NORMELE DE AUDIT INTERN APROBATE DE CAFR

 Art. 1. - (1) Se aproba Normele de audit intern, aplicabile entitatilor care sunt supuse auditului financiar, in conformitate cu legislatia in vigoare privind dreptul societatilor comerciale.
(2) Normele de audit intern se compun din:
a) Standardele de audit intern, elaborate si publicate de Institutul Auditorilor Interni (Institute of Internal Auditors - IIA - autoritate internationala de dezvoltare a celor mai bune practici in domeniu), asimilate de Camera Auditorilor Financiari din România, ca norme nationale de audit intern, prevazute in anexa nr. 1;
b) Proceduri privind cadrul general de desfasurare a misiunilor de audit intern prevazute in anexa nr. 2.
Art. 2. - (1) Societatile comerciale ale caror situatii financiare anuale sunt supuse auditului financiar, potrivit legii, sau optiunii actionarilor organizeaza activitatea de audit intern potrivit normelor prevazute la art. 1.

(2) Profesionistii care efectueaza lucrari de audit intern au obligatia de a respecta cerintele prezentei hotarâri.
Art. 3. - (1) Activitatea de audit intern poate fi organizata intr-un compartiment distinct, in structura organizatorica a entitatii economice.
(2) La optiunea entitatii, activitatea de audit intern poate fi externalizata, situatie in care aceasta se va desfasura pe baze contractuale.
Art. 4. - Alte prevederi referitoare la auditul intern emise de Camera Auditorilor Financiari din România sau de alte organisme sub forma de ghiduri profesionale si indrumari au caracter de recomandare.

Art. 5. - (1) Prezenta hotarâre se publica in Monitorul Oficial al României, Partea I, potrivit prevederilor art. 6 alin. (5) din Ordonanta de urgenta a Guvernului nr. 75/1999 privind activitatea de audit financiar, republicata, cu modificarile si completarile ulterioare.
(2) La data publicarii in Monitorul Oficial al României, Partea I, a prezentei hotarâri, isi inceteaza aplicabilitatea prevederile Hotarârii Consiliului Camerei Auditorilor Financiari din România nr. 35/2004 privind infiintarea Departamentului de audit intern, publicata in Monitorul Oficial al României, Partea I, nr. 1.245 din 23 decembrie 2004.


Norma din 19/04/2007 de audit intern

STANDARDELE DE AUDIT INTERN


Introducere
Activitatile de audit intern se desfasoara in diverse medii legale si culturale, in interiorul organizatiilor care variaza in functie de scop, marime, complexitate si structura si de catre persoane din interiorul sau din afara organizatiei. Desi diferentele pot afecta procedurile auditului intern in fiecare mediu, conformitatea cu Standardele internationale pentru procedurile profesionale de audit intern, denumite in continuare Standarde, este esentiala in conditiile in care responsabilitatile auditorilor interni se intrepatrund. Daca auditorilor interni li se interzice prin legi sau regulamente sa se conformeze anumitor parti din Standarde, ar trebui sa se conformeze cu alte parti din Standarde si sa faca prezentari adecvate.
Serviciile de asigurare implica obiectivul auditorului intern de a evalua probele pentru a oferi o opinie independenta sau concluzii cu privire la un proces, un sistem sau alte subiecte. Forma si scopul misiunii de asigurare sunt determinate de catre auditorul intern. In general, in misiunile de asigurare sunt implicate 3 parti: 1. persoana sau grupul implicat direct in procesul, sistemul sau problema in cauza - proprietarul procesului, 2. persoana sau grupul care face evaluarea - auditorul intern si 3. persoana sau grupul care foloseste evaluarea - utilizatorul.
Serviciile de consultanta sunt recomandari de forma si sunt efectuate in general la cererea de misiune specifica a unui client. Forma si scopul misiunii de consultanta fac subiectul acordului cu misiunea clientului. Serviciile de consultanta implica in general doua parti: 1. persoana sau grupul care ofera recomandarea - auditorul intern si 2. persoana sau grupul care cauta si primeste recomandari - clientul misiunii. In derularea serviciilor de consultanta, auditorul intern trebuie sa isi mentina obiectivitatea si sa nu isi asume responsabilitatea managementului.
Scopul Standardelor este de a:
1. delimita principiile de baza care reprezinta practica auditului intern, asa cum ar trebui sa se realizeze;
2. oferi un cadru pentru realizarea si promovarea unei game largi de activitati care sa aduca plusvaloare auditului intern;
3. stabili bazele de evaluare a performantei auditului intern;
4. se preocupa de imbunatatirea proceselor si operatiunilor organizationale.
Standardele constau in Standardele de calificare, de performanta si Standarde de implementare. Standardele de calificare prezinta caracteristicile organizatiilor si partilor ce deruleaza activitati de audit intern. Standardele de performanta descriu natura activitatilor de audit intern si furnizeaza criterii de calitate pe baza carora sa poata fi evaluata performanta acestor servicii. In timp ce Standardele de calificare si de performanta se aplica tuturor serviciilor de audit intern, Standardele de implementare se aplica tipurilor specifice de misiuni.
Exista un singur set de Standarde de calificare si de performanta si exista seturi multiple de Standarde de implementare: un set pentru fiecare tip principal de activitate de audit intern. Standardele de implementare au fost elaborate pentru activitati de asigurare(A) si consultanta(C).
Standardele sunt parte componenta a cadrului conceptual pentru practici profesionale. Cadrul conceptual pentru practici profesionale include definitia auditului intern, Codul etic, Standardele si alte ghiduri. Ghidul referitor la modul in care pot fi aplicate Standardele este inclus in recomandarile practice emise de Comitetul pentru aspecte profesionale.
Standardele angajeaza termeni care dau un concept specific, inclus in Glosarul de termeni.
Dezvoltarea si emiterea de standarde este un proces continuu. Consiliul pentru Standarde de Audit Intern este angajat in consultari si discutii extensive, cu prioritate pentru emiterea de standarde. Aceasta include o solicitare internationala pentru comentarii publice in cadrul procesului de expunere a proiectelor.
Definitia auditului intern
Auditul intern este o activitate independenta si obiectiva care da unei entitati o asigurare in ceea ce priveste gradul de control asupra operatiunilor, o indruma pentru a-i imbunatati operatiunile si contribuie la adaugarea unui plus de valoare.
Auditul intern ajuta aceasta organizatie sa isi atinga obiectivele, evaluând, printr-o abordare sistematica si metodica, procesele sale de management al riscurilor, de control, si de guvernare a organizatiei si facând propuneri pentru a le consolida eficacitatea.
1000 - Scop, autoritate si responsabilitati
Scopul, autoritatea si responsabilitatile auditului intern trebuie sa fie definite in mod oficial intr-un regulament, in conformitate cu Standardele si sa fie aprobate de Consiliul organizatiei.
1000. A1 - Natura misiunilor de asigurare efectuate pentru organizatie trebuie sa fie definita in Regulamentul de functionare a Departamentului de audit intern. Daca misiunile de asigurare urmeaza sa fie efectuate catre parti din afara entitatii, natura lor trebuie, de asemenea, sa fie definita in regulament.
1000. C1 - Natura misiunilor de consultanta trebuie sa fie definita in Regulamentul de functionare a Departamentului de audit intern.
1100 - Independenta si obiectivitate
Activitatea de audit intern trebuie sa fie independenta, iar auditorii interni trebuie sa-si desfasoare activitatea cu obiectivitate.
1110 - Independenta in cadrul entitatii
Conducatorul Departamentului de audit intern trebuie sa raporteze in cadrul entitatii unui nivel ierarhic care sa ii permita indeplinirea responsabilitatilor in cadrul activitatii de audit intern.
1110.A1 - Activitatea de audit intern nu trebuie sa fie supusa niciunei imixtiuni in ceea ce priveste definirea ariei sale de aplicabilitate, realizarea activitatii si comunicarea rezultatelor.
1120 - Obiectivitate individuala
Auditorii interni trebuie sa aiba o atitudine impartiala si neinfluentata si sa evite conflictele de interese.
1130 - Prejudicii aduse independentei sau obiectivitatii
Daca obiectivitatea sau independenta auditorilor interni este afectata in fapt sau in aparenta, partile interesate trebuie sa fie informate despre detaliile situatiilor care creeaza aceste prejudicii. Forma acestei comunicari va depinde de natura prejudiciului.
1130.A1 - Auditorii interni trebuie sa evite sa evalueze anumite operatiuni de care au fost responsabili in trecut.
Obiectivitatea unui auditor este considerata a fi afectata atunci când acesta realizeaza o misiune de asigurare pentru o activitate pentru care a fost responsabil in cursul anului precedent.
1130.A2 - Misiunile de asigurare care vizeaza functiile de care raspunde conducatorul activitatii de audit intern trebuie sa fie supervizate de o persoana care nu face parte din structura de audit intern.
1130.C1 - Auditorii interni pot oferi servicii de consultanta in legatura cu realizarea operatiunilor pentru care au fost responsabili in trecut.
1130.C2 - Daca independenta sau obiectivitatea auditorilor interni ar putea fi afectata in legatura cu serviciile de consultanta propuse, ei trebuie sa informeze in aceasta privinta clientul care a solicitat misiunea, inainte de a o accepta.
1200 - Competenta si constiinciozitate profesionala
Misiunile trebuie sa fie indeplinite cu competenta si cu constiinciozitate profesionala.
1210 - Competenta
Auditorii interni trebuie sa detina cunostintele, priceperea si celelalte competente necesare exercitarii responsabilitatilor lor individuale. Departamentul de audit intern trebuie sa detina sau sa dobândeasca in mod colectiv cunostintele, priceperea si celelalte competente necesare exercitarii responsabilitatilor care le revin.
1210.A1 - Conducatorul activitatii de audit intern trebuie sa obtina sfatul si asistenta de specialitate din partea altor persoane daca personalul din Departamentul de audit intern nu detine cunostintele, priceperea sau alte competente necesare pentru a realiza partial sau total misiunea.
1210.A2 - Auditorii interni trebuie sa detina cunostinte suficiente pentru a identifica indiciile unei fraude, dar aceasta nu inseamna ca trebuie sa aiba acelasi nivel de competenta ca si o persoana a carei principala responsabilitate este detectarea si investigarea fraudelor.
1210.A3 - Auditorii interni trebuie sa aiba cunostinte legate de principalele riscuri si controale IT, dar si de tehnicile de audit asistate de calculator disponibile pentru a-si exercita activitatea desemnata. Totusi, nu este de asteptat ca toti auditorii interni sa aiba experienta unui auditor intern a carei principala responsabilitate este auditarea sistemelor IT.
1210.C1 - Conducatorul activitatii de audit intern trebuie sa refuze o misiune de consultanta sau sa obtina sfatul si asistenta de specialitate din partea altor persoane daca personalul din Departamentul de audit intern nu detine cunostintele, priceperea ori alte competente necesare pentru a realiza partial sau total misiunea.
1220 - Constiinciozitate profesionala
Auditorii interni trebuie sa isi exercite activitatea cu constiinciozitatea si priceperea care se asteapta din partea unui auditor intern prudent si competent. Constiinta profesionala nu implica infailibilitatea.
1220.A1 - Auditorul intern trebuie sa acorde toata atentia necesara practicii sale profesionale, luând in calcul urmatoarele elemente:
- sfera de activitate necesara pentru atingerea obiectivelor misiunii;
- complexitatea relativa, pragul de semnificatie sau caracterul semnificativ al problemelor asupra carora se aplica procedurile misiunilor de asigurare;
- adecvarea si eficacitatea proceselor de management al riscurilor, de control si de guvernanta ale organizatiei;
- probabilitatea existentei unor erori, nereguli sau neconformitati semnificative;
- costul aplicarii misiunilor de asigurare in raport cu avantajele potentiale.
1220.A2 - In exercitarea cu constiinciozitate a activitatii, auditorul intern trebuie sa ia in consideratie utilizarea instrumentelor de audit asistate de calculator si a altor tehnici de analiza a datelor.
1220.A3 - Auditorul intern trebuie sa manifeste o vigilenta deosebita in ceea ce priveste riscurile semnificative care ar putea afecta obiectivele, operatiunile sau resursele. Totusi, numai aplicarea procedurilor de asigurare, chiar daca este efectuata cu constiinciozitatea profesionala necesara, nu garanteaza identificarea tuturor riscurilor semnificative.
1220.C1 - Auditorul intern trebuie sa efectueze o misiune de consultanta cu constiinciozitate profesionala, luând in consideratie urmatoarele elemente:
- necesitatile si asteptarile clientilor, inclusiv in ceea ce priveste natura, planificarea si comunicarea rezultatelor misiunii;
- complexitatea relativa a misiunii si volumul de munca necesar pentru atingerea obiectivelor stabilite;
- costul misiunii de consultanta in raport cu avantajele potentiale.
1230 -Pregatirea profesionala continua
Auditorii interni trebuie sa isi imbunatateasca cunostintele, priceperea si alte competente necesare prin pregatire profesionala continua.
1300 - Programul de asigurare si imbunatatire a calitatii
Conducatorul activitatii de audit intern trebuie sa elaboreze si sa intretina un program de asigurare si imbunatatire a calitatii care sa acopere toate aspectele legate de activitatea de audit intern si sa monitorizeze permanent eficacitatea acestuia. Acest program va include evaluari interne si externe ale calitatii si monitorizare interna permanenta. Fiecare parte a programului trebuie sa fie conceputa astfel incât sa ajute activitatea de audit intern sa aduca un plus de valoare si sa imbunatateasca activitatile organizatiei, dar si sa ofere o asigurare ca activitatea de audit intern se desfasoara in conformitate cu Standardele si cu Codul etic.
1310 - Evaluari ale programului de control al calitatii
Activitatea de audit intern trebuie sa adopte un proces care sa permita monitorizarea si evaluarea eficacitatii globale a programului de control al calitatii. Acest proces trebuie sa cuprinda atât evaluari interne, cât si evaluari externe.
1311 - Evaluari interne
Evaluarile interne trebuie sa cuprinda:
- revizuiri permanente privind performanta activitatii de audit intern; si
- revizuiri periodice, efectuate prin autoevaluare sau de catre alte persoane din cadrul entitatii care cunosc practicile de audit intern si Standardele.
1312 - Evaluari externe
Evaluarile externe trebuie sa fie realizate cel putin o data la 5 ani de catre un auditor independent si care detine competenta necesara din afara entitatii, sau de o echipa de auditori independenti si care detin competentele necesare din afara entitatii. Nevoia potentiala de evaluari externe mai dese, precum si competenta si independenta auditorului extern sau a echipei de auditori, inclusiv orice posibil conflict de interese, trebuie discutate de catre conducatorul Departamentului de audit intern cu Consiliul. De asemenea, astfel de discutii trebuie sa tina cont de marimea, complexitatea si specificul organizatiei in corelatie cu experienta auditorului sau echipei.
1320 - Rapoarte referitoare la programul de calitate
Conducatorul Departamentului de audit intern trebuie sa comunice Consiliului rezultatele evaluarilor externe.
1330 - Utilizarea mentiunii "Efectuat in conformitate cu Standardele"
Auditorii interni sunt incurajati sa mentioneze in rapoartele pe care le intocmesc faptul ca activitatile lor sunt "efectuate in conformitate cu Standardele pentru practica profesionala in domeniul auditului intern". Totusi, auditorii interni pot folosi aceasta mentiune doar daca evaluarile programului de imbunatatire a calitatii demonstreaza ca activitatea de audit intern este efectuata in conformitate cu Standardele.
1340 - Prezentarea neconformitatii
Chiar daca activitatea de audit intern trebuie sa fie efectuata respectându-se cu strictete Standardele in ansamblul lor, iar auditorii interni trebuie sa respecte Codul etic, pot exista situatii in care aceasta conformitate nu este pe deplin realizata. Atunci când aceasta neconformitate influenteaza in ansamblul sau aria de aplicabilitate a activitatii de audit intern sau functionarea Departamentului de audit intern, aceasta situatie trebuie adusa atât la cunostinta conducerii superioare executive, cât si la cea a Consiliului.
STANDARDE DE PERFORMANTA
2000 - Gestionarea activitatii de audit intern
Conducatorul activitatii de audit intern trebuie sa gestioneze in mod eficient activitatea de audit intern, astfel incât sa se asigure ca ea aduce un plus de valoare entitatii.
2010 - Planificarea
Responsabilul pentru activitatea de audit intern trebuie sa realizeze o planificare bazata pe riscuri, pentru a defini prioritatile activitatii de audit intern in concordanta cu obiectivele entitatii.
2010.A1 - Programul misiunilor de audit intern trebuie sa se bazeze pe o evaluare a riscurilor, realizata cel putin o data pe an. La stabilirea acestui proces, auditorul intern trebuie sa ia in calcul punctele de vedere ale managementului si Consiliului organizatiei.
2010.C1 - Atunci când ii este propusa o misiune de consultanta, responsabilul pentru activitatea de audit intern trebuie, inainte de a o accepta, sa ia in calcul in ce masura aceasta poate aduce un plus de valoare si poate imbunatati managementul riscurilor si functionarea entitatii. Misiunile care au fost acceptate trebuie sa fie integrate in planul de audit.
2020 - Comunicarea si aprobarea
Responsabilul pentru activitatea de audit intern trebuie sa comunice managementului si Consiliului planurile privind activitatea de audit intern si resursele necesare, inclusiv modificarile intermediare semnificative, in vederea examinarii si aprobarii acestora. Conducatorul activitatii de audit intern trebuie sa semnaleze, de asemenea, impactul oricarei limitari a resurselor.
2030 - Gestionarea resurselor
Conducatorul activitatii de audit intern trebuie sa se asigure ca resursele alocate acestei activitati sunt adecvate, suficiente si alocate efectiv in vederea realizarii planului de audit aprobat.
2040 - Politici si proceduri
Conducatorul activitatii de audit intern trebuie sa stabileasca politicile si procedurile care sa dirijeze activitatea de audit intern.
2050 - Coordonarea
Conducatorul activitatii de audit intern trebuie sa comunice celorlalti prestatori interni si externi de servicii de asigurare si de consiliere informatiile necesare si sa isi coordoneze activitatile cu acestia, astfel incât sa asigure o acoperire adecvata a activitatilor si sa minimizeze suprapunerile.
2060 - Rapoarte transmise managementului si Consiliului
Conducatorul activitatii de audit intern trebuie sa raporteze periodic managementului si Consiliului cu privire la scopul, autoritatea, responsabilitatea si functionarea activitatii de audit intern, in raport cu planul stabilit. Aceste rapoarte trebuie sa includa, de asemenea, aspecte legate de expunerile la riscurile semnificative si de controlul acestora, aspectele legate de guvernanta corporativa, precum si alte aspecte necesare conducerii executive si Consiliului sau solicitate de acestea.
2100 - Natura activitatii
Activitatea de audit intern trebuie sa evalueze si sa contribuie la imbunatatirea sistemelor de management al riscurilor, de control si de guvernanta a entitatii, folosind o abordare sistematica si metodica.
2110 - Managementul riscurilor
Activitatea de audit intern trebuie sa ajute entitatea prin identificarea si evaluarea expunerilor semnificative la riscuri si sa contribuie la imbunatatirea sistemelor de management si control al riscurilor.
2110.A1 - Activitatea de audit intern trebuie sa monitorizeze si sa evalueze eficacitatea sistemului de management al riscurilor apartinând entitatii.
2110.A2 - Activitatea de audit intern trebuie sa evalueze expunerile la riscurile aferente guvernantei entitatii, operatiunilor si sistemelor informationale cu privire la:
- fiabilitatea si integritatea informatiilor financiare si operationale;
- eficacitatea si eficienta operatiunilor;
- protejarea activelor;
- respectarea legilor, regulamentelor si contractelor.
2110.C1 - Pe parcursul misiunilor de consultanta, auditorii interni trebuie sa abordeze riscurile in conformitate cu obiectivele misiunii si sa fie atenti la existenta unor alte riscuri semnificative.
2110.C2 - In procesul de identificare si de evaluare a expunerii semnificative la riscuri ale organizatiei, auditorii interni trebuie sa includa cunostintele despre riscuri dobândite din misiunile de consultanta.
2120 - Controlul
Activitatea de audit intern trebuie sa ajute entitatea sa pastreze controale eficace prin evaluarea eficacitatii si eficientei acestora si prin promovarea imbunatatirii continue a lor.
2120.A1 - Pe baza rezultatelor evaluarilor riscurilor, activitatea de audit intern trebuie sa evalueze adecvarea si eficacitatea controalelor privind guvernanta entitatii, operatiunile si sistemele de informare din organizatie.
Aceasta evaluare trebuie sa vizeze urmatoarele aspecte:
- fiabilitatea si integritatea informatiilor financiare si operationale;
- eficacitatea si eficienta operatiunilor;
- protejarea activelor;
- respectarea legilor, regulamentelor si contractelor.
2120.A2 - Auditorii interni trebuie sa stabileasca in ce masura au fost definite scopurile si obiectivele privind operatiunile si programele si daca aceste scopuri si obiective sunt conforme cu cele ale organizatiei.
2120.A3 - Auditorii interni trebuie sa revizuiasca operatiunile si programele pentru a stabili in ce masura rezultatele corespund scopurilor si obiectivelor stabilite si daca aceste operatiuni si programe sunt implementate sau realizate asa cum s-a prevazut.
2120.A4 - Pentru evaluarea controalelor sunt necesare criterii adecvate. Auditorii interni trebuie sa stabileasca in ce masura a definit managementul criterii adecvate pentru a determina daca au fost atinse obiectivele si scopurile. Daca aceste criterii sunt adecvate, auditorii interni trebuie sa le utilizeze in evaluarea pe care o fac. Daca nu sunt adecvate, auditorii interni trebuie sa colaboreze cu managementul pentru a elabora criterii corespunzatoare de evaluare.
2120.C1 - In cursul misiunilor de consultanta, auditorii interni trebuie sa examineze controalele in conformitate cu obiectivele misiunii si sa fie atenti la existenta oricarui punct slab semnificativ privind controlul.
2120.C2 - In cadrul procesului de identificare si de evaluare a expunerilor semnificative la risc ale organizatiei, auditorii interni trebuie sa ia in consideratie cunostintele despre sistemele de control pe care le-au dobândit in cursul misiunilor lor de consultanta.
2130 - Guvernanta
Activitatea de audit intern trebuie sa evalueze si sa faca recomandari adecvate pentru imbunatatirea procesului de guvernanta in vederea atingerii urmatoarelor obiective:
- promovarea valorilor etice adecvate in cadrul organizatiei;
- asigurarea efectuarii unui management organizational eficace si asigurarea responsabilizarii aferente;
- comunicarea eficace a informatiilor despre riscuri si control structurilor adecvate din cadrul organizatiei;
- coordonarea efectiva a activitatilor si comunicarea informatiilor intre conducerea executiva, precum si auditorilor interni si externi si Consiliului.
2130.A1 - Activitatea de audit intern trebuie sa evalueze proiectarea, implementarea si eficacitatea obiectivelor, programelor si activitatilor legate de etica organizatiei.
2130.C1 - Obiectivele misiunii de consultanta trebuie sa corespunda valorilor si obiectivelor generale ale entitatii.
2200 - Planificarea misiunii
Auditorii interni trebuie sa elaboreze si sa inregistreze un plan pentru fiecare misiune, plan care sa includa aria de aplicabilitate, obiectivele, calendarul si alocarea resurselor.
2201 - Consideratii referitoare la planificare
La planificarea misiunii, auditorii interni trebuie sa ia in considerare:
- obiectivele activitatii care este revizuita si mijloacele prin care activitatea isi controleaza desfasurarea;
- riscurile semnificative legate de activitate, obiectivele sale, resursele utilizate, precum si operatiile si mijloacele prin care impactul potential al riscului este mentinut la un nivel acceptabil;
- adecvarea si eficacitatea sistemelor de management si control al riscurilor activitatii, cu referire la un cadru sau model relevant de control;
- oportunitatile de imbunatatire semnificativa a sistemelor de management si control al riscurilor activitatii.
2201.A1 - La planificarea unei misiuni pentru partile din afara organizatiei, auditorii interni trebuie sa stabileasca o intelegere scrisa cu acestia in legatura cu obiectivele, aria de aplicabilitate, responsabilitatile fiecarei parti si alte asteptari ale clientului, inclusiv in ceea ce priveste restrictiile cu privire la comunicarea rezultatelor misiunii si accesul la dosarul misiunii.
2201.C1 - Auditorii interni trebuie sa stabileasca cu clientul misiunii de consultanta o intelegere cu privire la obiectivele, aria de aplicabilitate, responsabilitatile fiecarei parti si alte asteptari ale clientului. Pentru misiunile semnificative, acest acord trebuie sa fie documentat.
2210 - Obiectivele misiunii
Obiectivele trebuie sa fie stabilite pentru fiecare misiune in parte.
2210.A1 - Auditorii interni trebuie sa realizeze o evaluare preliminara a riscurilor relevante pentru activitatea revizuita. Obiectivele misiunii trebuie sa reflecte rezultatele acestei evaluari.
2210.A2 - La elaborarea obiectivelor misiunii, auditorul intern trebuie sa tina cont de probabilitatea existentei erorilor, neregularitatilor, a cazurilor de neconformitate, precum si a altor expuneri semnificative.
2210.C1 - Obiectivele unei misiuni de consultanta trebuie sa abordeze procesele care privesc riscurile, controlul si guvernanta organizatiei in limita convenita cu clientul.
2220 - Aria de aplicabilitate a misiunii
Aria de aplicabilitate stabilita trebuie sa fie suficienta, astfel incât sa indeplineasca obiectivele misiunii.
2220.A1 - Aria de aplicabilitate a misiunii trebuie sa includa luarea in consideratie a sistemelor, inregistrarilor, personalului si activelor relevante, inclusiv a celor aflate sub controlul unor terte parti.
2220.A2 - Daca pe parcursul unei misiuni de asigurare apar oportunitati semnificative de consultanta, trebuie sa se incheie in scris o intelegere in legatura cu obiectivele, aria de aplicabilitate, responsabilitatile fiecarei parti si alte asteptari, iar rezultatele misiunii de consultanta trebuie sa fie comunicate in conformitate cu standardele de consultanta.
2220.C1 - Atunci când efectueaza o misiune de consultanta, auditorii interni trebuie sa se asigure ca aria de aplicabilitate a misiunii permite indeplinirea obiectivelor convenite. Daca in cursul misiunii auditorii interni manifesta rezerve privind aria de aplicabilitate, aceste rezerve trebuie discutate cu clientul pentru a decide daca misiunea poate fi continuata.
2230 - Resurse alocate misiunii
Auditorii interni trebuie sa stabileasca resursele adecvate atingerii obiectivelor misiunii. Selectarea personalului din cadrul departamentului de audit intern trebuie sa se bazeze pe o evaluare a naturii si complexitatii fiecarei misiuni, a constrângerilor de timp si a resurselor disponibile.
2240 - Programul de lucru al misiunii
Auditorii interni trebuie sa elaboreze un program de lucru care sa permita indeplinirea obiectivelor misiunii. Acest program de lucru trebuie sa fie indosariat.
2240.A1 - Prin programul de lucru trebuie sa se stabileasca procedurile ce urmeaza a fi aplicate pentru a identifica, analiza, evalua si inregistra informatiile pe durata misiunii. Programul de lucru trebuie sa fie aprobat inainte de implementarea sa si orice ajustari trebuie sa fie aprobate cu promptitudine.
2240.C1 - Programul de lucru al unei misiuni de consultanta poate varia din punctul de vedere al formei si continutului, in functie de natura misiunii.
2300 - Realizarea misiunii
Auditorii interni trebuie sa identifice, analizeze, evalueze si sa documenteze informatii suficiente pentru atingerea obiectivelor misiunii.
2310 - Identificarea informatiilor
Auditorii interni trebuie sa identifice informatii suficiente, fiabile, relevante si utile pentru atingerea obiectivelor misiunii.
2320 - Analiza si evaluarea
Auditorii interni trebuie sa-si bazeze concluziile si rezultatele misiunii lor pe analize si evaluari corespunzatoare.
2330 - Documentarea informatiilor
Auditorii interni trebuie sa documenteze informatiile relevante in vederea justificarii concluziilor si rezultatelor misiunii.
2330.A1 - Conducatorul activitatii de audit intern trebuie sa controleze accesul la dosarele misiunii. Acesta trebuie sa obtina acordul conducerii superioare executive si/sau consultanta juridica, daca este cazul, inainte de a transmite aceste dosare unor terti.
2330.A2 - Conducatorul activitatii de audit intern trebuie sa stabileasca reguli privind pastrarea dosarelor misiunii. Aceste reguli trebuie sa fie in conformitate cu regulamentele organizatiei, precum si cu alte cerinte legale sau reglementari adecvate.
2330.C1 - Conducatorul activitatii de audit intern trebuie sa stabileasca reguli privind atât custodia si pastrarea dosarelor misiunii, cât si transmiterea lor catre terti interni sau externi. Aceste reguli trebuie sa fie in conformitate cu regulamentele entitatii, precum si cu alte cerinte legale sau reglementari adecvate.
2340 - Supervizarea misiunii
Misiunile trebuie sa faca obiectul unei supervizari corespunzatoare in vederea asigurarii indeplinirii obiectivelor, asigurarii calitatii si dezvoltarii profesionale a personalului.
2400 - Comunicarea rezultatelor
Auditorii interni trebuie sa comunice rezultatele misiunii.
2410 - Criterii in ceea ce priveste comunicarea
Comunicarea trebuie sa includa obiectivele si aria de aplicabilitate ale misiunii, precum si concluziile, recomandarile si planurile de actiune aplicabile.
2410.A1 - Comunicarea finala a rezultatelor trebuie sa contina, acolo unde este cazul, opinia de ansamblu a auditorului intern si/sau concluziile acestuia.
2410.A2 - Auditorii interni sunt incurajati sa atinga performante satisfacatoare in comunicarile privind misiunile.
2410.A3 - Atunci când rezultatele misiunii sunt puse la dispozitia unor parti din afara entitatii, comunicarea trebuie sa includa restrictii in ceea ce priveste distribuirea si utilizarea acestor rezultate.
2410.C1 - Comunicarea privind evolutia si rezultatele unei misiuni de consultanta vor varia ca forma si continut in functie de natura misiunii si de necesitatile clientului.
2420 - Calitatea comunicarii
Comunicarea trebuie sa fie corecta, obiectiva, clara, concisa, constructiva, completa si realizata in timp util.
2421 - Erori si omisiuni
Daca o comunicare finala contine o eroare sau o omisiune semnificativa, conducatorul activitatii de audit intern trebuie sa comunice informatiile corectate tuturor partilor care au primit versiunea initiala.
2430 - Comunicarea neconformitatii cu Standardele
Atunci când nerespectarea Standardelor are un impact asupra unei anumite misiuni, comunicarea rezultatelor trebuie sa cuprinda:
- standardul(ele) care nu a(u) fost respectat(e) in totalitate;
- motivul sau motivele neconformitatii; si
- efectul neconformitatii asupra misiunii.
2440 - Diseminarea rezultatelor
Conducatorul activitatii de audit intern trebuie sa comunice rezultatele partilor indreptatite.
2440.A1 - Conducatorul activitatii de audit intern este responsabil cu comunicarea rezultatelor finale partilor care pot acorda atentia cuvenita acestora.
2440.A2 - Daca nu este mandatat in baza unor cerinte legale, statutare sau de reglementare, inaintea comunicarii rezultatelor misiunii catre parti din afara organizatiei, conducatorul activitatii de audit intern trebuie:
- sa evalueze riscul potential pentru entitate;
- sa se consulte cu conducerea superioara executiva si/sau cu consilierul juridic, daca este cazul;
- sa controleze diseminarea rezultatelor prin restrictionarea folosirii acestora.
2440.C1 - Conducatorul activitatii de audit intern este responsabil pentru comunicarea catre clienti a rezultatelor finale ale misiunilor de consultanta.
2440.C2 - Pe parcursul misiunilor de consultanta pot fi identificate aspecte referitoare la managementul riscurilor, la control si la guvernanta. Ori de câte ori aceste aspecte sunt semnificative pentru entitate, ele trebuie sa fie comunicate conducerii executive si Consiliului.
2500 - Monitorizarea evolutiei
Conducatorul activitatii de audit intern trebuie sa stabileasca si sa mentina un sistem care sa permita monitorizarea actiunilor intreprinse ca urmare a dispozitiilor managementului in baza rezultatelor comunicate.
2500.A1 - Responsabilul pentru activitatea de audit intern trebuie sa stabileasca un proces de urmarire a implementarii rezultatelor, care sa permita monitorizarea si garantarea faptului ca masurile luate de conducere au fost implementate in mod eficient sau ca managementul a acceptat sa-si asume riscul de a nu intreprinde nicio masura.
2500.C1 - Activitatea de audit intern trebuie sa monitorizeze implementarea dispozitiilor managementului in baza rezultatelor misiunii de consultanta in limitele in care acestea au fost convenite cu clientul.
2600 - Solutionarea acceptarii riscurilor de catre management
Atunci când conducatorul activitatii de audit intern considera ca managementul a acceptat un nivel al riscului rezidual care poate fi inacceptabil pentru entitate, conducatorul activitatii de audit intern trebuie sa discute acest aspect impreuna cu conducerea executiva la cel mai inalt nivel. Daca nu pot lua o decizie cu privire la riscul rezidual, conducatorul activitatii de audit intern si conducerea executiva trebuie sa se adreseze Consiliului pentru solutionarea acestei situatii.
Glosar
Valoare adaugata - valoarea este conferita de sporirea numarului de ocazii pentru atingerea obiectivelor entitatii, identificând imbunatatirile la nivel operational si/sau reducând expunerea la risc atât prin servicii de asigurare, cât si de consultanta.
Control adecvat - controlul planificat si organizat de conducere astfel incât sa poata oferi o asigurare rezonabila ca riscurile la care este expusa entitatea au fost gestionate eficace si ca scopurile si obiectivele entitatii vor fi indeplinite in mod eficient si economic.
Servicii de asigurare - examinarea obiectiva a elementelor probante, efectuata in scopul de a furniza entitatii o evaluare independenta a proceselor de management al riscurilor, de control sau de guvernare ale entitatii. Exemplele pot include auditurile financiare, operationale, de conformitate, de securitate a sistemelor si cu scop special.
Consiliu - un organism de guvernare al unei entitati, cum ar fi un Consiliu director, un consiliu de supraveghere, seful unei agentii sau al unui organism legislativ, consiliul de administratie sau de conducere al unei organizatii nonprofit sau orice alt organism desemnat al entitatii, inclusiv comitetul de audit, in fata caruia raporteaza auditorii interni.
Regulament - regulamentul de organizare si functionare al activitatii de audit intern este un document oficial care defineste misiunea, competentele si responsabilitatile acestei activitati. Regulamentul trebuie: a) sa defineasca pozitia auditului intern in cadrul entitatii; b) sa autorizeze accesul la documentele, bunurile si persoanele relevante pentru indeplinirea corespunzatoare a misiunii; si c) sa defineasca aria de aplicabilitate a activitatilor de audit intern.
Conducatorul activitatii de audit intern - postul de cel mai inalt nivel din cadrul entitatii, cu responsabilitati privind activitatile de audit intern. Intr-o activitate de audit intern, organizata in mod clasic, acesta ar fi directorul de audit intern. In cazul in care activitatile de audit intern sunt incredintate unor prestatori externi de servicii, conducatorul activitatii de audit intern este persoana insarcinata sa supravegheze executarea contractului de servicii si sa asigurare calitatea de ansamblu a acestor activitati, dar si care raporteaza conducerii generale si Consiliului asupra activitatilor de audit intern si monitorizeaza implementarea recomandarilor rezultate in cadrul misiunii. Acest post poate, de asemenea, sa poarte denumirea de auditor general, sef al auditului intern sau inspector general.
Cod etic - Codul etic al Institutului Auditorilor Interni (IIA) prezinta principiile relevante pentru profesia si practica de audit intern, precum si regulile de conduita care descriu comportamentul asteptat din partea auditorilor interni. Codul etic se aplica atât persoanelor, cât si organismelor care furnizeaza servicii de audit intern. Scopul Codului etic este de a promova culturi etice la nivel global in cadrul profesiei de audit intern.
Conformitate - aderarea si respectarea politicilor, planurilor, procedurilor, legilor, regulamentelor, contractelor sau altor cerinte.
Conflict de interese - orice relatie care nu este sau nu pare sa fie in interesul entitatii. Un conflict de interese poate afecta capacitatea unei persoane de a-si indeplini in mod obiectiv sarcinile si responsabilitatile.
Servicii de consultanta - activitati de consultanta sau alte servicii conexe clientului, ale caror natura si sfera de activitate sunt convenite in prealabil cu clientul. Aceste activitati au ca obiective adaugarea unui plus de valoare si imbunatatirea guvernantei unei organizatii, managementul riscului si proceselor de control, fara ca auditorul intern sa isi asume responsabilitati de conducere. Exemple: consultanta, consiliere, facilitare si formare profesionala.
Control - orice masura luata de conducere, de Consiliu sau de alte parti in vederea imbunatatirii gestionarii riscurilor si cresterii probabilitatii ca scopurile si obiectivele stabilite sa fie indeplinite. Managerii planifica, organizeaza si coordoneaza aplicarea de masuri suficiente pentru a oferi o asigurare rezonabila ca scopurile si obiectivele vor fi indeplinite.
Mediul de control - atitudinea si actiunile Consiliului si ale managementului cu privire la importanta controlului in cadrul entitatii. Mediul de control furnizeaza disciplina si structura necesara indeplinirii obiectivelor primordiale ale sistemului de control intern. Mediul de control contine urmatoarele elemente:
- integritate si valori etice;
- filosofia managementului si stilul de operare;
- structura organizationala;
- delegarea autoritatii si a responsabilitatilor;
- politici si practici referitoare la resursele umane;
- competenta personalului.
Procese de control - politicile, procedurile si activitatile care fac parte dintr-un cadru general pentru desfasurarea controlului, concepute pentru a asigura ca riscurile se inscriu in limitele de toleranta stabilite de procesul de management al riscurilor.
Misiune - o misiune, sarcina sau o activitate de revizuire specifica auditului intern, cum ar fi un audit intern, o revizuire a controlului autoevaluarii, investigarea unei fraude sau o misiune de consultanta. O misiune poate ingloba mai multe sarcini sau activitati desfasurate in vederea atingerii unui set determinat de obiective aferente.
Obiectivele misiunii - enunturi generale elaborate de auditorii interni si care definesc ceea ce se doreste sa se realizeze in timpul misiunii.
Programul de lucru al misiunii - un document care enumara procedurile ce trebuie urmate in cadrul unei misiuni in vederea indeplinirii planului misiunii.
Prestator extern de servicii - o persoana sau o firma din afara entitatii care detine cunostinte, abilitati si experienta specializata intr-un domeniu particular.
Frauda - orice acte ilegale caracterizate prin inselatorie, disimulare sau tradarea increderii. Aceste acte nu sunt caracterizate in mod necesar de amenintarea cu violenta sau de utilizarea fortei fizice. Fraudele sunt comise de persoane si organizatii in scopul de a obtine bani, bunuri sau servicii, pentru a evita plata ori pierderea serviciilor sau pentru a-si asigura un avantaj personal ori de afaceri.
Guvernanta - ansamblu de procese si structuri implementate de conducere in scopul de a informa, coordona, conduce si monitoriza activitatile organizatiei pentru atingerea obiectivelor acesteia.
Impedimente - afectari ale obiectivitatii unei persoane si ale independentei entitatii care pot include conflicte de interese, limitari ale ariei de aplicabilitate, restrictionari ale accesului la documente, inregistrari, bunuri, la anumite persoane, precum si limitari ale resurselor (finantarilor).
Independenta - absenta conditiilor care ameninta obiectivitatea in fapt sau obiectivitatea in aparenta. Asemenea amenintari ale obiectivitatii trebuie tinute sub control la nivelul auditorului intern, al misiunii, la nivel functional si organizational.
Activitatea de audit intern - un departament, divizie, serviciu, echipa de consultanti sau alt/alti practician/practicieni care ofera o asigurare independenta si obiectiva, precum si servicii de consultanta care contribuie la adaugarea unui plus de valoare si la imbunatatirea operatiunilor entitatii. Activitatea de audit intern ajuta organizatia sa isi atinga obiectivele aducând o abordare sistematica si metodica la evaluarea si imbunatatirea eficacitatii proceselor de management al riscurilor, de control si de guvernanta.
Obiectivitate - atitudine intelectuala neinfluentata care permite auditorilor interni sa isi efectueze misiunile intr-o maniera care demonstreaza credinta lor sincera in rezultatele muncii lor si faptul ca nu au facut compromisuri semnificative privind calitatea. Obiectivitatea le cere auditorilor interni sa nu isi subordoneze propria judecata in probleme de audit altor persoane.
Riscuri reziduale - riscul care ramâne dupa ce managementul a luat masurile necesare pentru reducerea impactului si a probabilitatii aparitiei unui eveniment advers, inclusiv masurile legate de activitatile de control ca raspuns la un anumit risc.
Risc - posibilitatea de a se produce un eveniment care ar putea avea un impact asupra indeplinirii obiectivelor. Riscul se masoara in functie de consecinte si probabilitate.
Managementul riscului - un proces de identificare, evaluare, gestionare si control al evenimentelor sau situatiilor potentiale, pentru a oferi o asigurare rezonabila in ceea ce priveste indeplinirea obiectivelor entitatii.
Trebuie - Atunci când se foloseste cuvântul "trebuie" in cuprinsul standardelor, aceasta denota o obligatie imperativa a acelei prevederi.
Standard - o norma profesionala elaborata de Consiliul Institutului Auditorilor Interni (IIA), care delimiteaza cerintele necesare pentru efectuarea unei game vaste de activitati de audit intern si pentru evaluarea modului de functionare a activitatii de audit intern.