Concluziile şi recomandările din raportul de audit: 7 reguli

De fiecare dată cînd scriu despre raportul de audit îmi vine în minte o întimplare de acum aproape 10 ani. La acea dată, din punct de vedere al practicii, eram doar un ucenic ce descîlcea tainele mioritice ale auditului în cazul celebrului OMF 1077. Mi s-a reproşat că ceea ce am scris, nu acoperă “nici măcar 50 de pagini”. Că nu am dat suficient de multe “detalii” Ce fel de raport va fi acela care are doar cîteva pagini?

De unde o fi apărut “cerinţa” ca un raport de audit să fie cît “Codul lui Davinci” a lui Dan Brown, habar nu am. Punctul meu de vedere este cu totul altul. Cele ce le voi scrie în continuare au la bază înţelegerea mea asupra standardelor ISACA. (Pentru aducere aminte, postul Audit: raportare directă sau atestare?)

În primul rind, plecînd de la izvoarele sale istorice, auditul este un subiect de interes public. Dacă ne vom uita pe siturile marilor companii americane (în totalitate cele listate pe bursă), rapoartele de audit financiar sînt toate publice!  (profit per share, este o informaţie ce apare inclusiv în bilanţ). Dacă vom căuta pe internet exemple de rapoarte de audit de sisteme informaţionale, vom constata că şi din acestea sunt publice. Este inconstestabil că există misiuni de asigurare (audit) ale căror constatări nu vor fi făcute publice. Am mai spus: auditul nu înseamnă “bife” în liste de control!

Din exces de zel sau pentru bravură, putem să scriem rapoarte de audit cît de stufoase vrem….În termeni cît mai sofisticaţi. Însă, cel puţin în teorie, raportul nostru va ajunge pe masa managementului. Nu cred că, manager fiind, îţi face deosebită plăcere să citeşti ceva pe limba ta şi totuşi să ai nevoie de un traducător. Manager fiind, nu cred că ai timp să asculţi o poveste de 20 de mninute din care nu înţelegi mare lucru. Altfel spus: cînd mergem la un restaurant citim meniul nu şi reţetele bucătarului…Nici acest argument nu este suficient? Atunci trebuie să te gîndeşti că prezinţi raportul de audit în faţa unor necunoscuţi care, de cele mai multe ori, nu au tangenţă cu domeniul tău. În acest caz, cum vorbeşti cu ei? Ce le spui? Limbajul „sofisticat” este o garanţie a profesionalismului?

Afirmaţiile mele  se doresc a fi şi un argument, o explicaţie a faptului că raportul de audit conţine “executive summary” chiar la început: aici prezinţi esenţa. Mai departe, raportul detaliază această “esenţă”. Dar gradul de detaliere nu trebuie să fie unul “atomic”. Auditorul şi-a format concluziile înainte de a scrie raportul. Mai departe trebuie să transmit un mesaj.

Cum ar trebui să arate/scrise recomandările  din raport? Răspunsul depinde de destinatarii acestuia. Dar ca reguli generale, recomandările ar trebui:

  • Să fie atît de specifice încît destinatarii raportului să înţeleagă ce ar trebui să facă după finalizarea misiunii (Cine trebuie să facă? Ce? Cînd?Unde? Cu siguranţă nu recomanzi şi CUM trebuie făcut!).
  • Punerea în practică a recomandărilor să poată fi ulterior monitorizată (o recomandare este în esenţă un control. Acel control trebuie să funcţioneze: să îşi atingă obiectivele. În caz contrar este o formă fără fond).
  • Recomandarea ar trebui să fie cît mai clară, logică,
  • Recomandarea ar trebui să fie utilă: nu scrii recomandări pentru a da volum raportului de audit ci pentru a ajuta auditatul.
  • Recomandarea ar trebui să fie fezabilă din punct de vedere economic (controalele implementate costă mai mult decît pierderile? Ce se întîmplă dacă nu implementezi recomandarea?).
  • Recomandarea ar trebui să fie scrisă cît mai succint si inteligibil.
  • Recomandarea ar trebui să fie suficient de importantă pentru a fi menţionată în raport.

Cuvîntul “trebuie”….. trebuie evitat în raport. Auditorul nu poate impune nimic. Auditorul recomandă. Din această cauză, “trebuie” se va înlocui cu “ar trebui”: recomanzi şi managementul analizează apoi recomandarea ta. După ce o analizează, îţi comunică decizia. Aceasta deoarece, atunci cînd ţi-ai stabilit riscul de audit, este posibil să fi greşit în cazul “pragului de semnificaţie” (materiality). (“The assessment of what is material is a matter of professional judgment and includes consideration of the effect on the organization as a whole, and errors, omissions, irregularities and illegal acts that may arise as a result of control weaknesses in the area being audited” CRM pg. 55)

Am spus de la început că nu vom regăsi astfel de afirmaţii scrise aşa după cum le-am prezentat eu. Există însă în ITAF cîteva menţiuni (pg. 60):

“Recommendations resulting from the conduct of audit and assurance engagements should be reported in a separate report and not as part of the audit or assurance report. The recommendations, which, as part of the reporting process require review and agreement by management and the auditee or other stakeholders, should be presented in a clear, concise and actionable manner. Reports to senior management and executives should address issues and concepts, with detailed audit findings used as illustrations of the issue, problem or result. Reports to middle and line management should contain sufficient information to allow them to fully understand the issue and deal with the problem. Where appropriate, recommendations should include provision for timely monitoring and follow-up”

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s