Control intern

Realizarea i implementarea sistemului de control intern n cadrul organizaiei precum i revizuirea periodic a acestuia n vederea mbuntirii lui este responsabilitatea conducerii la vrf. Acesta este un principiu stabilit prin regulile de guvernan corporativ . Consiliul de administraie i conducerea executiv trebuie s acioneze n consecin. Responsabilitatea consiliului de administraie i a senior managementului privind stabilirea, meninerea i operarea unui sistem de control intern eficient nu poate fi delegat. Consiliul de administraie trebuie s se asigure c, periodic, senior managementul verific eficacitatea i operabilitatea sistemului de control intern.

Sistemul de control intern trebuie s ofere asigurarea asupra atingerii urmtoarelor obiective:

Eficiena i eficacitatea operaiilor; Credibilitatea raportrilor financiare i operaionale; Protejarea activelor mpotriva pierderilor generate de risip, abuz, nepsare; management incorect/inadecvat, erori, fraude i alte nereguli; Conformitatea cu legile, regulamentele, cadrul contractual i directivele managementului; Crearea i meninerea unor date financiare credibile, prezentate cu acuratee i la timp n raportrile financiare.

Sistemul de control intern

Sistemul de control intern trebuie s ofere o asigurare rezonabil i nu absolut asupra aspectelor sus menionate. n acest context, termenul de rezonabil presupune un nivel acceptabil de ncredere lund n considerare riscurile inerente precum i raportul cost beneficiu privind controalele.

Sistemul de control intern

Controlul intern este reprezentat de sistemele, politicile, procedurile i procesele implementate de ctre consiliul de administraie, managementul executiv i alte persoane din cadrul organizaiei cu scopul de a asigura securitatea activelor, limitatea i controlul riscurilor precum i atingerea obiectivelor organizaiei. Funcia de audit intern este parte a sistemului de control intern n cadrul organizaiei, dar auditul intern este chemat s ofere o evaluare obiectiv i independent a activitilor, controalelor interne i a sistemelor informaionale din cadrul organizaiei pentru a ajuta consiliul de admninistraie i managementul s monitorizeze i evalueze adecvarea i eficiena controlului intern.

Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework COSO.

COSO definete controlul intern ca fiind: un proces stabilit de ctre consiliul director, management i alte persoane cu scopul s ofere o asigurare rezonabil privind atingerea obiectivelor n urmtoarele arii: eficiena i eficacitatea operaiilor; credibilitatea raportrilor financiare; conformitatea cu legile i regulamentele aplicabile.

Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework COSO

Documentul definete controlul intern ca un proces i recomand evaluarea eficienei i eficacitii sistemului de control intern la un anumit moment de timp.

Control intern - COSO

controlul intern impacteaz orice aspect/component din cadrul organizaiei: oameni, procese, infrastructur; ncorporeaz calitile unui bun management; este dependent de persoane i va reui sau va eua n funcie de percepia persoanelor asupra importanei i necesitii lui; este eficient atunci cnd toi angajaii i mediul organizaiei coopereaz; ofer un nivel de confort privind probabilitatea atingerii obiectivelor organizaiei; ajut organizaia s-i ndeplineasc misiunea.

Cubul COSO

Cadrul de management al riscului

Mediul de control; Stabilirea obiectivelor; Identificarea evenimentelor; Evaluarea riscurilor; Rspunsul la risc; Activiti de control; Informare i comunicare Monitorizare

Cadrul de management al riscurilor

Se aplic: organizaiei n ansamblul su i entitilor organizatorice (divizii, uniti, sucursale) Vizeaz:strategia, operaiile, raportarea, conformitatea

Conceptul de Enterprise Risk Management

Activitile de risc management includ identificarea, evaluarea, administrarea i controlul tuturor evenimentelor i situaiilor. ERM reprezint un proces structurat, consistent i continuu, acoperind ntreaga organizaie, destinat identificrii, evalurii, lurii deciziilor ca rspuns la riscuri i raportare asupra oportunitilor i ameninrilor care pot afecta realizarea obiectivelor (IIA - The Role of Internal Auditing in Enterprise wide Risk Management).

Beneficiile aduse de ERM

Probabilitate crescut n atingerea obiectivelor; Consolidarea raportrii privind riscurile; mbuntirea nelegerii riscurilor cheie i a implicaiilor acestora; Identificarea i abordarea riscurilor la modul global, la nivel de business; Focalizarea managementului pe problemele cele mai importante; Mai puine crize i surprize; Concentrarea, la nivel intern asupra a ceea ce trebuie fcut i a modului de realizare optim; O mai bun informare asupra riscurilor i o mai solid documentare n luarea deciziilor.

Activiti incluse n ERM

1. Formularea i comunicarea obiectivelor; 2. Definirea apetitului pentru risc; 3. Stabilirea unei mediu intern adecvat, incluznd un mediu al managementului riscurilor; 4. Identificarea ameninrilor poteniale asupra realizrii obiectivelor; 5. Evaluarea riscurilor, n baza probabilitii producerii i a impactului estimat;

Activiti incluse n ERM

6. Stabilirea i implementarea aciunilor de rspuns la riscurile produse; 7. Msuri de control i alte msuri de rspuns la risc; 8. Comunicarea, ntr-o form consistent, a informaiei privind riscurile la toate nivelurile n cadrul organizaiei. 9. Monitorizarea i coordonarea centralizat a procesului de management al riscurilor; 10. Oferirea unei asigurri privind eficacitatea administrrii riscurilor.

Rspunsul IAA la ERM

Identificnd noile responsabiliti ale auditului intern n lumina noilor reglementri COSO, IIA public documentul The Role of Internal Auditing in Enterprise wide Risk Management. Ideea central de la care a pornit documentul IIA este: rolul esenial al auditului intern cu privire la ERM este de a oferi consiliului de administraie o asigurare obiectiv cu privire la eficacitatea activitilor de management al riscurilor n cadrul organizaiei n vederea administrrii, ntr-un mod adecvat, a riscurilor cheie i de asemenea c sistemul de control intern funcioneaz cu eficacitate.

Rspunsul IAA la ERM

Identificnd noile responsabiliti ale auditului intern n lumina noilor reglementri COSO, IIA public documentul The Role of Internal Auditing in Enterprise wide Risk Management. Ideea central de la care a pornit documentul IIA este: rolul esenial al auditului intern cu privire la ERM este de a oferi consiliului de administraie o asigurare obiectiv cu privire la eficacitatea activitilor de management al riscurilor n cadrul organizaiei n vederea administrrii, ntr-un mod adecvat, a riscurilor cheie i de asemenea c sistemul de control intern funcioneaz cu eficacitate.

Rspunsul IAA la ERM

IIA formuleaz urmtoarele cerine ale auditului intern cu privire la ERM: Oferirea unei asigurri cu privire la procesul de administrare a riscurilor; Oferirea unei asigurri cu privire la faptul c riscurile sunt corect evaluate; Evaluarea procesului de administrare a riscurilor; Evaluarea modului de raportare a riscurilor cheie; Revizuirea managemntului riscurilor cheie.

Rspunsul IAA la ERM

Rolul auditului intern pe linia proteciei activelor organizaiei: Facilitarea identificrii i evalurii riscurilor; Pregtirea managementului pentru a rspunde riscurilor; Coordonarea activitilor ERM; Consolidarea raportrilor cu privire la riscuri; Meninerea i dezvoltarea unui cadru destinat ERM; Dezvoltarea strategiei de management al riscurilor pentru a fi supus aprobrii managementului.

Rspunsul IAA la ERM

IIA, atenioneaz asupra ctorva roluri care nu pot fi atribuite auditului intern: Stabilirea apetitului pentru risc; Impunerea unui anumit proces de management al riscurilor; Luarea deciziilor ca rspuns la riscuri; Implementarea rspunsului la risc n locul managementului; Credibilitatea managementului riscurilor.

Rolul auditului intern n ERM ( surs: IIA The Role of Internal Auditing in Enterprise wide Risk)

Rolul auditului intern n ERM ( surs: IIA The Role of Internal Auditing in Enterprise wide Risk)

Activitile cuprinse n figur sunt activiti de asigurare privind managementul riscurilor. n msura n care funcia de audit intern la nivelul organizaiei a asimilat Standardele Internaionale multe din activitile prezentate n figur vor putea fi desfurate. Figura evideniaz rolul consultativ al auditului intern cu privire la componentele ERM.

Activiti de control
Activitile de control reprezint aciuni ntreprinse pentru limitarea riscurilor. Ele se materializeaz n: politici, proceduri i mecanisme care ajut managementul n limitarea i monitorizarea riscurilor identificate n procesul de administrare a riscurilor. Activitele de control pot fi : Activitile preventive sunt destinate identificrii de evenimente generatoare de risc. Dezvoltarea unor astfel de controale implic anticiparea unor poteniale probleme nainte ca ele s se produc asigurnd implementarea unor proceduri care s previn producerea lor n viitor. Activitile detective sunt destinate identificrii de evenimente dup producerea acestora i alertarea managementului. Aceste activiti primit managementului luarea de msuri corective prompte. Spre exemplu, fiind definit profilul de risc la nivelul organizaiei, astfel de controale permit atenionarea managementului atunci cnd anumii indicatori se apropie sau depesc limita de alert. Acest fapt declaneaz decizii ale managementului n scopul limitrii riscurilor.

Activitile de control pot fi ncorporate n:

Politici Proceduri; Secvene sau combinaii de proceduri; Asignarea atribuiunilor, responsabilitilor i autoritilor; Procese fizice; Combinaii ale componentelor enunate mai sus.

Proiectarea i implementarea controalelor trebuie realizate prin respectarea urmtoarelor cerine:

Costul controalelor nu poate excede beneficiile obinute; Managementul trebuie s includ activiti de control n toate procesele de business; Adugarea de activiti de control dup implementarea proceselor este mai costisitoare; Alocarea de resurse pentru activitile de control trebuie realizat n funcie de probabilitatea i impactul riscurilor pentru care activitile de control sunt gndite; Pentru diferite riscuri pot fi gndite multiple activiti de control independente sau corelate cu alte controale; Controale excesive pot afecta i/sau ngreuna procesele.

Cele mai uzitate activiti de control

Autorizarea: aceste activiti de control au scopul de a oferi asigurarea c toate tranzaciile iniiate sunt n limitele stabilite prin politicile aprobate i orice derogri s-au realizat prin aprobarea unui nivel ierarhic superior. Revizuire i aprobare: aceste activiti de control au scopul de a oferi asigurarea c toate tranzaciile iniiate au fost verificate din punct de vedere al acurateei i completitudinii de ctre persoanele cu responsabiliti n acel domeniu; Verificare: activitile de control din aceast categorie includ controale manuale i automate destinate oferirii unei asigurri rezonabile c n contabilitate, de ex., nregistrrile sunt complete i corect fcute;

Cele mai uzitate activiti de control

Reconciliere: aceste activiti de control au scopul de a oferi asigurarea c nregistrrile contabile sunt complete i corecte prin compararea acestora cu documente surs; Securitatea fizic a activelor: aceste activiti de control au scopul de a oferi asigurarea c activele sunt protejate mpotriva furtului sau distrugerii cauzate de accidente, calamiti naturale, neglijen sau aciuni intenionate de fraud, abuz sau furt. Segregarea responsabilitilor: activitile de control din aceast categorie reduc riscul de eroare i fraud prin asigurarea faptului c alocarea responsabilitilor s-a realizat corect la nivelul posturilor de lucru i/sau persoanelor astfel nct s nu existe cazuri n care, o aceeai persoan este implicat n mai multe activiti ale unui aceluiai proces. O atenie suplimentar se recomand n cazul proceselor contabile i financiare. Spre exemplu, o aceeai persoan nu poate avea atribuiuni de nregistrare n contabilitate i tot ea realizeaz i reconcilirea sumelor.

Cele mai uzitate activiti de control

Protecia activelor Protecia activelor implic restricionarea accesului la resurse i informaii pentru prevenirea/reducerea riscului de folosire neautorizat sau pierdere. Este responsabilitatea managementului de a proteja echipamentele, informaiile, documentele i alte resurse care pot fi supuse riscului de a fi folosite incorect, distruse sau furate. Protejarea activelor poate fi realizat, n baza deciziei managementului, prin utilizarea mijloacelor de securizare. Raportare Raportarea este considerat un mijloc de control datorit faptului c ofer informaii periodice cu privire la atingerea obiectivelor, stadiul realizrii bugetelor. Raportarea ajut n egal msur la asigurarea credibilitii aciunilor i deciziilor.

Tipuri de controale

Tipuri de controale

Tipuri de controale
Preventiv Planificare eficienta/proces bugetare Controale privind accesul (nume utilizator, parole, etc.) Separarea responsabilitatilor Aprobari/autorizari Securitate fizica Configurarea sistemelor (funcia IT) Detectiv Reconcilierea documentelor primare cu nregistrarile contabile Compararea rezultatelor raportate cu planurile si bugetele Verificarea modalitatii de acces in sistemul informatic si jurnalele de tranzactionare Corectiv Plan de recuperare in caz de dezastru (funcia IT) Plan de continuare a afacerii Proceduri

Metode de control

Ex. de controale IT
Controlul activitilor IT Aceste controale pot fi clasificate n : controale realizate de personal IT specializat i controale asigurate de ntregul personal din cadrul organizaiei, determinate de faptul c angajaii utilizeaz n activitatea curent calculatoare i alte echipamente IT. Putem include n aceast categorie: procedurile privind accesul la reeaua local, procedurile privind utilizarea aplicaiilor; alocarea drepturilor de instalare a aplicaiilor doar personalului IT cu atribuiuni n acest sens; politica antivirus; controlul accesului i securizarea ariilor n care sunt amplasate servere sau se pstreaz copiile de siguran (pentru date i software); mijloace de control a securitii echipamentelor.