Ghid de evaluare a sistemului de control intern - Curtea de Conturi
Ghid de evaluare a sistemului de control intern - Curtea de Conturi
Ghid de evaluare a sistemului de control intern - Curtea de Conturi
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
individual sau în cadrul categoriei impactului produs transversal în cadrul entităţii. Riscurile ar trebui<br />
evaluate atât pe bază inerentă cât şi din punct <strong>de</strong> ve<strong>de</strong>re residual/restant.<br />
2.4.2 Deși uneori termenul “<strong>evaluare</strong>a riscului” a fost utilizat în legatură cu o singură actvitate, în<br />
contextul gestionării riscului entității, componenta <strong>de</strong> <strong>evaluare</strong> a riscului reprezintă o continuă și<br />
iterativă influență reciprocă <strong>de</strong> acțiuni care au loc în interiorul entității. Obiectivul evaluării riscurilor<br />
este <strong>de</strong> a i<strong>de</strong>ntifica acele evenimente care sunt suficient <strong>de</strong> importante şi semnificative pentru a<br />
concentra atenţia managementului.<br />
2.4.3 Incertitudinea unor evenimente potenţiale trebuie evaluate din perspectiva probabilităţii şi<br />
impactului. Probabilitatea reprezintă posibilitatea ca un eveniment să apară într-o perioadă <strong>de</strong> timp<br />
dată, în timp ce impactul reprezintă dimensiunea efectului pe care evenimentul îl va avea asupra<br />
abilităţii entităţii <strong>de</strong> a-şi în<strong>de</strong>plini obiectivele. Perioada <strong>de</strong> timp pe care managementul o evaluează<br />
pentru probabilitate, ar trebui să cuprindă şi strategia şi obiectivele aferente. Cele mai importante<br />
riscuri sunt acelea cu o mare probabilitate <strong>de</strong> apariţie şi cu un impact puternic. Dimpotrivă, riscurile<br />
cele mai puţin importante sunt acelea cu o probabilitate <strong>de</strong> apariţie scăzută şi impact scăzut.<br />
Echilibrul concentrării atenţiei managementului ar trebui să fie pe probabilităţile ridicate şi pe<br />
riscurile cu impact ridicat (vezi Figura 2 <strong>de</strong> mai jos). Rezultatul final al procesului va fi acela <strong>de</strong> a<br />
atribui fiecărui risc o rată <strong>de</strong> probabilitate şi <strong>de</strong> impact. Unele entităţii utilizează o apreciere “ridicatscăzut”,<br />
altele “sistemul <strong>de</strong> lumină <strong>de</strong> trafic roşu, galben şi ver<strong>de</strong>” iar altele o măsură cantitativă cum<br />
ar fi scorul <strong>de</strong> procente.<br />
Figura 2: Evaluarea simplă a Riscului şi Matricea <strong>de</strong> Reacţie/răspuns<br />
2.4.4 Metodologia <strong>de</strong> <strong>evaluare</strong> a riscului poate fi cantitativă sau calitativă. Poate să se bazeze pe<br />
meto<strong>de</strong> obiective sau subiective. Nici nu este necesar ca o entitate să utilizeze tehnici <strong>de</strong> <strong>evaluare</strong><br />
comune pentru domeniul ei <strong>de</strong> activitate. Oricum, managementul trebuie să fie conştient <strong>de</strong><br />
preferinţele umane când evaluează riscurile şi trebuie să se asigure că toţi angajaţii importanţi înţeleg<br />
în mod unitar ce reprezintă/care este sensul terminologiei <strong>de</strong> <strong>evaluare</strong> a riscurilor. Dacă acest lucru<br />
nu este luat în consi<strong>de</strong>rare, va fi dificil pentru conducerea superioară să evalueze importanţa<br />
diferitelor riscuri.<br />
2.4.5 Odată, ce au fost evaluate riscurile, ar trebui să iasă la iveală priorităţile riscurilor. Dacă<br />
prezentarea riscului este inacceptabilă faţă <strong>de</strong> dispoziţia la risc/apetitul la risc a entităţii, riscul ar<br />
trebui clasificat cu înaltă prioritate sau <strong>de</strong>numit “risc cheie”. Riscurilor cheie trebuie să li se acor<strong>de</strong> o<br />
atenţie permanentă/riguroasă la cel mai înalt nivel al entităţii. Priorităţile riscurilor se vor schimba în<br />
timp ca şi obiectivele entităţii, mediul riscurilor se schimbă şi riscurile cheie sunt adresate/localizate.<br />
2.4.6 Riscul inerent este riscul apărut în cadrul unei entităţi în absenţa oricăror acţiuni ale<br />
managementului pentru schimbarea/transformarea probabilităţii sau impactului evenimentelor.<br />
Riscul rezidual/rămas este riscul ce rămâne după ce s-a luat în consi<strong>de</strong>rare răspunsul existent al<br />
managementului. Avantajul acestei meto<strong>de</strong> este acela că permite entităţii să i<strong>de</strong>ntifice acele riscuri<br />
137