STANDARDELE DE AUDIT INTERN din 19 aprilie 2007

elaborate şi publicate de Institutul Auditorilor Interni



IntroducereActivităţile de audit intern se desfăşoară în diverse medii legale şi culturale, în interiorul organizaţiilor care variază în funcţie de scop, mărime, complexitate şi structură şi de către persoane din interiorul sau din afara organizaţiei. Deşi diferenţele pot afecta procedurile auditului intern în fiecare mediu, conformitatea cu Standardele internaţionale pentru procedurile profesionale de audit intern, denumite în continuare Standarde, este esenţială în condiţiile în care responsabilităţile auditorilor interni se întrepătrund. Dacă auditorilor interni li se interzice prin legi sau regulamente să se conformeze anumitor părţi din Standarde, ar trebui să se conformeze cu alte părţi din Standarde şi să facă prezentări adecvate.Serviciile de asigurare implică obiectivul auditorului intern de a evalua probele pentru a oferi o opinie independentă sau concluzii cu privire la un proces, un sistem sau alte subiecte. Forma şi scopul misiunii de asigurare sunt determinate de către auditorul intern. În general, în misiunile de asigurare sunt implicate 3 părţi: 1. persoana sau grupul implicat direct în procesul, sistemul sau problema în cauză – proprietarul procesului, 2. persoana sau grupul care face evaluarea – auditorul intern şi 3. persoana sau grupul care foloseşte evaluarea – utilizatorul.Serviciile de consultanţă sunt recomandări de formă şi sunt efectuate în general la cererea de misiune specifică a unui client. Forma şi scopul misiunii de consultanţă fac subiectul acordului cu misiunea clientului. Serviciile de consultanţă implică în general două părţi: 1. persoana sau grupul care oferă recomandarea – auditorul intern şi 2. persoana sau grupul care caută şi primeşte recomandări – clientul misiunii. În derularea serviciilor de consultanţă, auditorul intern trebuie să îşi menţină obiectivitatea şi să nu îşi asume responsabilitatea managementului.Scopul Standardelor este de a:1. delimita principiile de bază care reprezintă practica auditului intern, aşa cum ar trebui să se realizeze;2. oferi un cadru pentru realizarea şi promovarea unei game largi de activităţi care să aducă plusvaloare auditului intern;3. stabili bazele de evaluare a performanţei auditului intern;4. se preocupa de îmbunătăţirea proceselor şi operaţiunilor organizaţionale.Standardele constau în Standardele de calificare, de performanţă şi Standarde de implementare. Standardele de calificare prezintă caracteristicile organizaţiilor şi părţilor ce derulează activităţi de audit intern. Standardele de performanţă descriu natura activităţilor de audit intern şi furnizează criterii de calitate pe baza cărora să poată fi evaluată performanţa acestor servicii. În timp ce Standardele de calificare şi de performanţă se aplică tuturor serviciilor de audit intern, Standardele de implementare se aplică tipurilor specifice de misiuni.Există un singur set de Standarde de calificare şi de performanţă şi există seturi multiple de Standarde de implementare: un set pentru fiecare tip principal de activitate de audit intern. Standardele de implementare au fost elaborate pentru activităţi de asigurare(A) şi consultanţă(C).Standardele sunt parte componentă a cadrului conceptual pentru practici profesionale. Cadrul conceptual pentru practici profesionale include definiţia auditului intern, Codul etic, Standardele şi alte ghiduri. Ghidul referitor la modul în care pot fi aplicate Standardele este inclus în recomandările practice emise de Comitetul pentru aspecte profesionale.Standardele angajează termeni care dau un concept specific, inclus în Glosarul de termeni.Dezvoltarea şi emiterea de standarde este un proces continuu. Consiliul pentru Standarde de Audit Intern este angajat în consultări şi discuţii extensive, cu prioritate pentru emiterea de standarde. Aceasta include o solicitare internaţională pentru comentarii publice în cadrul procesului de expunere a proiectelor.Definiţia auditului internAuditul intern este o activitate independentă şi obiectivă care dă unei entităţi o asigurare în ceea ce priveşte gradul de control asupra operaţiunilor, o îndrumă pentru a-i îmbunătăţi operaţiunile şi contribuie la adăugarea unui plus de valoare.Auditul intern ajută această organizaţie să îşi atingă obiectivele, evaluând, printr-o abordare sistematică şi metodică, procesele sale de management al riscurilor, de control, şi de guvernare a organizaţiei şi făcând propuneri pentru a le consolida eficacitatea.1000 – Scop, autoritate şi responsabilităţiScopul, autoritatea şi responsabilităţile auditului intern trebuie să fie definite în mod oficial într-un regulament, în conformitate cu Standardele şi să fie aprobate de Consiliul organizaţiei.1000. A1 – Natura misiunilor de asigurare efectuate pentru organizaţie trebuie să fie definită în Regulamentul de funcţionare a Departamentului de audit intern. Dacă misiunile de asigurare urmează să fie efectuate către părţi din afara entităţii, natura lor trebuie, de asemenea, să fie definită în regulament.1000. C1 – Natura misiunilor de consultanţă trebuie să fie definită în Regulamentul de funcţionare a Departamentului de audit intern.1100 – Independenţă şi obiectivitateActivitatea de audit intern trebuie să fie independentă, iar auditorii interni trebuie să-şi desfăşoare activitatea cu obiectivitate.1110 – Independenţă în cadrul entităţiiConducătorul Departamentului de audit intern trebuie să raporteze în cadrul entităţii unui nivel ierarhic care să îi permită îndeplinirea responsabilităţilor în cadrul activităţii de audit intern.1110.A1 – Activitatea de audit intern nu trebuie să fie supusă niciunei imixtiuni în ceea ce priveşte definirea ariei sale de aplicabilitate, realizarea activităţii şi comunicarea rezultatelor.1120 – Obiectivitate individualăAuditorii interni trebuie să aibă o atitudine imparţială şi neinfluenţată şi să evite conflictele de interese.1130 – Prejudicii aduse independenţei sau obiectivităţiiDacă obiectivitatea sau independenţa auditorilor interni este afectată în fapt sau în aparenţă, părţile interesate trebuie să fie informate despre detaliile situaţiilor care creează aceste prejudicii. Forma acestei comunicări va depinde de natura prejudiciului.1130.A1 – Auditorii interni trebuie să evite să evalueze anumite operaţiuni de care au fost responsabili în trecut. Obiectivitatea unui auditor este considerată a fi afectată atunci când acesta realizează o misiune de asigurare pentru o activitate pentru care a fost responsabil în cursul anului precedent.1130.A2 – Misiunile de asigurare care vizează funcţiile de care răspunde conducătorul activităţii de audit intern trebuie să fie supervizate de o persoană care nu face parte din structura de audit intern.1130.C1 – Auditorii interni pot oferi servicii de consultanţă în legătură cu realizarea operaţiunilor pentru care au fost responsabili în trecut.1130.C2 – Dacă independenţa sau obiectivitatea auditorilor interni ar putea fi afectată în legătură cu serviciile de consultanţă propuse, ei trebuie să informeze în această privinţă clientul care a solicitat misiunea, înainte de a o accepta.1200 – Competenţă şi conştiinciozitate profesionalăMisiunile trebuie să fie îndeplinite cu competenţă şi cu conştiinciozitate profesională.1210 – CompetenţăAuditorii interni trebuie să deţină cunoştinţele, priceperea şi celelalte competenţe necesare exercitării responsabilităţilor lor individuale. Departamentul de audit intern trebuie să deţină sau să dobândească în mod colectiv cunoştinţele, priceperea şi celelalte competenţe necesare exercitării responsabilităţilor care le revin.1210.A1 – Conducătorul activităţii de audit intern trebuie să obţină sfatul şi asistenţa de specialitate din partea altor persoane dacă personalul din Departamentul de audit intern nu deţine cunoştinţele, priceperea sau alte competenţe necesare pentru a realiza parţial sau total misiunea.1210.A2 – Auditorii interni trebuie să deţină cunoştinţe suficiente pentru a identifica indiciile unei fraude, dar aceasta nu înseamnă că trebuie să aibă acelaşi nivel de competenţă ca şi o persoană a cărei principală responsabilitate este detectarea şi investigarea fraudelor.1210.A3 – Auditorii interni trebuie să aibă cunoştinţe legate de principalele riscuri şi controale IT, dar şi de tehnicile de audit asistate de calculator disponibile pentru a-şi exercită activitatea desemnată. Totuşi, nu este de aşteptat ca toţi auditorii interni să aibă experienţa unui auditor intern a cărei principală responsabilitate este auditarea sistemelor IT.1210.C1 – Conducătorul activităţii de audit intern trebuie să refuze o misiune de consultanţă sau să obţină sfatul şi asistenţa de specialitate din partea altor persoane dacă personalul din Departamentul de audit intern nu deţine cunoştinţele, priceperea ori alte competenţe necesare pentru a realiza parţial sau total misiunea.1220 – Conştiinciozitate profesionalăAuditorii interni trebuie să îşi exercite activitatea cu conştiinciozitatea şi priceperea care se aşteaptă din partea unui auditor intern prudent şi competent. Conştiinţa profesională nu implică infailibilitatea.1220.A1 – Auditorul intern trebuie să acorde toată atenţia necesară practicii sale profesionale, luând în calcul următoarele elemente:– sfera de activitate necesară pentru atingerea obiectivelor misiunii;– complexitatea relativă, pragul de semnificaţie sau caracterul semnificativ al problemelor asupra cărora se aplică procedurile misiunilor de asigurare;– adecvarea şi eficacitatea proceselor de management al riscurilor, de control şi de guvernanţă ale organizaţiei;– probabilitatea existenţei unor erori, nereguli sau neconformităţi semnificative;– costul aplicării misiunilor de asigurare în raport cu avantajele potenţiale.1220.A2 – În exercitarea cu conştiinciozitate a activităţii, auditorul intern trebuie să ia în consideraţie utilizarea instrumentelor de audit asistate de calculator şi a altor tehnici de analiză a datelor.1220.A3 – Auditorul intern trebuie să manifeste o vigilenţă deosebită în ceea ce priveşte riscurile semnificative care ar putea afecta obiectivele, operaţiunile sau resursele. Totuşi, numai aplicarea procedurilor de asigurare, chiar dacă este efectuată cu conştiinciozitatea profesională necesară, nu garantează identificarea tuturor riscurilor semnificative.1220.C1 – Auditorul intern trebuie să efectueze o misiune de consultanţă cu conştiinciozitate profesională, luând în consideraţie următoarele elemente:– necesităţile şi aşteptările clienţilor, inclusiv în ceea ce priveşte natura, planificarea şi comunicarea rezultatelor misiunii;– complexitatea relativă a misiunii şi volumul de muncă necesar pentru atingerea obiectivelor stabilite;– costul misiunii de consultanţă în raport cu avantajele potenţiale.1230 -Pregătirea profesională continuăAuditorii interni trebuie să îşi îmbunătăţească cunoştinţele, priceperea şi alte competenţe necesare prin pregătire profesională continuă.1300 – Programul de asigurare şi îmbunătăţire a calităţiiConducătorul activităţii de audit intern trebuie să elaboreze şi să întreţină un program de asigurare şi îmbunătăţire a calităţii care să acopere toate aspectele legate de activitatea de audit intern şi să monitorizeze permanent eficacitatea acestuia. Acest program va include evaluări interne şi externe ale calităţii şi monitorizare internă permanentă. Fiecare parte a programului trebuie să fie concepută astfel încât să ajute activitatea de audit intern să aducă un plus de valoare şi să îmbunătăţească activităţile organizaţiei, dar şi să ofere o asigurare că activitatea de audit intern se desfăşoară în conformitate cu Standardele şi cu Codul etic.1310 – Evaluări ale programului de control al calităţiiActivitatea de audit intern trebuie să adopte un proces care să permită monitorizarea şi evaluarea eficacităţii globale a programului de control al calităţii. Acest proces trebuie să cuprindă atât evaluări interne, cât şi evaluări externe.1311 – Evaluări interneEvaluările interne trebuie să cuprindă:– revizuiri permanente privind performanţa activităţii de audit intern; şi– revizuiri periodice, efectuate prin autoevaluare sau de către alte persoane din cadrul entităţii care cunosc practicile de audit intern şi Standardele.1312 – Evaluări externeEvaluările externe trebuie să fie realizate cel puţin o dată la 5 ani de către un auditor independent şi care deţine competenţa necesară din afara entităţii, sau de o echipă de auditori independenţi şi care deţin competenţele necesare din afara entităţii. Nevoia potenţială de evaluări externe mai dese, precum şi competenţa şi independenţa auditorului extern sau a echipei de auditori, inclusiv orice posibil conflict de interese, trebuie discutate de către conducătorul Departamentului de audit intern cu Consiliul. De asemenea, astfel de discuţii trebuie să ţină cont de mărimea, complexitatea şi specificul organizaţiei în corelaţie cu experienţa auditorului sau echipei.1320 – Rapoarte referitoare la programul de calitateConducătorul Departamentului de audit intern trebuie să comunice Consiliului rezultatele evaluărilor externe.1330 – Utilizarea menţiunii "Efectuat în conformitate cu Standardele"Auditorii interni sunt încurajaţi să menţioneze în rapoartele pe care le întocmesc faptul că activităţile lor sunt "efectuate în conformitate cu Standardele pentru practica profesională în domeniul auditului intern". Totuşi, auditorii interni pot folosi această menţiune doar dacă evaluările programului de îmbunătăţire a calităţii demonstrează că activitatea de audit intern este efectuată în conformitate cu Standardele.1340 – Prezentarea neconformităţiiChiar dacă activitatea de audit intern trebuie să fie efectuată respectându-se cu stricteţe Standardele în ansamblul lor, iar auditorii interni trebuie să respecte Codul etic, pot exista situaţii în care această conformitate nu este pe deplin realizată. Atunci când această neconformitate influenţează în ansamblul său aria de aplicabilitate a activităţii de audit intern sau funcţionarea Departamentului de audit intern, această situaţie trebuie adusă atât la cunoştinţa conducerii superioare executive, cât şi la cea a Consiliului.STANDARDE DE PERFORMANŢĂ2000 – Gestionarea activităţii de audit internConducătorul activităţii de audit intern trebuie să gestioneze în mod eficient activitatea de audit intern, astfel încât să se asigure că ea aduce un plus de valoare entităţii.2010 – PlanificareaResponsabilul pentru activitatea de audit intern trebuie să realizeze o planificare bazată pe riscuri, pentru a defini priorităţile activităţii de audit intern în concordanţă cu obiectivele entităţii.2010.A1 – Programul misiunilor de audit intern trebuie să se bazeze pe o evaluare a riscurilor, realizată cel puţin o dată pe an. La stabilirea acestui proces, auditorul intern trebuie să ia în calcul punctele de vedere ale managementului şi Consiliului organizaţiei.2010.C1 – Atunci când îi este propusă o misiune de consultanţă, responsabilul pentru activitatea de audit intern trebuie, înainte de a o accepta, să ia în calcul în ce măsură aceasta poate aduce un plus de valoare şi poate îmbunătăţi managementul riscurilor şi funcţionarea entităţii. Misiunile care au fost acceptate trebuie să fie integrate în planul de audit.2020 – Comunicarea şi aprobareaResponsabilul pentru activitatea de audit intern trebuie să comunice managementului şi Consiliului planurile privind activitatea de audit intern şi resursele necesare, inclusiv modificările intermediare semnificative, în vederea examinării şi aprobării acestora. Conducătorul activităţii de audit intern trebuie să semnaleze, de asemenea, impactul oricărei limitări a resurselor.2030 – Gestionarea resurselorConducătorul activităţii de audit intern trebuie să se asigure că resursele alocate acestei activităţi sunt adecvate, suficiente şi alocate efectiv în vederea realizării planului de audit aprobat.2040 – Politici şi proceduriConducătorul activităţii de audit intern trebuie să stabilească politicile şi procedurile care să dirijeze activitatea de audit intern.2050 – CoordonareaConducătorul activităţii de audit intern trebuie să comunice celorlalţi prestatori interni şi externi de servicii de asigurare şi de consiliere informaţiile necesare şi să îşi coordoneze activităţile cu aceştia, astfel încât să asigure o acoperire adecvată a activităţilor şi să minimizeze suprapunerile.2060 – Rapoarte transmise managementului şi ConsiliuluiConducătorul activităţii de audit intern trebuie să raporteze periodic managementului şi Consiliului cu privire la scopul, autoritatea, responsabilitatea şi funcţionarea activităţii de audit intern, în raport cu planul stabilit. Aceste rapoarte trebuie să includă, de asemenea, aspecte legate de expunerile la riscurile semnificative şi de controlul acestora, aspectele legate de guvernanţa corporativă, precum şi alte aspecte necesare conducerii executive şi Consiliului sau solicitate de acestea.2100 – Natura activităţiiActivitatea de audit intern trebuie să evalueze şi să contribuie la îmbunătăţirea sistemelor de management al riscurilor, de control şi de guvernanţă a entităţii, folosind o abordare sistematică şi metodică.2110 – Managementul riscurilorActivitatea de audit intern trebuie să ajute entitatea prin identificarea şi evaluarea expunerilor semnificative la riscuri şi să contribuie la îmbunătăţirea sistemelor de management şi control al riscurilor.2110.A1 – Activitatea de audit intern trebuie să monitorizeze şi să evalueze eficacitatea sistemului de management al riscurilor aparţinând entităţii.2110.A2 – Activitatea de audit intern trebuie să evalueze expunerile la riscurile aferente guvernanţei entităţii, operaţiunilor şi sistemelor informaţionale cu privire la:– fiabilitatea şi integritatea informaţiilor financiare şi operaţionale;– eficacitatea şi eficienţa operaţiunilor;– protejarea activelor;– respectarea legilor, regulamentelor şi contractelor.2110.C1 – Pe parcursul misiunilor de consultanţă, auditorii interni trebuie să abordeze riscurile în conformitate cu obiectivele misiunii şi să fie atenţi la existenţa unor alte riscuri semnificative.2110.C2 – În procesul de identificare şi de evaluare a expunerii semnificative la riscuri ale organizaţiei, auditorii interni trebuie să includă cunoştinţele despre riscuri dobândite din misiunile de consultanţă.2120 – ControlulActivitatea de audit intern trebuie să ajute entitatea să păstreze controale eficace prin evaluarea eficacităţii şi eficienţei acestora şi prin promovarea îmbunătăţirii continue a lor.2120.A1 – Pe baza rezultatelor evaluărilor riscurilor, activitatea de audit intern trebuie să evalueze adecvarea şi eficacitatea controalelor privind guvernanţa entităţii, operaţiunile şi sistemele de informare din organizaţie. Această evaluare trebuie să vizeze următoarele aspecte:– fiabilitatea şi integritatea informaţiilor financiare şi operaţionale;– eficacitatea şi eficienţa operaţiunilor;– protejarea activelor;– respectarea legilor, regulamentelor şi contractelor.2120.A2 – Auditorii interni trebuie să stabilească în ce măsură au fost definite scopurile şi obiectivele privind operaţiunile şi programele şi dacă aceste scopuri şi obiective sunt conforme cu cele ale organizaţiei.2120.A3 – Auditorii interni trebuie să revizuiască operaţiunile şi programele pentru a stabili în ce măsură rezultatele corespund scopurilor şi obiectivelor stabilite şi dacă aceste operaţiuni şi programe sunt implementate sau realizate aşa cum s-a prevăzut.2120.A4 – Pentru evaluarea controalelor sunt necesare criterii adecvate. Auditorii interni trebuie să stabilească în ce măsură a definit managementul criterii adecvate pentru a determina dacă au fost atinse obiectivele şi scopurile. Dacă aceste criterii sunt adecvate, auditorii interni trebuie să le utilizeze în evaluarea pe care o fac. Dacă nu sunt adecvate, auditorii interni trebuie să colaboreze cu managementul pentru a elabora criterii corespunzătoare de evaluare.2120.C1 – În cursul misiunilor de consultanţă, auditorii interni trebuie să examineze controalele în conformitate cu obiectivele misiunii şi să fie atenţi la existenţa oricărui punct slab semnificativ privind controlul.2120.C2 – În cadrul procesului de identificare şi de evaluare a expunerilor semnificative la risc ale organizaţiei, auditorii interni trebuie să ia în consideraţie cunoştinţele despre sistemele de control pe care le-au dobândit în cursul misiunilor lor de consultanţă.2130 – GuvernanţaActivitatea de audit intern trebuie să evalueze şi să facă recomandări adecvate pentru îmbunătăţirea procesului de guvernanţă în vederea atingerii următoarelor obiective:– promovarea valorilor etice adecvate în cadrul organizaţiei;– asigurarea efectuării unui management organizaţional eficace şi asigurarea responsabilizării aferente;– comunicarea eficace a informaţiilor despre riscuri şi control structurilor adecvate din cadrul organizaţiei;– coordonarea efectivă a activităţilor şi comunicarea informaţiilor între conducerea executivă, precum şi auditorilor interni şi externi şi Consiliului.2130.A1 – Activitatea de audit intern trebuie să evalueze proiectarea, implementarea şi eficacitatea obiectivelor, programelor şi activităţilor legate de etica organizaţiei.2130.C1 – Obiectivele misiunii de consultanţă trebuie să corespundă valorilor şi obiectivelor generale ale entităţii.2200 – Planificarea misiuniiAuditorii interni trebuie să elaboreze şi să înregistreze un plan pentru fiecare misiune, plan care să includă aria de aplicabilitate, obiectivele, calendarul şi alocarea resurselor.2201 – Consideraţii referitoare la planificareLa planificarea misiunii, auditorii interni trebuie să ia în considerare:– obiectivele activităţii care este revizuită şi mijloacele prin care activitatea îşi controlează desfăşurarea;– riscurile semnificative legate de activitate, obiectivele sale, resursele utilizate, precum şi operaţiile şi mijloacele prin care impactul potenţial al riscului este menţinut la un nivel acceptabil;– adecvarea şi eficacitatea sistemelor de management şi control al riscurilor activităţii, cu referire la un cadru sau model relevant de control;– oportunităţile de îmbunătăţire semnificativă a sistemelor de management şi control al riscurilor activităţii.2201.A1 – La planificarea unei misiuni pentru părţile din afara organizaţiei, auditorii interni trebuie să stabilească o înţelegere scrisă cu aceştia în legătură cu obiectivele, aria de aplicabilitate, responsabilităţile fiecărei părţi şi alte aşteptări ale clientului, inclusiv în ceea ce priveşte restricţiile cu privire la comunicarea rezultatelor misiunii şi accesul la dosarul misiunii.2201.C1 – Auditorii interni trebuie să stabilească cu clientul misiunii de consultanţă o înţelegere cu privire la obiectivele, aria de aplicabilitate, responsabilităţile fiecărei părţi şi alte aşteptări ale clientului. Pentru misiunile semnificative, acest acord trebuie să fie documentat.2210 – Obiectivele misiuniiObiectivele trebuie să fie stabilite pentru fiecare misiune în parte.2210.A1 – Auditorii interni trebuie să realizeze o evaluare preliminară a riscurilor relevante pentru activitatea revizuită. Obiectivele misiunii trebuie să reflecte rezultatele acestei evaluări.2210.A2 – La elaborarea obiectivelor misiunii, auditorul intern trebuie să ţină cont de probabilitatea existenţei erorilor, neregularităţilor, a cazurilor de neconformitate, precum şi a altor expuneri semnificative.2210.C1 – Obiectivele unei misiuni de consultanţă trebuie să abordeze procesele care privesc riscurile, controlul şi guvernanţa organizaţiei în limita convenită cu clientul.2220 – Aria de aplicabilitate a misiuniiAria de aplicabilitate stabilită trebuie să fie suficientă, astfel încât să îndeplinească obiectivele misiunii.2220.A1 – Aria de aplicabilitate a misiunii trebuie să includă luarea în consideraţie a sistemelor, înregistrărilor, personalului şi activelor relevante, inclusiv a celor aflate sub controlul unor terţe părţi.2220.A2 – Dacă pe parcursul unei misiuni de asigurare apar oportunităţi semnificative de consultanţă, trebuie să se încheie în scris o înţelegere în legătură cu obiectivele, aria de aplicabilitate, responsabilităţile fiecărei părţi şi alte aşteptări, iar rezultatele misiunii de consultanţă trebuie să fie comunicate în conformitate cu standardele de consultanţă.2220.C1 – Atunci când efectuează o misiune de consultanţă, auditorii interni trebuie să se asigure că aria de aplicabilitate a misiunii permite îndeplinirea obiectivelor convenite. Dacă în cursul misiunii auditorii interni manifestă rezerve privind aria de aplicabilitate, aceste rezerve trebuie discutate cu clientul pentru a decide dacă misiunea poate fi continuată.2230 – Resurse alocate misiuniiAuditorii interni trebuie să stabilească resursele adecvate atingerii obiectivelor misiunii. Selectarea personalului din cadrul departamentului de audit intern trebuie să se bazeze pe o evaluare a naturii şi complexităţii fiecărei misiuni, a constrângerilor de timp şi a resurselor disponibile.2240 – Programul de lucru al misiuniiAuditorii interni trebuie să elaboreze un program de lucru care să permită îndeplinirea obiectivelor misiunii. Acest program de lucru trebuie să fie îndosariat.2240.A1 – Prin programul de lucru trebuie să se stabilească procedurile ce urmează a fi aplicate pentru a identifica, analiza, evalua şi înregistra informaţiile pe durata misiunii. Programul de lucru trebuie să fie aprobat înainte de implementarea sa şi orice ajustări trebuie să fie aprobate cu promptitudine.2240.C1 – Programul de lucru al unei misiuni de consultanţă poate varia din punctul de vedere al formei şi conţinutului, în funcţie de natura misiunii.2300 – Realizarea misiuniiAuditorii interni trebuie să identifice, analizeze, evalueze şi să documenteze informaţii suficiente pentru atingerea obiectivelor misiunii.2310 – Identificarea informaţiilorAuditorii interni trebuie să identifice informaţii suficiente, fiabile, relevante şi utile pentru atingerea obiectivelor misiunii.2320 – Analiza şi evaluareaAuditorii interni trebuie să-şi bazeze concluziile şi rezultatele misiunii lor pe analize şi evaluări corespunzătoare.2330 – Documentarea informaţiilorAuditorii interni trebuie să documenteze informaţiile relevante în vederea justificării concluziilor şi rezultatelor misiunii.2330.A1 – Conducătorul activităţii de audit intern trebuie să controleze accesul la dosarele misiunii. Acesta trebuie să obţină acordul conducerii superioare executive şi/sau consultanţă juridică, dacă este cazul, înainte de a transmite aceste dosare unor terţi.2330.A2 – Conducătorul activităţii de audit intern trebuie să stabilească reguli privind păstrarea dosarelor misiunii. Aceste reguli trebuie să fie în conformitate cu regulamentele organizaţiei, precum şi cu alte cerinţe legale sau reglementări adecvate.2330.C1 – Conducătorul activităţii de audit intern trebuie să stabilească reguli privind atât custodia şi păstrarea dosarelor misiunii, cât şi transmiterea lor către terţi interni sau externi. Aceste reguli trebuie să fie în conformitate cu regulamentele entităţii, precum şi cu alte cerinţe legale sau reglementări adecvate.2340 – Supervizarea misiuniiMisiunile trebuie să facă obiectul unei supervizări corespunzătoare în vederea asigurării îndeplinirii obiectivelor, asigurării calităţii şi dezvoltării profesionale a personalului.2400 – Comunicarea rezultatelorAuditorii interni trebuie să comunice rezultatele misiunii.2410 – Criterii în ceea ce priveşte comunicareaComunicarea trebuie să includă obiectivele şi aria de aplicabilitate ale misiunii, precum şi concluziile, recomandările şi planurile de acţiune aplicabile.2410.A1 – Comunicarea finală a rezultatelor trebuie să conţină, acolo unde este cazul, opinia de ansamblu a auditorului intern şi/sau concluziile acestuia.2410.A2 – Auditorii interni sunt încurajaţi să atingă performanţe satisfăcătoare în comunicările privind misiunile.2410.A3 – Atunci când rezultatele misiunii sunt puse la dispoziţia unor părţi din afara entităţii, comunicarea trebuie să includă restricţii în ceea ce priveşte distribuirea şi utilizarea acestor rezultate.2410.C1 – Comunicarea privind evoluţia şi rezultatele unei misiuni de consultanţă vor varia ca formă şi conţinut în funcţie de natura misiunii şi de necesităţile clientului.2420 – Calitatea comunicăriiComunicarea trebuie să fie corectă, obiectivă, clară, concisă, constructivă, completă şi realizată în timp util.2421 – Erori şi omisiuniDacă o comunicare finală conţine o eroare sau o omisiune semnificativă, conducătorul activităţii de audit intern trebuie să comunice informaţiile corectate tuturor părţilor care au primit versiunea iniţială.2430 – Comunicarea neconformităţii cu StandardeleAtunci când nerespectarea Standardelor are un impact asupra unei anumite misiuni, comunicarea rezultatelor trebuie să cuprindă:– standardul(ele) care nu a(u) fost respectat(e) în totalitate;– motivul sau motivele neconformităţii; şi– efectul neconformităţii asupra misiunii.2440 – Diseminarea rezultatelorConducătorul activităţii de audit intern trebuie să comunice rezultatele părţilor îndreptăţite.2440.A1 – Conducătorul activităţii de audit intern este responsabil cu comunicarea rezultatelor finale părţilor care pot acorda atenţia cuvenită acestora.2440.A2 – Dacă nu este mandatat în baza unor cerinţe legale, statutare sau de reglementare, înaintea comunicării rezultatelor misiunii către părţi din afara organizaţiei, conducătorul activităţii de audit intern trebuie:– să evalueze riscul potenţial pentru entitate;– să se consulte cu conducerea superioară executivă şi/sau cu consilierul juridic, dacă este cazul;– să controleze diseminarea rezultatelor prin restricţionarea folosirii acestora.2440.C1 – Conducătorul activităţii de audit intern este responsabil pentru comunicarea către clienţi a rezultatelor finale ale misiunilor de consultanţă.2440.C2 – Pe parcursul misiunilor de consultanţă pot fi identificate aspecte referitoare la managementul riscurilor, la control şi la guvernanţă. Ori de câte ori aceste aspecte sunt semnificative pentru entitate, ele trebuie să fie comunicate conducerii executive şi Consiliului.2500 – Monitorizarea evoluţieiConducătorul activităţii de audit intern trebuie să stabilească şi să menţină un sistem care să permită monitorizarea acţiunilor întreprinse ca urmare a dispoziţiilor managementului în baza rezultatelor comunicate.2500.A1 – Responsabilul pentru activitatea de audit intern trebuie să stabilească un proces de urmărire a implementării rezultatelor, care să permită monitorizarea şi garantarea faptului că măsurile luate de conducere au fost implementate în mod eficient sau că managementul a acceptat să-şi asume riscul de a nu întreprinde nicio măsură.2500.C1 – Activitatea de audit intern trebuie să monitorizeze implementarea dispoziţiilor managementului în baza rezultatelor misiunii de consultanţă în limitele în care acestea au fost convenite cu clientul.2600 – Soluţionarea acceptării riscurilor de către managementAtunci când conducătorul activităţii de audit intern consideră că managementul a acceptat un nivel al riscului rezidual care poate fi inacceptabil pentru entitate, conducătorul activităţii de audit intern trebuie să discute acest aspect împreună cu conducerea executivă la cel mai înalt nivel. Dacă nu pot lua o decizie cu privire la riscul rezidual, conducătorul activităţii de audit intern şi conducerea executivă trebuie să se adreseze Consiliului pentru soluţionarea acestei situaţii.GlosarValoare adăugată – valoarea este conferită de sporirea numărului de ocazii pentru atingerea obiectivelor entităţii, identificând îmbunătăţirile la nivel operaţional şi/sau reducând expunerea la risc atât prin servicii de asigurare, cât şi de consultanţă.Control adecvat – controlul planificat şi organizat de conducere astfel încât să poată oferi o asigurare rezonabilă că riscurile la care este expusă entitatea au fost gestionate eficace şi că scopurile şi obiectivele entităţii vor fi îndeplinite în mod eficient şi economic.Servicii de asigurare – examinarea obiectivă a elementelor probante, efectuată în scopul de a furniza entităţii o evaluare independentă a proceselor de management al riscurilor, de control sau de guvernare ale entităţii. Exemplele pot include auditurile financiare, operaţionale, de conformitate, de securitate a sistemelor şi cu scop special.Consiliu – un organism de guvernare al unei entităţi, cum ar fi un Consiliu director, un consiliu de supraveghere, şeful unei agenţii sau al unui organism legislativ, consiliul de administraţie sau de conducere al unei organizaţii nonprofit sau orice alt organism desemnat al entităţii, inclusiv comitetul de audit, în faţa căruia raportează auditorii interni.Regulament – regulamentul de organizare şi funcţionare al activităţii de audit intern este un document oficial care defineşte misiunea, competenţele şi responsabilităţile acestei activităţi. Regulamentul trebuie: a) să definească poziţia auditului intern în cadrul entităţii; b) să autorizeze accesul la documentele, bunurile şi persoanele relevante pentru îndeplinirea corespunzătoare a misiunii; şi c) să definească aria de aplicabilitate a activităţilor de audit intern.Conducătorul activităţii de audit intern – postul de cel mai înalt nivel din cadrul entităţii, cu responsabilităţi privind activităţile de audit intern. Într-o activitate de audit intern, organizată în mod clasic, acesta ar fi directorul de audit intern. În cazul în care activităţile de audit intern sunt încredinţate unor prestatori externi de servicii, conducătorul activităţii de audit intern este persoana însărcinată să supravegheze executarea contractului de servicii şi să asigurare calitatea de ansamblu a acestor activităţi, dar şi care raportează conducerii generale şi Consiliului asupra activităţilor de audit intern şi monitorizează implementarea recomandărilor rezultate în cadrul misiunii. Acest post poate, de asemenea, să poarte denumirea de auditor general, şef al auditului intern sau inspector general.Cod etic – Codul etic al Institutului Auditorilor Interni (IIA) prezintă principiile relevante pentru profesia şi practica de audit intern, precum şi regulile de conduită care descriu comportamentul aşteptat din partea auditorilor interni. Codul etic se aplică atât persoanelor, cât şi organismelor care furnizează servicii de audit intern. Scopul Codului etic este de a promova culturi etice la nivel global în cadrul profesiei de audit intern.Conformitate – aderarea şi respectarea politicilor, planurilor, procedurilor, legilor, regulamentelor, contractelor sau altor cerinţe.Conflict de interese – orice relaţie care nu este sau nu pare să fie în interesul entităţii. Un conflict de interese poate afecta capacitatea unei persoane de a-şi îndeplini în mod obiectiv sarcinile şi responsabilităţile.Servicii de consultanţă – activităţi de consultanţă sau alte servicii conexe clientului, ale căror natură şi sferă de activitate sunt convenite în prealabil cu clientul. Aceste activităţi au ca obiective adăugarea unui plus de valoare şi îmbunătăţirea guvernanţei unei organizaţii, managementul riscului şi proceselor de control, fără ca auditorul intern să îşi asume responsabilităţi de conducere. Exemple: consultanţă, consiliere, facilitare şi formare profesională.Control – orice măsură luată de conducere, de Consiliu sau de alte părţi în vederea îmbunătăţirii gestionării riscurilor şi creşterii probabilităţii ca scopurile şi obiectivele stabilite să fie îndeplinite. Managerii planifică, organizează şi coordonează aplicarea de măsuri suficiente pentru a oferi o asigurare rezonabilă că scopurile şi obiectivele vor fi îndeplinite.Mediul de control – atitudinea şi acţiunile Consiliului şi ale managementului cu privire la importanţa controlului în cadrul entităţii. Mediul de control furnizează disciplina şi structura necesară îndeplinirii obiectivelor primordiale ale sistemului de control intern. Mediul de control conţine următoarele elemente:– integritate şi valori etice;– filosofia managementului şi stilul de operare;– structura organizaţională;– delegarea autorităţii şi a responsabilităţilor;– politici şi practici referitoare la resursele umane;– competenţa personalului.Procese de control – politicile, procedurile şi activităţile care fac parte dintr-un cadru general pentru desfăşurarea controlului, concepute pentru a asigura că riscurile se înscriu în limitele de toleranţă stabilite de procesul de management al riscurilor.Misiune – o misiune, sarcină sau o activitate de revizuire specifică auditului intern, cum ar fi un audit intern, o revizuire a controlului autoevaluării, investigarea unei fraude sau o misiune de consultanţă. O misiune poate îngloba mai multe sarcini sau activităţi desfăşurate în vederea atingerii unui set determinat de obiective aferente.Obiectivele misiunii – enunţuri generale elaborate de auditorii interni şi care definesc ceea ce se doreşte să se realizeze în timpul misiunii.Programul de lucru al misiunii – un document care enumeră procedurile ce trebuie urmate în cadrul unei misiuni în vederea îndeplinirii planului misiunii.Prestator extern de servicii – o persoană sau o firmă din afara entităţii care deţine cunoştinţe, abilităţi şi experienţă specializată într-un domeniu particular.Fraudă – orice acte ilegale caracterizate prin înşelătorie, disimulare sau trădarea încrederii. Aceste acte nu sunt caracterizate în mod necesar de ameninţarea cu violenţa sau de utilizarea forţei fizice. Fraudele sunt comise de persoane şi organizaţii în scopul de a obţine bani, bunuri sau servicii, pentru a evita plata ori pierderea serviciilor sau pentru a-şi asigura un avantaj personal ori de afaceri.Guvernanţă – ansamblu de procese şi structuri implementate de conducere în scopul de a informa, coordona, conduce şi monitoriza activităţile organizaţiei pentru atingerea obiectivelor acesteia.Impedimente – afectări ale obiectivităţii unei persoane şi ale independenţei entităţii care pot include conflicte de interese, limitări ale ariei de aplicabilitate, restricţionări ale accesului la documente, înregistrări, bunuri, la anumite persoane, precum şi limitări ale resurselor (finanţărilor).Independenţă – absenţa condiţiilor care ameninţă obiectivitatea în fapt sau obiectivitatea în aparenţă. Asemenea ameninţări ale obiectivităţii trebuie ţinute sub control la nivelul auditorului intern, al misiunii, la nivel funcţional şi organizaţional.Activitatea de audit intern – un departament, divizie, serviciu, echipă de consultanţi sau alt/alţi practician/practicieni care oferă o asigurare independentă şi obiectivă, precum şi servicii de consultanţă care contribuie la adăugarea unui plus de valoare şi la îmbunătăţirea operaţiunilor entităţii. Activitatea de audit intern ajută organizaţia să îşi atingă obiectivele aducând o abordare sistematică şi metodică la evaluarea şi îmbunătăţirea eficacităţii proceselor de management al riscurilor, de control şi de guvernanţă.Obiectivitate – atitudine intelectuală neinfluenţată care permite auditorilor interni să îşi efectueze misiunile într-o manieră care demonstrează credinţa lor sinceră în rezultatele muncii lor şi faptul că nu au făcut compromisuri semnificative privind calitatea. Obiectivitatea le cere auditorilor interni să nu îşi subordoneze propria judecată în probleme de audit altor persoane.Riscuri reziduale – riscul care rămâne după ce managementul a luat măsurile necesare pentru reducerea impactului şi a probabilităţii apariţiei unui eveniment advers, inclusiv măsurile legate de activităţile de control ca răspuns la un anumit risc.Risc – posibilitatea de a se produce un eveniment care ar putea avea un impact asupra îndeplinirii obiectivelor. Riscul se măsoară în funcţie de consecinţe şi probabilitate.Managementul riscului – un proces de identificare, evaluare, gestionare şi control al evenimentelor sau situaţiilor potenţiale, pentru a oferi o asigurare rezonabilă în ceea ce priveşte îndeplinirea obiectivelor entităţii.Trebuie – Atunci când se foloseşte cuvântul "trebuie" în cuprinsul standardelor, aceasta denotă o obligaţie imperativă a acelei prevederi.Standard – o normă profesională elaborată de Consiliul Institutului Auditorilor Interni (IIA), care delimitează cerinţele necesare pentru efectuarea unei game vaste de activităţi de audit intern şi pentru evaluarea modului de funcţionare a activităţii de audit intern._________

	Redacția Lex24 Drept la Sursa!
	Articole Urmărește