putea sa-i ajute pe auditorii interni in cazul cererii de transmitere a dosarelor. In plus, vor ajuta la mai buna delimitare a sferei activitatilor lor permitand in acelasi timp tertilor sa inteleaga mai bine sarcinile auditorilor interni.
se recomanda stabilirea unor proceduri specifice serviciului de audit intern cu scopul de a preciza modul de functionare a auditului intern. Aceste proceduri scrise vor trebui sa acopere mai ales urmatoarele puncte: continutul dosarelor de audit, termenul de pastrare a dosarelor serviciului, modalitatile de procesare a cererilor de acces la dosarele si procedurile specifice ce trebuie urmate in cazul unei anchete efectuate impreuna cu consilierul juridic. Aceste puncte sunt examinate in cele ce urmeaza.
o procedura vizand diferite tipuri de misiuni trebuie sa precizeze continutul si forma dosarelor de audit precum si modalitatea de procesare a notelor de revizuire (pastrarea pentru justificarea problemelor ridicate si solutionate ulterior sau distrugerea lor pentru a impiedica accesul unor terti la acestea). De altfel, se recomanda sa se mentioneze printr-o procedura termenul de pastrarea a dosarelor de audit. Aceste termene vor fi stabilite in functie de necesitatile entitatii si de cerintele legale. (Este important ca acest punct sa fie verificat impreuna cu consilierul juridic).
politicile de audit intern trebuie sa precizeze identitatea persoanelor insarcinate cu asigurarea controlului si securitatii dosarelor serviciului si a persoanelor acre pot avea acces la dosarele de audit, precum si modalitatile de procesare a cererilor de acces la aceste dosare. Aceste proceduri pot varia in functie de practicile folosite in acest domeniu sau de cele ale dreptului aplicabil entitatii. Responsabilul auditului intern si ceilalti membrii ai auditului intern trebuie sa urmeze cu atentie evolutia jurisprudentei si a practicilor in domeniu. Acestia trebuie de asemenea sa anticipeze eventualele cereri de acces la rezultatele activitatii lor.
procedura care defineste conditiile de acces la dosarele de audit trebuie de asemenea sa acopere urmatoarele puncte:
procesul care trebuie urmat pentru a rezolva problemele de acces;
termenul de pastrare pentru fiecare tip de document de lucru;
programul de formare si actualizare a cunostintelor echipei de audit intern cu privire la riscurile si problemele de acces la dosarele lor;
si necesitatea de a efectua periodic un studiu ala acestui domeniu cu scopul de a anticipa posibilele cereri de acces la dosare.
o procedura trebuie sa permita auditorului intern sa stabileasca daca un audit justifica o ancheta - sau, cu alte cuvinte, daca un audit determina realizarea unei anchete efectuate impreuna cu un avocat si de asemenea procedurile specifice ce trebuie urmate in ceea ce priveste comunicarea cu Consilierul juridic. Procedura trebuie de asemenea sa abordeze aspectele legate de semnarea unui angajament de confidentialitate privind toate informatiile incredintate avocatului.
auditorii interni trebuie de altfel sa atraga atentia Consiliului si conducerii asupra riscurilor accesului la dosarele de audit. Procedurile referitoare la dreptul de acces la dosare, modalitatile de procesare a cererilor de acces si demersul ce trebuie facut pentru ca un audit sa justifice realizarea unei anchete trebuie revazute de catre comitetul de audit (sau de catre un organ de deliberare echivalent). Aceste proceduri variaza in functie de caracteristicile entitatii si de dispozitiile legii privind secretul profesional.
este important ca dosarele de audit ce trebuie facute publice sa fie bine pregatite. In aceasta privinta se recomanda sa se urmeze urmatoarele etape:
trebuie facute publice doar documentele cerute. Ca regula generala, dosarele de audit ce contin opinii si recomandari nu sunt comunicate. Documentele care dezvaluie argumentatia sau strategiile avocatilor sunt in general acoperite de secretul profesional si comunicarea lor nu este obligatorie;
trebuie transmise doar copiile, exemplarul original trebuind pastrat, in special daca documentele au fost redactate cu creionul. Daca tribunalul cere originalul, auditul intern trebuie sa pastreze o copie;
trecerea pe fiecare document a mentiunii "confidential" precum si o adnotare precizand ca orice difuzare catre o alta persoana trebuie sa faca obiectul unei autorizari prealabile.
2330.A2
Responsabilul auditului intern trebuie sa stabileasca reguli privind pastrarea dosarelor misiunii. Aceste reguli trebuie sa corespunda orientarilor definite entitate si oricarei cerinte de reglementare sau de alta natura.
MPA 2330.A2-1
Pastrarea dosarelor
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii la definirea modalitatilor de pastrare a dosarelor de audit. Prezenta MPA nu are drept scop nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Singurul sau scop este acela de a recomanda luarea in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa
Supervizarea misiunii
Misiunile trebuie sa faca obiectul unei supervizari corespunzatoare in vederea garantarii indeplinirii obiectivelor, asigurarii calitatii si dezvoltarii profesionale a personalului.
MPA 2340-1
Supervizarea misiunii
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii in momentul supervizarii misiunii. Prezenta MPA nu are drept scop nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Singurul sau scop este acela de a recomanda luarea in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa
reducerii riscului ca opiniile profesionale formulate de auditorii interni sau de alte persoane care executa lucrari pentru auditul intern sa fie in dezacord cu opinia profesionala a responsabilului auditului intern ceea ce ar avea un efect negativ asupra misiunii;
rezolvarea conflictelor de opinie intre responsabilul auditului intern si auditorii interni asupra punctelor importante ale misiunii. Mijloacele ce trebuie utilizate pot fi:
a) dezbaterile privind constatarile relevante ;
b) anchetele si cercetarile suplimentare ;
c) mentionarea in documentele de lucru a diferitelor puncte de vedere, impreuna cu documentele suport.
In cazul unor opinii contrare privind chestiunile de etica, mijloacele corespunzatoare trebuie sa faca apel la persoane care, in cadrul entitatii au responsabilitati in acest domeniu.
pastrarea notelor de revizuire ca inregistrari ale problemelor ridicate de catre supervizor si ale actiunilor intreprinse pentru rezolvarea lor;
eliminarea notelor de revizuire dupa solutionarea problemelor si dupa ce documentele de lucru necesare au fost modificate pentru a furniza informatiile suplimentare cerute.
2400 - COMUNICAREA REZULTATELOR
AUDITORII
INTERNI TREBUIE SA COMUNICE
RAPID REZULTATELE MISIUNII
MPA 2400 - 1
Comunicarea rezultatelor - Aspecte juridice
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii la comunicarea rezultatelor misiunii. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate la comunicarea rezultatelor.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
Nota - Auditorii interni trebuie sa consulte un consilier juridic cu privire la toate chestiunile de ordin juridic, regulile aplicabile putand varia considerabil in functie de diferite jurisdictii Directivele continute in prezenta Modalitate Practica de Aplicare se bazeaza in principal pe sistemul juridic american.
1. Auditorii interni trebuie sa ia toate masurile necesare inainte de a mentiona in rapoartele sau in documentele lor de lucru concluzii si opinii cu privire la incalcarea legii si a reglementarilor sau la orice alta problema de ordin juridic. Se recomanda stabilirea de politici si formularea de proceduri pentru aceste situatii si stransa colaborare cu responsabilii competenti din alte domenii corespunzatoare (consilier juridic, Compliance Officer/deontolog, etc.).
2. Auditorii interni trebuie sa adune elemente probante, sa emita decizii bazate pe analize, sa raporteze rezultatele muncii lor si sa se asigure ca sunt luate masuri corective. Sarcinile auditorului intern, obligat sa isi documenteze dosarele de audit, pot sa nu fie in acord cu cele ale consilierului juridic preocupat de a nu pastra elementele care ar putea compromite mijloacele de aparare a entitatii. Intr-adevar, chiar daca auditorul intern desfasoara o ancheta in mod corespunzator , faptele divulgate pot pune sub semnul intrebarii argumentarea consilierului juridic. 0 planificare si proceduri corespunzatoare sunt deci esentiale pentru a evita ca dezvaluirea unor fapte sa provoace un dezacord intre consilierul juridic (al societatii) si auditorul intern. Se recomanda sa se precizeze, in proceduri, rolul fiecaruia si modul de comunicare. De altfel, auditorul intern si consilierul juridic trebuie sa favorizeze in cadrul entitatii o cultura etica si un comportament preventiv sensibilizand conducerea in privinta procedurilor. Auditorii interni trebuie sa ia in considerare urmatoarele puncte, in special in cazul misiunilor ale caror rezultate ar putea fi dezvaluite sau comunicate persoanelor din afara entitatii.
3. Pentru pastrarea secretului profesional la care este obligat avocatul sunt necesare patru elemente. Trebuie sa existe:
o comunicare,
realizata in confidentialitate deplina,
intre persoane protejate de secretul profesional,
pentru a furniza clientului asistenta juridica.
Secretul profesional, al carui principal scop este protejarea informatiilor comunicate avocatului, poate de asemenea sa se aplice si in cazul informatiilor comunicate tertilor care lucreaza cu avocatul.
4. Anumite jurisdictii au admis existenta unui 'drept de auto-analiza critica' care permite pastrarea confidentialitatii documentelor de auto-critica cum ar fi dosarele de audit. Ca regula generala, recunoasterea acestui drept se bazeaza pe postulatul conform caruia confidentialitatea analizelor efectuate in cazurile examinate primeaza asupra interesului general, asa cum demonstreaza argumentarea de mai jos extrasa dintr-un rationament:
Dreptul de analiza auto-critica a fost admis in anumite conditii pentru a pastra confidentialitatea anumitor auto-evaluari critice. Acesta permite persoanelor fizice sau entitatilor sa se asigure ca respecta regulile legale si regulamentare fara a genera totusi dovezi care ar putea fi retinute impotriva lor de catre partea adversa in cazul unui litigiu ulterior. Aceasta doctrina se bazeaza pe ideea ca o astfel de autoevaluare critica incurajeaza importanta acordata de public respectarii acestui drept.
5. Ca regula generala, protejarea prin secretul profesional implica respectarea a trei conditii:
trebuie ca informatiile protejate prin secret sa provina dintr-o analiza auto-critica intreprinsa de partea care invoca secretul;
trebuie ca protectia informatiilor continute in analiza critica sa fie determinata in mod vizibil de interesul general;
trebuie sa fie vorba despre informatii a caror posibila divulgare ar avea ca efect restrangerea fluxului acestora.
In anumite cazuri, tribunalele au cercetat de asemenea daca analiza critica a precedat sau provocat prejudiciul cauzat reclamantului, sau daca aceasta a intervenit dupa evenimentele care au stat la baza reclamatiei, caz in care pastrarea secretului este perfect justificata.
6. Ca regula generala, tribunalele au fost mai reticente in a admite existenta unui drept la secret fondat pe autoevaluare atunci cand cererea de transmitere a documentelor este eliberata de o administratie publica si nu de o persoana particulara; aceasta atitudine este foarte probabil legata de recunoasterea interesului mai mare al statului in aplicarea legii . Secretul fondat pe autoevaluare este foarte bine adaptat functiilor si activitatilor care au adoptat proceduri de auto-reglementare cum ar fi, de exemplu, spitalele, agentii de brokeraj (case) si cabinetele de expertiza contabila. Majoritatea acestor proceduri sunt asociate cu procedurile pentru asigurarea calitatii care vin sa completeze o activitate operationala precum auditul financiar.
7. Pentru a beneficia de protectia prin intermediul secretului, documentele trebuie, conform doctrinei, sa indeplineasca trei conditii. Trebuie ca aceste documente sa fie intocmite pentru a beneficia de protectia documentelor conform doctrinei unui suport de lucru:
sub forma unor suporturi de lucru (instrumente) (poate sa fie vorba despre memorii, de exemplu un program informatic);
in anticiparea unui litigiu;
si de catre un reprezentant al avocatului.
Documentele intocmite inainte de a exista o relatie intre avocat si client nu sunt protejate in baza acestei doctrine care nu prevede nici o protectie in cazul in care astfel de documente sunt date avocatului. In plus, aplicarea acestei doctrine este supusa unor conditii. Transmiterea documentelor catre avocat, inainte ca legatura dintre acesta si client sa fie formata, nu va proteja acele documente conform doctrinei produsului muncii. Intr-adevar, documentele nu sunt protejate daca transmiterea informatiilor raspunde unei necesitati substantiale si daca aceste informatii nu pot fi obtinute altfel fara un efort excesiv. Astfel, in afacerea Grand Jury, comitetul de audit al societatii avusese intalniri pentru a determina daca fusesera efectuate in strainatate plati dubioase. Raportul sau a beneficiat de protectie prin secret in baza doctrinei de mai sus, cu exceptia extraselor referitoare la intalnirile organizate cu persoane care au decedat intre timp.
Criteriile comunicarii
Comunicarea trebuie sa includa obiectivele si sfera de activitate a misiunii, precum si concluziile, recomandarile si planurile de actiune.
Normele anterioare se opreau, in ceea ce priveste continutul comunicarii la recomandari. Includerea in raport a planurilor de actiuni ale audiatilor reprezenta totusi practica anumitor Servicii de audit intern (ceilalti cereau aceste planuri de actiuni ca raspuns la recomandarile continute in raport). Astazi, in cadrul normelor se prevede ca: auditul intern nu aduce de fapt un plus de valoare decat daca recomandarile sale conduc la intocmirea de planuri de actiuni (care sunt aplicate... de unde rezulta necesitatea unui control al stadiului aplicarii acestor planuri) : raportul nu este complet iar misiunea nu este incheiata daca planurile de actiuni nu sunt cuprinse in raport.
MPA2410- 1
Continutul comunicarii
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii la comunicarea rezultatelor misiunii. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate in timpul comunicarii rezultatelor.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Formatul si continutul rapoartelor de audit pot varia de la o entitate la alta precum si de la un tip de misiune la altul. Totusi, aceste rapoarte trebuie sa contina, cel putin, obiectivele, sfera de activitate si rezultatele auditului.
2. Rapoartele finale de audit pot cuprinde informatii despre context si sinteze. Informatiile despre context pot prezenta unitatile si activitatile examinate si pot furniza explicatii utile. Observatiile, concluziile si recomandarile rapoartelor precedente pot de asemenea sa fie reluate; se mai poate indica si daca acest audit reprezinta o misiune inscrisa in planul de audit sau care raspunde la o anumita solicitare speciala. Daca sunt incluse sinteze, acestea trebuie sa fie proportionale cu continutul raportului.
3. Prezentarea obiectului misiunii trebuie sa descrie obiectivele si poate, daca este necesar, sa informeze cititorul cu privire la motivele misiunii si rezultatele scontate.
4. Prezentarea obiectului misiunii trebuie sa precizeze activitatile auditate si sa cuprinda, daca este necesar, informatii complementare cum ar fi perioada vizata, natura si sfera lucrarilor. Activitatile conexe neexaminate trebuie sa fie mentionate, daca este necesar, pentru a preciza limitele interventiei.
5. Rezultatele trebuie sa cuprinda observatiile, concluziile (opiniile), recomandarile si planurile de actiune.
6. Observatiile reprezinta prezentari pertinente ole faptelor. Observatiile care justifica concluziile si recomandarile sau care permit evitarea unei neintelegeri trebuie sa fie incluse in raportul final. Informatiile sau observatiile mai putin importante pot fi comunicate in mod neoficial.
7. Observatiile si recomandarile reprezinta rezultatul unui proces de comparare intre ceea ce ar trebui sa existe si ceea ce exista. Atunci cand situatiile sunt in conformitate cu referintele, se recomanda sa se mentioneze in raportul de audit ca functionarea este corespunzatoare. Observatiile si recomandarile trebuie fondate pe urmatoarele caracteristici:
Criterii : norme, masuri sau standarde utilizate pentru evaluare sau verificare (ceea ce ar trebui sa existe);
fapte: dovezi reale identificate de auditorul intern in cursul examinarii facute de acesta (ceea ce exista cu adevarat);
cauze: explicarea diferentei intre situatia scontata si cea existenta (motivul acestei diferente);
consecinte: riscul sau pericolul la care o entitate sau alte persoane sunt expuse ca urmare a faptului ca situatiile sunt diferite fata de criterii (impactul diferentei). Pentru a determina importanta riscului sau a expunerii la risc mizei, auditorii interni trebuie sa ia in calcul consecintele observatiilor si recomandarilor lor privind functionarea si situatiile financiare ale entitatii;
observatiile si recomandarile pot include de asemenea imbunatatirile entitatii in urma auditului, intrebari conexe si informatii justificative daca acestea nu figureaza in alta parte.
8. Concluziile si opiniile reprezinta evaluarile pe care auditorul intern le face privind consecintele, observatiile si recomandarile pentru activitatile auditate. In mod obisnuit, concluziile situeaza observatiile si recomandarile in perspectiva implicatiilor lor globale. Concluziile, atunci cand sunt incluse in raportul de audit, trebuie expuse clar. Ele pot face referire la ansamblul sferei auditate sau la aspecte particulare. Pot prezenta, nelimitandu-se la aceasta, in ce masura obiectivele operationale si programele sunt in conformitate cu cele ale entitatii, scopurile si obiectivele entitatii sunt indeplinite, iar activitatea examinata functioneaza asa cum este prevazut.
9. Rapoartele trebuie sa cuprinda recomandari cu privire la posibilele imbunatatiri si sa prezinte functionarile satisfacatoare si masurile corective. Recomandarile se bazeaza pe observatiile si concluziile auditorului intern. Acestea se refera la actiunile destinate corectarii situatiilor existente sau imbunatatirii functionarii. Recomandarile pot sugera abordari care vizeaza corectarea sau imbunatatirea functionarii, abordari pe care conducerea le poate utiliza ca ghid pentru obtinerea rezultatelor dorite. Recomandarile pot fi generale sau specifice. De exemplu, in anumite cazuri poate fi oportun sa se recomande o linie de actiune generala si propuneri specifice de aplicare. In alte cazuri, poate fi de preferat sa se sugereze doar o examinare sau un studiu complementar.
Realizarile efectuate de auditat, indiferent daca este vorba despre imbunatatiri aduse in comparatie cu ultimul audit, sau de o functionare bine controlata, pot figura in raportul final. Aceasta informatie poate fi necesara pentru a avea o imagine fidela a situatiei actuale, pentru a oferi o perspectiva corespunzatoare si a asigura un echilibru adecvat in raportul final de audit.
Punctul de vedere al auditatului, cu privire la concluziile (opiniile) sau recomandarile de audit, poate figura in raportul de audit.
In cadrul discutiilor intre auditorul intern si auditat, auditorul intern trebuie sa incerce sa obtina acordul auditatului asupra rezultatelor auditului si asupra unui plan de actiune care vizeaza imbunatatirea functionarii, daca este necesar. Daca auditorul intern si auditatul nu se pun de acord asupra rezultatelor auditului, raportul de audit poate mentiona cele doua pozitii precum si motivele dezacordului. Comentariile scrise ale auditatului pot fi incluse intr-o anexa la raport; sau opiniile acestuia pot fi prezentate in cadrul raportului sau intr-o scrisoare atasata.
Uneori, anumite informatii nu pot fi dezvaluite tuturor destinatarilor raportului pentru ca este vorba despre informatii confidentiale cu drept de autor sau referitoare la actele neregulamentare sau ilegale. Aceste informatii pot totusi sa fie incluse intr-un raport distinct. Daca faptele pe care le prezinta auditorul intern implica conducerea generala, raportul trebuie sa se adreseze Consiliului entitatii, si comitetului de audit.
Pot fi utilizate rapoarte interimare pentru a comunica informatii care necesita o atentie imediata, pentru a semnala o modificare in sfera misiunii sau pentru a informa conducerea despre progresul activitatilor atunci cand misiunea este de lunga durata. Rapoartele interimare pot fi scrise sau orale, si pot fi transmise oficial sau neoficial. Folosirea rapoartelor interimare nici nu reduce si nici nu elimina necesitatea raportului final .
15. Un raport semnat trebuie sa fie transmis la sfarsitul lucrarilor. Se recomanda sa se trimita nivelurilor de conducere superioare ale entitatii auditate o nota de sinteza din care sa reiasa rezultatele auditului.
Aceasta nota poate fi emisa impreuna cu raportul definitiv sau separat dar cu aceiasi destinatari (mai putin atunci cand exista o exceptie). Termenul 'semnat' inseamna ca auditorul intern autorizat trebuie sa semneze personal raportul; semnarea unei scrisori atasate este o alternativa posibila. Auditorul intern autorizat sa semneze raportul trebuie sa fie desemnat de catre responsabilul auditului intern. Daca rapoartele de audit sunt transmise pe cale electronica , un exemplar semnat trebuie arhivat la auditul intern.
Calitatea comunicarii
Comunicarea trebuie sa fie exacta, obiectiva, clara, concisa,
constructiva, completa si realizata in timp util.
MPA 2420 - 1
Calitatea comunicarii
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii atunci cand isi pregatesc comunicarile. Prezenta MPA nu are co scop expunerea exhaustiva a punctelor ce trebuie examinate in comunicarea rezultatelor.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
comunicare exacta nu contine erori sau deformari si este o prezentare fidela a faptelor care stau la baza ei. Datele si dovezile trebuie sa fie colectate, evaluate si sintetizate in vederea prezentarii lor cu grija si precizie.
comunicare obiectiva este corecta, impartiala, lipsita de prejudecati si rezulta dintr-o evaluare echitabila si masurata a tuturor faptelor si circumstantelor pertinente. Constatarile, concluziile si recomandarile trebuie dezvoltate si exprimate fara prejudecata, partinire, interes personal sau influenta necorespunzatoare.
comunicare clara si logica este usor de inteles. Claritatea poate fi ameliorata evitand utilizarea unui limbaj foarte tehnic si furnizand toate informatiile semnificative si pertinente.
4. comunicare concisa este precisa si evita orice detaliu nesemnificativ , orice elaborare inutila, orice redundanta sau exces de cuvinte . Ea rezulta din verificari si corectari permanente ale comunicarilor. Obiectivul este acela de a exprima fiecare idee cat mai exact si mai concis .
5. comunicare constructiva il ajuta pe auditat si organizatia, si duce la imbunatatiri atunci cand acestea sunt necesare. Continutul si tonul discursului trebuie sa fie utile, pozitive si constructive si sa contribuie la atingerea obiectivelor de catre entitate .
Conducerea generala este obisnuita cu rapoartele de audit, insa numeroase entitati auditate nu sunt. Este deci util sa le dam indicatii privind lectura sub forma unor remarci introductive. De exemplu:
6. 0 comunicare completa nu omite nimic esential pentru destinatarii avuti in vedere. Ea contine toate informatiile semnificative si relevante , precum si observatiile care permit justificarea recomandarilor si a concluziilor. Continutul sau cuprinde obiectivele si sfera misiunii, precum si concluziile, recomandarile si planurile de actiuni (conform Normei 2410).
7. 0 comunicare oportuna este facuta in timp util pentru a fi luata in calcul cu atentie de catre cei care pot actiona pe baza acestora . Prezentarea rezultatelor misiunii trebuie sa fie stabilita fara intarziere excesiva si cu urgenta necesara care sa permita o actiune prompta si eficace.
ERORI Sl OMISIUNI
Daca o
comunicare finala contine o eroare sau
o omisiune importanta,
responsabilul auditului intern trebuie
sa procedeze astfel incat
informatiile corectate sa parvina tuturor persoanelor care au primit
versiunea initiala.
MPA 2421-1
Erori si omisiuni
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii in cazul in care vor fi descoperite greseli si erori in raportul de audit. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Singurul sau scop este recomandarea luarii in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Daca se dovedeste ca un raport definitiv contine o greseala, responsabilul auditului intern trebuie sa ia in considerare necesitatea de a emite un raport rectificat care sa identifice informatiile corectate. Raportul rectificat trebuie sa fie distribuit tuturor destinatarilor raportului dinainte de corectare.
2. 0 'eroare' intr-un raport definitiv se defineste ca o reprezentare eronata insa neintentionata a faptelor sau ca omisiune a informatiilor importante.
Difuzarea rezultatelor
Responsabilul auditului intern trebuie sa difuzeze
rezultatele
persoanelor indreptatite
2440.A1
Responsabilul auditului intern este insarcinat sa
comunice
rezultatele definitive persoanelor in masura sa asigure
ca aceste rezultate vor primi atentia necesara.
MPA 2440-1
Transmiterea rezultatelor
Natura acestei Modalitati Practice de Aplicare:
Se recomanda ca auditorii interni sa tina cont de urmatoarele sugestii in momentul difuzarii rezultatelor. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Singurul sau scop este acela de a recomanda luarea in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Auditorii interni trebuie sa-si dezbata concluziile si recomandarile impreuna cu responsabilii abilitati la diferite nivele de conducere inainte de a emite raportul final.
Acest lucru se va realiza mai usor daca managementul auditat a fost considerat ca partener in timpul misiunii.
2. Dezbaterea privind concluziile si recomandarile se efectueaza de obicei in timpul misiunii de audit sau in reuniunile de la sfarsitul misiunii (sedinte de incheiere). 0 alta tehnica o reprezinta examinarea, de catre conducerea activitatii auditate, a problemelor, observatiilor si recomandarilor preliminare . Aceste dezbateri si examinari contribuie la asigurarea ca nu au existat neintelegeri nici false interpretari ale faptelor si ofera entitatii auditate ocazia de a clarifica anumite puncte si de a-si exprima parerea cu privire la observatii, concluzii si recomandari.
3. Nivelul ierarhic al participantilor la discutii si la examinari poate varia de la o entitate la alta si de la un raport la altul; totusi, participantii vor fi, in general, persoane care cunosc cu exactitate operatiunile auditate si acele persoane care sunt in masura sa autorizeze implementarea a masurilor corective.
4. Responsabilul auditului intern sau delegatul sau trebuie sa verifice , sa aprobe si sa semneze raportul final inainte de emiterea sa, si sa decida caror persoane i va fi transmis . Daca anumite circumstante o justifica, poate fi luata in considerare posibilitatea ca auditorul responsabil, supervizorul sau , seful misiunii sau supervizorul sa semneze raportul in calitate de reprezentant al responsabilului auditului intern.
5. Rapoartele trebuie sa fie transmise membrilor entitatii care pot sa se asigure ca rezultatele auditului vor beneficia de atentia necesara. Raportul trebuie deci trimis persoanelor aflate intr-o pozitie care le permite sa intreprinda actiunile corective impuse sau sa se asigure ca astfel de masuri vor fi luate. Raportul definitiv trebuie sa fie dat conducerii unitatii auditate. Membrii entitatii care ocupa posturi pe o scara ierarhica mai inalta pot primi doar o nota de sinteza. Cand rapoartele trebuie comunicate altor persoane interesate sau vizate, de exemplu auditorilor externi, trebuie sa ne asiguram ca acestea trebuie sa respecte confidentialitatea punctelor mentionate in raport.
Sa reamintim ca in Franta, in sectorul bancar, rapoartele de audit sunt puse la dispozitia comisarilor de conturi conform articolului 41 al Reglementarii 97/02 din CRBF, inlocuit cu Reglementarea 2000-01.
MPA 2440 - 2
Difuzarea rezultatelor in afara entitatii
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii daca trebuie sa transmita informatii in afara entitatii. Acest lucru se poate intampla atunci cand auditorii interni trebuie sa dea un raport sau alte informatii unei terte persoane pentru care au fost efectuate activitatile de audit intern si care nu face parte din entitate. Prezenta MPA contine o serie de elemente ce trebuie luate in considerare si nu are drept scop expunerea exhaustiva a tuturor punctelor ce trebuie examinate.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Auditorii interni trebuie sa examineze directivele continute in scrisoarea de misiune sau in procedurile referitoare la difuzarea informatiilor in afara entitatii. Carta auditului intern si cea a comitetului de audit poate de asemenea sa contina directivele cu privire la difuzarea informatiilor in afara entitatii. in lipsa unor astfel de directive, auditorul intern trebuie sa faciliteze adoptarea de catre entitate a unor proceduri corespunzatoare. lata cateva exemple de informatii care pot figura in proceduri:
autorizatia ceruta pentru difuzarea informatiilor in afara entitatii;
procesul de obtinere a autorizatiei de a difuza informatii in afara entitatii;
directive privind natura informatiilor a caror difuzare este sau nu autorizata;
persoane din afara autorizate sa primeasca informatii si natura informatiilor care le pot fi comunicate;
reguli referitoare la confidentialitate, obligatii prevazute prin reglementari, si aspecte juridice ce trebuie examinate inaintea difuzarii informatiilor in afara entitatii;
natura asigurarilor , sfaturilor, recomandarilor, opiniilor, directivelor si alte informatii care urmeaza a fi transmise in afara entitatii.
2. Cererile pot privi informatiile care exista deja, de exemplu un raport de audit intern deja emis . Ele pot de asemenea sa vizeze informatii care trebuie obtinute sau elaborate in cadrul unei misiuni noi de audit intern. In primul caz, auditorul intern trebuie sa verifice informatiile si sa decida daca acestea pot fi transmise in afara entitatii.
3. In anumite cazuri, informatiile sau un raport existent pot fi verificate pentru a putea fi difuzate in afara entitatii. In alte cazuri este posibil ca un nou raport sa fie intocmit pe baza lucrarilor deja efectuate. Examinarea , adaptarea sau crearea unui raport plecand de la activitatile anterioare trebuie efectuate cu constiinciozitate profesionala.
4. inaintea difuzarii informatiilor in afara entitatii, trebuie examinate urmatoarele puncte:
necesitatea obtinerii unui acord scris cu privire la informatiile ce trebuie difuzate;
identificarea surselor de informatii, a semnatarilor raportului, a destinatarilor informatiei si a persoanelor care au legatura cu raportul sau informatiile difuzate;
identificarea obiectivelor, a limitelor si a procedurilor ce trebuie respectate pentru a produce informatiile respective;
natura raportului sau a celorlalte informatii comunicate, in special opinii, recomandari, limite de responsabilitate , restrictii, si tipul de asigurare sau declaratie ce trebuie furnizata;
dreptul de autor si restrictiile cu privire la difuzarea sau utilizarea ulterioara a informatiilor.
5. Misiunile care au ca scop intocmirea de rapoarte de audit intern sau documente destinate difuzarii in afara entitatii trebuie sa fie realizate conform Normelor pentru Practica Profesionala a Auditului Intern, iar mentionarea acestor Norme in cadrul acestui raport sau in celelalte documente.
6. Daca in cursul unei misiuni al carei scop este difuzarea de informatii in afara entitatii se descopera informatii care trebuie raportate Directiei sau Comitetului de Audit, auditorul intern trebuie sa furnizeze persoanelor respective toate informatiile corespunzatoare.
Informatiile delicate destinate a priori directiei generale sau comitetului de audit ar putea fi cunoscute in afara entitatii; se recomanda deci ca faptele de care au cunostinta auditorii interni sa se prezinte in mod inteligent, cu prudenta si circumspectie.
2440.C2
In cursul
misiunilor de consultanta/consiliere ,
este posibil sa se identifice
probleme referitoare la procesele de management al riscurilor,
de control si de guvernare a entitatilor . De fiecare data cand
aceste probleme devin importante pentru entitate,
ele trebuie sa
fie comunicate conducerii Generale si
Consiliului.
Pentru a nu lasa impresia clientului misiunii de consultanta/consiliere ca increderea sa a fost tradata, aceasta posibila comunicare catre conducerea generala si Consiliu trebuie sa figureze in carta (Norma 1000.C1) si trebuie reamintita inainte de inceperea misiunii: odata cu acceptarea si planificarea sa.
2500 - MONITORIZAREA ACTIUNILOR DE EVOLUTIE
RESPONSABILUL AUDITULUI INTERN
TREBUIE SA IMPLEMENTEZE
SL SA ACTUALIZEZE UN SISTEM CARE SA PERMITA MONITORIZAREA ACTIUNILOR INTREPRINSE
CA URMARE A REZULTATELOR
COMUNICATE CONDUCERII
Aceasta supraveghere este mai usoara, si prin urmare mai eficace, atunci cand activitatea de audit intern este efectuata de un serviciu intern al intreprinderii. Ea ramane obligatorie cand activitatea ramane externalizata.
MPA 2500
- 1
Monitorizarea actiunilor de evolutie
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii atunci cand evalueaza actiunile intreprinse ca urmare a rezultatelor comunicate conducerii. Prezenta Metoda Practica de Aplicare nu are drept scop expunerea exhaustiva a punctelor de examinat. Singurul sau scop este acela de a recomanda luarea in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Responsabilul auditului intern trebuie sa stabileasca procedurile referitoare la urmatoarele aspecte:
un termen in care conducerea trebuie sa raspunda la observatiile si recomandarile auditului;
o apreciere a raspunsului conducerii;
o verificare a raspunsului (daca este necesar);
o misiune de monitorizare (daca este necesar);
o procedura de prezentare a nivelului de conducere corespunzator raspunsurile/actiunile nesatisfacatoare si asumarea riscului care rezulta din acestea.
2. Anumite observatii si recomandari ale auditului pot fi atat de importante incat sa necesite o actiune imediata din partea conducerii. Aceste situatii trebuie supravegheate de catre auditul intern pana la remedierea lor, avand in vedere consecintelor pe care acestea le-ar putea avea asupra entitatii.
3. Mijloace folosite pentru supravegherea reala a evolutiei:
transmiterea observatiilor si a recomandarilor auditului la nivelele corespunzatoare ale conducerii a caror responsabilitate este de a lua masuri corective;
primirea si evaluarea raspunsurilor conducerii la observatiile si recomandarile auditului, in decursul misiunii sau intr-un interval de timp rezonabil dupa transmiterea raportului. Raspunsurile sunt cu atat mai utile cu cat cuprind informatii suficiente pentru ca responsabilul auditului intern sa poata aprecia pertinenta si calendarul de aplicare a masurilor corective ;
obtinerea din partea conducerii a actualizarilor periodice care permit aprecierea progresului realizat de aceasta in corectarea situatiilor semnalate anterior;
obtinerea si aprecierea informatiilor provenind de la alte entitati ale entitatii care au responsabilitati in procedurile de monitorizare sau corectie;
raportarea catre Directia Generala sau Consiliu privind situatia raspunsurilor la observatiile si recomandarile auditului.
2500.A1
Responsabilul auditului intern trebuie sa adopte un proces de monitorizare care sa asigure implementarea eficace a deciziilor de management sau asumarea riscului de catre conducerea generala de a nu intreprinde nici o actiune corectiva .
MPA2500.A1-1
Procesul de monitorizare a misiunii
Natura acestei Modalitati Practice de Aplicare:
Se recomanda auditorilor interni sa tina cont de urmatoarele sugestii la punerea in aplicare a procesului de monitorizare. Prezenta MPA nu are drept scop expunerea exhaustiva a punctelor ce trebuie examinate. Singurul sau scop este acela de a recomanda luarea in considerare a unui ansamblu de elemente.
Respectarea Modalitatilor Practice de Aplicare este facultativa.
1. Auditorii interni trebuie sa se asigure ca a fost intreprinsa o actiune corectiva si ca aceasta si-a atins rezultatele scontate, sau ca Directia Generala sau Consiliul au acceptat riscul de a nu realiza actiuni corective cu privire la observatiile care figureaza in raport.
Monitorizarea efectuata de auditorii interni se defineste ca un proces conform caruia acestia apreciaza daca actiunile intreprinse de conducere, ca raspuns la observatii si recomandari, inclusiv cele ale auditului extern sau ale altor intervenienti, sunt adecvate, eficiente si intreprinse la timp.
Responsabilitatea monitorizarii trebuie definita in scris in carta auditului intern. Natura, calendarul si domeniul monitorizarii trebuie sa fie stabilite de catre responsabilul auditului intern. Factorii care trebuie luati in calcul pentru a determina procedurile adecvate de monitorizare sunt:
4. Pot exista cazuri cand responsabilul auditului intern considera ca raspunsul scris sau oral al conducerii demonstreaza faptul ca actiunea deja intreprinsa este suficienta in ceea ce priveste importanta relativa a observatiei si a recomandarii auditului. In astfel de cazuri, monitorizarea se poate face in cursul misiunii urmatoare.
5. Auditorii trebuie sa se asigure ca actiunile intreprinse ca urmare a observatiilor si recomandarilor remediaza situatiile care stau la baza acestora.
6. Responsabilul auditului intern are sarcina de a planifica activitatile de monitorizare ca parte a planificarii misiunilor. Planificarea monitorizarii trebuie sa se bazeze pe riscurile existente si a expunerilor la risc, precum si pe gradul de dificultate si pe termenul de aplicare a actiunilor de corective .
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 2508
Importanta:
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved