Identificarea și evaluarea riscurilor programului de audit intern
- Bancila Radu
- May 8, 2014
- 3 min read
Standardul ISO 19001 / 2011 „Linii directore pentru auditarea sistemelor de management” prevede la capitolul 5.3.4 Identificarea şi evaluarea programului de audit.
Acest capitol prevede:
Există diferite riscuri asociate cu stabilirea, implementarea, monitorizarea, analizarea și îmbunătățirea unui program de audit care pot afecta realizarea obiectivelor acestui program.
Persoana responsabilă cu realizarea programului ar trebui să ia în considerare aceste riscuri la dezvoltarea acestuia.
Aceste riscuri pot fi asociate cu următoarele:
- Planificare, ex. incapacitatea de a stabili obiective de audit relevante și a determina amploarea programului de audit;
- Resurse, ex. alocarea de timp insuficient pentru dezvoltarea programului de audit sau efectuarea unui audit ;
- Selectarea echipei de audit, ex. echipa de audit nu are competența necesară de a efectua eficace auditurile;
- Punerea în aplicare, ex. comunicarea ineficientă a programului de audit;
- Înregistrările și controalele lor, ex. incapacitatea de a proteja în mod adecvat înregistrările de audit pentru a demonstra eficacitatea acestuia;
- Monitorizare, analiza și îmbunătățirea programului de audit, ex. monitorizarea ineficientă a programului de audit.
Pentru a putea identifica, evalua şi analiza riscurile programului de audit intern se poate apela la standardul ISO 31010 Managementul riscului - Tehnici pentru evaluarea riscului.
Capitolul 5 al acestui standard „Procesul de evaluare a riscurilor” specifică:
Evaluarea riscurilor oferă factorilor de decizie și părților responsabile o mai bună înțelegere a riscurilor care ar putea afecta realizarea obiectivelor, precum și gradul de adecvare și eficiența controalelor deja în vigoare. Ieșirea de evaluare a riscurilor este o intrare pentru procesele de luare a deciziilor ale organizației. Evaluarea riscurilor este un proces global de identificare, analiză și evaluare a riscului. Modul în care se aplică acest proces este dependent nu numai de contextul procesului de management al riscului, şi de asemenea, cu privire la metodele și tehnicile utilizate pentru a efectua evaluarea riscurilor.
Metodele şi tehnicile de evaluare a riscurilor sunt date în tabelul A2 din standardul ISO 31010, alegerea unei abordări de evaluare a riscurilor fiind dată de disponibilitatea resurselor, natura și gradul de incertitudine a datelor și informațiilor disponibile și complexitatea aplicării. Analiza de risc implică luarea în considerare a cauzelor și a surselor de risc, consecințele acestora și probabilitatea ca aceste consecințe să apară. Factorii care afectează consecințele și probabilitatea trebuie identificaţi.
Diverse metode pentru aceste analize sunt descrise în anexa B a standardului ISO 31010. Exemplu pentru factorii de risc care influenţează atingerea obiectivelor programării auditurilor interne:
|Factorii de risc |Probabilitate |Consecinţe | Risc |
|1. Planificarea – incapacitatea de a stabili obiective de | | | |
|audit relevante și a determina amploarea programului | | | |
|de audit | | | |
|a). Modificări documentaţie Sistem Management | | | |
|b). ….. | | | |
|2. Resurse – alocarea de timp insuficient pentru
|dezvoltarea programului de audit sau efectuarea unui
|audit
|a). Modificări documentaţie Sistem Management
|b). …… | | | |
|3. Selectarea echipei de audit – echipa de audit nu are
competența necesară de a efectua eficace auditurile
etc...
Decizia cu privire la posibilitatea și modul de tratare a riscului poate depinde de costurile și beneficiile diminuării/eliminării riscurilor, cât și de costurile și beneficiile punerii în aplicare a măsurilor pentru reducerea sau eliminarea acestor riscuri.O abordare frecventă este de a împărți riscurile în trei categorii:
a) un grup superior, în cazul în care nivelul de risc este considerat intolerabil: orice activitate poate aduce beneficii, iar tratamentul riscului este esențial, indiferent de costul acestuia;
b ) un grup de mijloc, în cazul în care costurile și beneficiile sunt luate în considerare;
c) un grup inferior, în cazul în care nivelul de risc este considerat ca fiind neglijabil, sau atât de mic încât nu sunt necesare măsuri de tratare a riscului.
Măsurile pentru eliminarea sau reducerea riscurilor din grupul superior sau mediu.
|Factorii de risc |Risc | Măsuri pentru reducere/eliminare risc |Respons.|
|1. Incapacitatea de a stabili obiective| | Se stabilesc măsuri pentru eliminare/ | |
|de audit relevante și a determina | | reducere factori de risc. | |
|amploarea programului de audit | | | |
|a). Modificări documentaţie Sistem | | | |
|Management. | | | |
Determinarea acţiunilor corective şi preventive pentru factorii de risc identificaţi.
Procesul de evaluare a riscurilor este în context și cu alți factori care ar putea să varieze în timp și care ar putea schimba sau invalida evaluarea riscului. Acești factori trebuie identificaţi astfel încât evaluarea riscului să poată fi actualizată atunci când este necesar.
Comments