Etapele evaluării sistemului de control intern de către auditorii publici externi

Controlul financiar public intern este un subiect prioritar pentru auditul public extern realizat de Curtea de Conturi a României, pentru a determina dacă managerii instituțiilor publice aplică în practică prevederile legale ale sistemului de control intern/managerial.

Este important ca evaluarea activităților de control intern și audit intern să se realizeze cu ocazia verificărilor efectuate de auditorii publici externi și să se ofere o garanție a faptului că atât controlul intern cât și auditul public extern acționează în mod sincronizat, respectându-se în același timp responsabilitățile stabilite pentru cele două părți și gradul de independență caracteristic fiecăruia.
În acest sens, auditorii publici externi au obligația de a cunoaște modul în care este conceput și funcționează întregul sistem de control intern managerial.

Cu ocazia documentării acțiunilor de verificare, auditorii publici externi colectează o serie de informații și documente necesare cunoașterii/înțelegerii activității entității respective și analizei riscurilor cu care aceasta se confruntă. Astfel de informații pot fi:
- principalele elemente ale contextului instituţional în care se desfăşoară activitatea entității (identificarea legilor şi regulamentelor aplicabile entităţii verificate și a aspectelor semnificative privind mediul și condițiile în care acestea funcționează);
- modul în care este organizată entitatea publică (obţinerea organigramei, regulamentului de organizare şi funcţionare, fişe ale posturilor, procedurile scrise ale entităţii auditate, diverse manuale sau ghiduri elaborate conform cerințelor controlului intern);
- lista personalului responsabil cu sarcinile de control atribuite;
- identificarea circuitului documentelor din cadrul entității;
- procese verbale ale ședințelor organelor de conducere;
- documentații de proiect/program;
- rapoarte anterioare de audit intern și extern;
- alte rapoarte, documente ale unor instituţii şi organizaţii abilitate (ex.: Sigma).

Auditorii publici externi trebuie să identifice slăbiciunile sistemelor de control intern ale instituțiilor publice și să sprijine în acest sens structurile de audit intern pentru a elimina aceste slăbiciuni și deficiențe (prin recomandări), să evalueze dacă activitatea desfășurată de entitățile publice este în conformitate cu reglementările specifice în domeniu, cu manualele și ghidurile elaborate pentru control intern și audit intern de către acele persoane desemnate să implementeze controlul intern în entitate.

În acest proces de dualitate și Curtea de Conturi este interesată în stabilirea unui sistem de control intern eficient în entitățile verificate, deoarece:
- acesta poate să anticipeze și să prevină erorile și omisiunile, fraudele și neregularitãțile din stadii incipiente fațã de momentul în care un audit public extern o poate realiza;
- eficacitatea și încrederea în funcționarea sistemelor de control intern pot aduce economii importante de resurse pentru Curtea de Conturi (mai puțin timp alocat unei verificări, echipe mai mici de auditori etc.).

În materialele de specialitate din domeniu se face referire la faptul că instituția supremă de audit are rolul de:
- a se asigura că există norme/regulamente ca bază generală pentru menținerea unui control intern eficace în sectorul public;
- a concentra atenția managerilor din sectorul public către implementarea unor controale interne eficace și menținerea continuă a unui mediu de control intern pozitiv;
- a accentua importanța rolului de prevenire a unor întreruperi în funcționarea controalelor interne, prin a solicita managerilor entităților publice să efectueze autoevaluări periodice ale activităților de control intern;
- a evidenția rolul auditului intern ca parte decisivă/hotărâtoare a sistemului de control intern al organizației;
- a se asigura de faptul că propria instituție (SAI) joacă un rol cheie în:
a) aplicarea standardelor de control intern în entitățile din sectorul public;
b) sprijinirea creării unui mediu solid de control intern;
c) evaluarea sistemelor de control intern ale entităților publice.

Obiectivele de audit în sectorul public, sunt deseori mai largi decât exprimarea unei opinii asupra situaţiilor financiare, respectiv dacă au fost întocmite, în toate aspectele semnificative, în conformitate cu cadrul de raportare financiară aplicabil. Trebuie verificate de exemplu, obligaţiile entităţilor din sectorul public care decurg din legislația aplicabilă, din diverse reglementări, directive ministeriale sau cerinţe ale politicii guvernamentale, care pot duce la stabilirea unor obiective suplimentare și care pot include şi pe acelea cu privire la eficacitatea controlului intern.

Aceste obiective suplimentare pot conduce auditorii publici externi la o evaluare a unor riscuri suplimentare de denaturare semnificativă (riscuri de neconformitate cu cerințele legislative sau de ineficacitate a sistemului de control managerial intern).

În acțiunile de verificare, pentru auditorii publici externi, prezintă de asemenea, importanță: 
- evaluarea modului în care sistemul de control intern a fost conceput şi stabilirea măsurii în care acesta funcționează;
- evaluarea capacităţii sistemului de control intern de a preveni, detecta şi corecta erorile/abaterile semnificative (spre exemplu o eroare sau o fraudă petrecută între compartimente/departamente determină conturi eronate și implicit, influențează situațiile financiare);
- modul în care rezultatele activităţii structurii de audit intern a entităţii verificate asigură o bază credibilă de informații (pentru auditorii publici externi), în vederea diminuării procedurilor de audit utilizate.

Atunci când evaluează conceperea și funcționarea/implementarea controlului intern managerial, auditorul public extern trebuie să aibă în vedere următoarele:
- obiectivul unei activități de control/proceduri de control;
- importanța acelei activității/proceduri de control în cadrul întregului sistem de control intern al entității;
- riscul pe care îl diminuează respectiva activitate de control;
- modul în care este desfășurată activitatea de control;
- cât de frecvent este aceasta aplicată (zilnic, lunar, trimestrial);
- perioada în care a funcționat corespunzător activitatea de control;
- amploarea și tipul proceselor pentru care se aplică activitatea de control;
- dacă aceasta este stabilită prin documente de către managerul entității;
- cunoștințele, experiența persoanei care aplică activitatea de control (cine aplică acel control are abilitățile necesare?);
- dacă respectiva activitate de control intern are o componentă IT.

Auditorii publici externi, în evaluarea activității unei entități, trebuie să analizeze dacă sunt respectate cerințele controlului intern, respectiv dacă managerii/persoanele care gestionează fonduri publice sau patrimoniul public realizează o bună gestiune financiară prin asigurarea legalității, regularității, economicității, eficienței și eficacității în utilizarea fondurilor publice și în administrarea patrimoniului public (ex. - se supun aprobării ordonatorului de credite numai proiectele de operațiuni11 care respectă întru totul cerințele de legalitate, regularitate, economicitate etc.). 

În acest sens, trebuie analizate următoarele aspecte:

- În ce măsură/grad, entitatea publică a realizat dezvoltarea și întreținerea unor sisteme de colectare, stocare, prelucrare, actualizare și diseminare a datelor și informațiilor financiare și de conducere, precum și a unor sisteme și proceduri de informare publică adecvată prin realizarea unor rapoarte periodice.

- Dacă managerul entității și-a îndeplinit obligația legală de a asigura elaborarea, aprobarea, aplicarea și perfecționarea structurilor organizatorice, reglementărilor metodologice, procedurilor și criteriilor de evaluare, pentru a satisface cerințele generale și specifice de control intern. (Se verifică dacă au fost numiți responsabili cu elaborarea acestor reglementări precum și termenele de îndeplinire a acestora).

- Dacă managerii entității au asigurat îndeplinirea obiectivelor generale prin evaluarea sistematică și menținerea la un nivel considerat acceptabil a riscurilor asociate structurilor, programelor, proiectelor sau operațiunilor.

- Dacă managerul entității a realizat asigurarea unei atitudini de cooperare a personalului de conducere și de execuție, care are sarcina de a răspunde în orice moment solicitărilor managerului și dacă a sprijinit efectiv controlul intern prin instruirea personalului în vederea asigurării acestei atitudini.

- Dacă managerul entității a îndeplinit cerința legală de asigurare a integrității și competenței personalului de conducere și de execuție, a cunoașterii și înțelegerii de către acesta a importanței și rolului controlului intern, inclusiv prin instruirea personalului în acest sens.
- Dacă personalul de conducere exercită o supraveghere continuă a tuturor activităților și dacă, ori de câte ori se constată încălcări ale legalității și a regularității în efectuarea unor operațiuni sau în realizarea unor activități în mod neeconomic, ineficace, sau ineficient, acționează corectiv, prompt și responsabil (instruirea personalului în vederea desfășurării acțiunilor corective).

- Dacă au fost stabilite de către conducătorul instituției publice, obiectivele specifice ale controlului intern, astfel încât acestea să fie adecvate, cuprinzătoare, rezonabile și integrate misiunii entității (obiective SMART12) și obiectivele de ansamblu ale acesteia (care sunt integrate în strategia instituției și care se regăsesc în actul de constituire al entității, respectiv managerul trebuie să integreze obiectivele specifice de control intern în obiectivele de ansamblu ale entității).

- Dacă managerul entității publice a respectat obligațiile prevăzute de cerințele controlului intern cu privire la obiectivele specifice ale controlului intern, respectiv: - înregistrarea de îndată și în mod corect a tuturor operațiunilor și evenimentelor semnificative; - asigurarea aprobării și efectuării operațiunilor exclusiv de către persoane special împuternicite în acest sens; - separarea atribuțiilor privind efectuarea de operațiuni între persoane, astfel încât atribuțiile de aprobare, control și înregistrare să fie, într-o măsură adecvată, încredințate unor persoane diferite; - asigurarea unei conduceri competente la toate nivelurile entității (a direcțiilor/departamentelor/compartimentelor); - accesarea resurselor și documentelor numai de către persoane îndreptățite și responsabile în legătură cu utilizarea și păstrarea lor.

- Dacă managerul entității publice a îndeplinit obligația legală de reflectare în documente scrise a organizării controlului intern, astfel încât acestea să fie disponibile cu promptitudine pentru a fi examinate de către cei în drept.

- Dacă prin controlul financiar preventiv s-a efectuat o verificare sistematică a proiectelor de operațiuni din punct de vedere al legalității, regularității și încadrării în limitele creditelor bugetare sau creditelor de angajament, după caz, stabilite potrivit legii.

- Dacă managerul entității publice, (împreună cu directorul economic, șeful contabil, șeful compartimentului de audit intern și controlorul financiar preventiv) a îndeplinit obligația de a organiza și exercita controlul financiar preventiv, respectiv dacă a îndeplinit sarcina legală de stabilire a proiectelor de operațiuni supuse controlului financiar preventiv cu respectarea dispozițiilor legale (auditorii publici externi trebuie să aibă în vedere faptul că respectarea dispozițiilor legale impune ca înainte de prezentarea proiectelor de operațiuni pentru viza de control financiar, în cadrul entității publice trebuie să fie stabilite strategia, din care să reiasă obiectivele SMART pe fiecare compartiment/direcție, serviciu, birou, să existe manuale de proceduri de lucru pe activități, să fie întocmit un registru de riscuri, să fie implementate standardele minimale obligatorii și indicatorii de rezultate și de eficiență și că se precizează acțiunile, costurile asociate și obiectivele urmărite).

- Dacă operațiunile, înainte de a fi avizate de către șefii compartimentelor de specialitate, de a se primi viza de control financiar preventiv și de a fi aprobate de către conducătorul instituției publice, au îndeplinit prevederile legislației în domeniu (OG nr. 119/1999, OMFP nr. 946/2005, OMFP nr. 1389/2006, Legea nr. 500/2002 privind finanțele publice, Legea nr. 273/2006 privind finanțele publice locale). Auditorii publici externi trebuie să aibă în vedere faptul că șefii compartimentelor de specialitate răspund pentru realitatea, regularitatea și legalitatea operațiunilor ale căror documente justificative le-au certificat. Ei trebuie să prezinte pentru viză numai acele proiecte de operațiuni certificate în privința legalității și sub semnătura lor.

- Dacă structura de specialitate juridică a pus viza juridică pe documente respectând în totalitate prevederile legislative în domeniu. Controlul intern organizat la nivelul instituției publice, include și avizul de legalitate acordat de către consilierul juridic asupra actelor cu caracter juridic, înainte de aprobarea acestora de către conducătorul instituției publice. Solicitarea acestui aviz este obligatorie, dar nu implică obligativitatea conformării din partea titularului competenței de aprobare. În cazul în care titularul competenței nu se conformează avizului, atunci operațiunea se efectuează pe răspunderea acestuia.

- Dacă managerul entității publice, directorul economic, șeful contabil au elaborat proiectul de buget în baza programelor care se fundamentează pe obiective precise și indicatori de rezultate și de eficiență.

- Dacă pe parcursul derulării proiectelor de operațiuni s-a evitat riscul de blocare a fondurilor bugetare, de către organisme abilitate, precum și alte riscuri majore identificate și tratate prin implementarea sistemului de control intern.

- Dacă managerul entității a dispus măsurile necesare pentru elaborarea și/sau dezvoltarea sistemelor de control intern inclusiv a documentelor pentru procedurile activităților.

- Dacă managerul entității a introdus în programele de dezvoltare a sistemelor de control managerial obiectivele, acțiunile, responsabilitățile și termenele de aplicare.

- Dacă managerul entității publice prin act de decizie internă a constituit structuri cu atribuții de monitorizare, coordonare și îndrumare metodologică cu privire la sistemele proprii de control managerial.

- Dacă managerul entității publice a raportat progresele înregistrate cu privire la dezvoltarea sistemelor de control managerial, precum și situațiile deosebite observate în acțiunile de monitorizare, coordonare și îndrumare metodologică derulate de structurile cu aceste atribuții, celor în drept, așa cum se solicită în legislația privind controlul intern.

Auditorii publici externi trebuie să aibă în vedere și faptul că persoana care conduce entitatea publică elaborează anual un raport asupra sistemului de control intern/managerial13, care se prezintă ca anexă la situațiile financiare ale exercițiului bugetar încheiat. Este de așteptat ca acest raport să conștientizeze managementul instituțional de la toate nivelele instituției asupra responsabilităților care îi revin în implementarea standardelor de management/control intern.

Totodată, trebuie cunoscut și faptul că, neîndeplinirea de către ordonatorul de credite a obligației de a elabora și de a prezenta raportul anual asupra sistemului de control intern/managerial, constituie contravenţie, dacă nu este săvârșită în astfel de condiţii încât să fie considerată, potrivit legii penale, infracţiune.

În procesul de evaluare a sistemului de control intern, auditorul public extern trebuie să parcurgă următoarele etape: - cunoaşterea şi înţelegerea entității și a mediului său, inclusiv a controlului intern; - estimarea riscului de control intern; - testarea mecanismelor de control intern (teste de control).

Pentru a realiza acest proces de evaluare, auditorul public extern trebuie să efectueze proceduri de evaluare a riscului. Acestea sunt proceduri de audit efectuate pentru a obține o înțelegere a entității și a mediului său, inclusiv a controlului intern.