Estimarea riscului de control

Estimarea riscului de control Când auditorii publici externi evaluează riscurile de denaturare semnificativă și realizează o analiză a acestora, trebuie să aibă în vedere atât riscul de audit15 cât și cel al activității entității, care rezultă din obiectivele și strategiile16 stabilite în cadrul acesteia și care pot duce la denaturări semnificative în situațiile financiare (risc financiar, risc operațional, risc de conformitate).

Auditorii publici externi estimează potențialele deficiențe care pot să apară în activitatea entității și în situaţiile financiare, ținând cont de următoarele elemente:

a. erorile/abaterile constatate cu ocazia verificărilor efectuate în anii precedenţi de organele cu atribuții în acest sens;
b. rezultatele evaluării sistemului de control intern (riscul de control);
c. raționamentul profesional.

Așa cum s-a precizat și în capitolul anterior, procesul de evaluare a riscului de către entitate este un proces continuu, de identificare şi reacţionare la riscuri şi consecinţele acestora.

În cazul situaţiilor financiare, riscurile includ evenimentele şi circumstanţele interne şi externe care pot afecta capacitatea entităţii de a iniţia, înregistra, procesa şi raporta informaţii care reflectă o imagine fidelă. Managementul entității publice are obligaţia să se preocupe de identificarea acestor riscuri, să estimeze mărimea şi importanţa lor, să evalueze probabilitatea apariţiei lor şi să impună măsuri pentru gestionarea lor.

Auditorul trebuie să obțină înțelegerea măsurii în care entitatea dispune de un proces pentru:
- identificarea riscurilor entității;
- estimarea semnificației riscurilor;
- evaluarea probabilității apariției acestora;
- decizia cu privire la acțiunile de abordare a acestor riscuri.

În cazul în care entitatea a stabilit un astfel de proces, auditorul public extern trebuie să înțeleagă atât procesul cât și rezultatele acestuia. În caz contrar, auditorul public extern trebuie să discute cu conducerea entității măsura în care riscurile aferente activității pe care o desfășoară au fost identificate și modul în care sunt acestea abordate.

Pentru exemplificarea celor prezentate mai sus, redăm”Elementele procesului de gestionare a riscurilor.

Identificarea și evaluarea riscurilor la nivelul entității auditate este realizată de auditor pentru fiecare categorie de operațiuni economice supusă auditului. O înțelegere a riscurilor cu care se confruntă entitatea sporește probabilitatea de identificare a riscurilor de denaturare semnificativă, de către auditor, deoarece majoritatea riscurilor aferente desfășurării activității vor avea în cele din urmă consecințe financiare și deci, un efect asupra situațiilor financiare.

Elemente ce trebuie evaluate sunt, spre exemplu:

• modul în care entitatea analizează riscurile legate de desfăşurarea activităţilor proprii entităţii;
• planurile elaborate de entitate pentru limitarea consecinţelor apariţiei riscurilor;
• abordarea conducerii faţă de modul de aplicare a planurilor de limitare a consecinţelor de apariţie a riscurilor.

În anexa nr. 4 este prezentat Exemplul nr. 3 de chestionar privind procesul de evaluare a riscurilor din entitate.

În anexa nr. 5 este prezentat un model de Registru al riscurilor, pe care auditorii publici externi trebuie să îl solicite și care îi sprijină să înțeleagă atât riscurile identificate de către entitate în derularea propriilor activități, cât și în aprecierea proprie (a auditorului) a riscului de control din organizație.

Registrul riscurilor este atașat procesului de management al riscului, realizat de entitate în vederea elaborării unui plan de acțiune pentru monitorizarea acestora.

Auditorii publici externi trebuie să aibă în vedere faptul că responsabilitatea elaborării Registrului riscurilor revine fiecărui nivel al managementului de linie (compartimente de specialitate).

Astfel, fiecare șef/director trebuie să elaboreze, pentru compartimentul pe care îl coordonează, propriul Registru de riscuri, iar prin centralizarea acestora, se obține ”Registrul riscurilor la nivelul general al entității”. Conducătorul entității trebuie să stabilească un responsabil cu elaborarea Registrului riscurilor entității și căruia îi revine și responsabilitatea actualizării sistematice a acestuia, cel mai târziu anual.

În consecință, entitatea publică trebuie să dispună de ”Procedura privind întocmirea și actualizarea Registrului riscurilor”. În cadrul acestei proceduri, auditorii publici externi vor pune accent pe analiza ”Planului de acțiune pentru minimizarea riscurilor inerente identificate” și pe ”Stadiul implementării acțiunilor de minimizare și evaluare a riscurilor reziduale”, care se regăsesc în conținutul Anexelor procedurii (care sunt de fapt etapele ce se parcurg de entitatea verificată în realizarea procedurii). În principal, aceste Anexe se referă la:
- lista activităţilor desfăşurate în cadrul compartimentului;
- obiectivele specifice şi riscurile inerente asociate acestora;
- stabilirea factorilor de risc, a ponderilor şi nivelurilor de apreciere al riscului;
- stabilirea nivelului riscului şi a punctajului total al riscului din activitatea compartimentului;
- punctele tari şi punctele slabe ale activităţii compartimentului;
- plan de acţiune pentru minimizarea riscurilor inerente identificate;
- stadiul implementării acţiunilor de minimizare şi evaluarea riscurilor reziduale în cadrul compartimentului;
- modelul Registrului Riscurilor.
- modelul Registrului Riscurilor.

Fiecare entitate are anumite caracteristici proprii și în funcție de specificul entității se pot evidenția diferite riscuri.

În general, conceptul de risc se referă la, (dar nu numai):
- folosirea incorectă a resurselor financiare (interne şi externe) umane, materiale şi tehnice;
- neexecutarea într-o manieră normală şi eficientă a unor decizii bugetare sau de altă natură;
- frauda şi eroarea;
- neproducerea/neprocesarea şi necomunicarea unor informaţii oportune şi de încredere privind administrarea bunurilor materiale şi băneşti;
- riscuri legate de natura datelor supuse contabilizării, care pot fi:
- riscuri datorate prelucrării unor date repetitive (cumpărări, vânzări etc),
- riscuri datorate prelucrării unor date punctuale, la anumite termene (procese verbale de inventariere),
- riscuri datorate prelucrării unor date excepționale/neobișnuite (reevaluări, fuziuni);

Printre riscurile ce trebuie luate în considerare de către auditori cu privire la conducerea entității sunt, printre altele, următoarele:
- nu au pregătirea și cunoștințele adecvate pentru a conduce entitatea;
- au avut loc schimbări ale managerilor cu funcții cheie, în cursul verificării efectuate de auditor;
- au tendința de a angaja entitatea în activități sau asocieri cu grad de risc ridicat;
- riscuri legate de atitudinea conducerii entității – limitarea/creșterea riscurilor legate de respectarea regulilor și principiilor contabile;
- situația în care rezultatul raportat are o semnificație personală pentru manageri (de exemplu, prime legate de rezultate).

După ce auditorul public extern a obținut o înțelegere a controlului intern din entitatea respectivă, trebuie să efectueze o evaluare inițială a riscului de control. Această evaluare presupune realizarea unor estimări specifice, respectiv:
- estimarea inițială a riscului de control;
- considerarea că riscul real de control este mai mic/mare decât cel estimat inițial;
- determinarea nivelului real al riscului de control.


Răspunsurile obținute de auditorul public extern (în cazul în care aplică exemplul nr. 2 de chestionar) sunt utilizate pentru evaluarea riscului de control și vor constitui o probă de evaluare preliminară a modului în care a fost proiectat și funcționează sistemul de control intern din entitatea respectivă. Evaluarea finală a riscului de control se va face cu ocazia testării efective de către auditor a controalelor interne/procedurilor/activităților de control intern. Auditorul poate reconsidera estimarea inițială a riscului de control după ce a constatat modul în care funcționează în mod real activitățile de control intern și dacă acestea diminuează într-adevăr riscurile semnificative.

În concluzie, dacă auditorul stabilește inițial că riscul de control este redus sau mediu, atunci el trebuie să testeze activitățile de control implementate de entitate, pentru a se asigura că acestea funcționează. În acest sens, va obține suficiente probe de audit convingătoare, cu cât se bazează în mai mare măsură pe eficacitatea controalelor interne, ţinându-se cont că între gradul de încredere în controlul intern şi volumul eşantionului stabilit de auditor, există o relaţie de proporţionalitate inversă.

Printre procedurile de evaluare a riscului de control trebuie să se includă și următoarele:

Estimarea inițială a riscului de control exprimă măsura în care auditorul se așteaptă ca mecanismele de control intern fie să nu preîntâmpine apariția unor erori semnificative, fie să nu detecteze și corecteze erorile apărute. Această estimare se face pentru fiecare tip de operațiuni economice.
 - interogări ale conducerii și ale altor categorii de personal din cadrul entității, care potrivit raționamentului auditorului pot deține informații care pot ajuta la identificarea riscurilor de denaturare semnificativă datorate fraudei sau erorii;
- proceduri analitice;
- observare și inspecție.

În practică, estimarea inițială începe luând în considerare mediul de control. Dacă managerii consideră că nu este important controlul intern, probabilitatea ca activitățile de control să fie adecvate este foarte mică, rezultând un risc inițial ridicat. Dacă atitudinea conducătorului entității față de controlul intern este pozitivă, atunci auditorul va analiza modul în care sunt implementate celelalte elemente ale controlului intern (cele 4 rămase), pentru a justifica estimarea riscului la un nivel mediu sau scăzut (mic).

În practică există două variante în estimarea inițială a riscului:
- auditorul estimează riscul inițial la un nivel ridicat (mare), indiferent de situația reală, pentru a nu proceda la estimări inițiale detaliate, considerând că este mai sigură/economică efectuarea unui audit aprofundat (teste de detaliu și proceduri analitice) decât să testeze mecanismele de control intern. Această estimare se utilizează, în special, în cazul auditării entităților mici, care nu au implementat un sistem de control intern corespunzător standardelor;
- dacă auditorul consideră că riscul inițial este mic, acesta va colecta o cantitate suficientă de probe pentru a justifica acest raționament.

Considerarea de către auditor a faptului că riscul de control este mult mai mic decât estimarea inițială
După parcurgerea primei etape de evaluare a sistemului de control intern (cunoașterea și înțelegerea controlului intern) auditorul poate ajunge la concluzia că a identificat și a testat mecanisme de control intern suplimentare care să justifice reducerea riscului de control estimat inițial.

Determinarea nivelului real al riscului de control 
După ce a estimat riscul inițial și a analizat dacă este posibil un risc de control mai mic, auditorul poate hotărî care dintre acestea două ar trebui utilizat. Pentru a lua această decizie, auditorul va ține cont de costurile testelor de control intern, comparativ cu costurile efectuării testelor de detaliu, care vor fi evitate în situația diminuării riscului de control.

Evaluarea riscului de control intern presupune parcurgerea următorilor pași:
- identificarea obiectivelor de audit pentru fiecare tip de operațiune economică analizată;
- identificarea mecanismelor de control intern, ceea ce presupune ca auditorii să identifice politicile, procedurile și activitățile de control intern efectuate asupra operațiunilor vizate. Această analiză nu presupune, în mod obligatoriu, abordarea fiecărui mecanism de control, ci doar a acelora pe care auditorul le consideră relevante pentru realizarea obiectivelor de audit.
- identificarea neajunsurilor controlului intern ca urmare a absenței mecanismelor de control adecvate, fapt care poate genera riscul apariției unor erori semnificative în situațiile financiare. Acest pas se poate realiza prin parcurgerea următoarelor etape:
a) stabilirea acelor mecanisme cheie de control intern care sunt absente;
b) determinarea erorilor semnificative care ar putea apărea din cauza absenței mecanismelor cheie.

După identificarea mecanismelor de control și a neajunsurilor sistemului de control intern, corelate cu obiectivele de audit identificate, auditorul poate estima riscul de control. În evaluarea riscului de control pentru fiecare tip de operațiune, auditorul caută răspunsuri la următoarele două întrebări: (1) care este probabilitatea ca o eroare semnificativă să nu fie preîntâmpinată sau identificată și corectată de sistemul de control intern și (2) care este impactul respectivei erori. Dacă probabilitatea este mare, atunci riscul de control va fi mare.