Evaluarea mediului de control intern este prima etapă a evaluării riscului de control.
Mediul de control, determinat în mare măsură de politicile manageriale și de stilul de funcționare al entității, este fundamental pentru modul de desfășurare al controalelor într-o entitate publică.
De aceea, auditorul public extern trebuie să înţeleagă modul în care conducerea entităţii a creat şi menţinut o cultură de onestitate şi comportament etic și dacă a pus la punct controale adecvate pentru a preveni şi detecta fraudele şi erorile într-o entitate.
În Anexa nr. 1 prezentăm Lista de verificare privind organizarea și funcționarea CFPP.
În Anexa nr. 2 prezentăm un exemplu de chestionar (nr.1) pentru evaluarea mediului de control intern.
În Anexa nr. 3 prezentăm un exemplu de chestionar (nr. 2) elaborat în sprijinul auditorilor publici externi, pentru evaluarea implementarii standardelor de control intern, conform celor 5 elemente ale controlului intern (în baza Codului Controlului intern, aprobat prin OMFP nr.946/2005). Acesta se va utiliza în funcție de mărimea entității publice și a activității pe care o desfășoară aceasta.
Subliniem că, Anexele nr. 2 şi nr. 3 nu sunt exhaustive, ele putând suferi justificat modificări în sensul restrângerii sau creşterii numărului de întrebări, funcţie de percepţia şi raţionamentul profesional al auditorului public extern.
În situația în care auditorul public extern stabilește că în cadrul entității există un mediu de control satisfăcător, atunci acesta poate considera că este un factor pozitiv pentru evaluarea riscurilor de denaturare semnificativă și că se influențează totodată natura, timpul şi întinderea procedurilor suplimentare de audit pe care le va aplica. De asemenea, un mediu de control satisfăcător, poate conduce la concluzia că riscul de fraudă este mai redus, dar nu este neapărat un obstacol absolut în calea fraudei. În acest caz se creează premiza că activitățile de control instituite de entitate funcționează eficient în practică, iar auditorul public extern se concentrează pe acele întrebări din chestionar (nr. 2) care vizează activitățile de control/procedurile de control aferente categoriilor de operațiuni economice ce se vor analiza. De menționat că auditorul trebuie să selecteze numai acele întrebări din exemplul nr. 2 de chestionar, care sunt relevante pentru entitatea verificată.
Dacă stabilește faptul că în entitate există un mediu de control cu carenţe, atunci trebuie să ia în considerare că acesta poate submina eficienţa controalelor interne, fiind un factor negativ în evaluarea de către auditorul public extern a riscurilor de denaturare semnificativă, în special în ce priveşte frauda. În consecință, nu este nevoie ca auditorul să evalueze în mod individual activitățile de control/procedurile de control stabilite de entitate, deoarece va stabili faptul că riscul de control este ridicat și va efectua mai multe teste de detaliu. În acest caz auditorul public extern trebuie să discute cu conducerea entității slăbiciunile mediului de control și să facă recomandări pentru întărirea acestuia.