În vederea realizării prevederilor art.29 lit.b) din Legea privind controlul financiar public intern nr.229 din 23 septembrie 2010 (Monitorul Oficial al Republicii Moldova, 2010, nr. 231-234, art.730),
    1. Se aprobă Standardele naţionale de control intern în sectorul public, conform anexei;
    2. Se abrogă Ordinul ministrului finanţelor nr.51 din 23 iunie 2009 cu privire la aprobarea Standardelor naţionale de control intern în sectorul public (Monitorul Oficial al Republicii Moldova, 2009, nr.107-109, art.485).

    MINISTRUL FINANȚELOR                                 Anatol ARAPU

    Nr. 189. Chişinău, 5 noiembrie 2015.


    1.1 Concept
    1) Controlul Intern este un sistem organizat de managerul entităţii publice şi personalul acesteia, incluzînd auditul intern şi managementul financiar şi control, care cuprinde totalitatea politicilor, procedurilor, regulilor interne, proceselor şi activităţilor realizate în cadrul entităţii publice pentru a gestiona riscurile şi a oferi o asigurare rezonabilă privind atingerea obiectivelor şi rezultatelor planificate.
    2) Conform conceptului de Control Financiar Public Intern (în continuare CFPI), promovat de către Uniunea Europeană, Auditul Intern este o parte componentă a Controlului Intern în calitate de instrument de evaluare a sistemului de Management Financiar şi Control (în continuare MFC). Avînd funcţie de raportare directă managerului entităţii publice, auditul intern are un rol determinant în examinarea şi raportarea eficacităţii sistemului MFC.
    3) MFC este un sistem implementat şi realizat de persoanele responsabile de guvernare, administrare şi de alt personal în conformitate cu cadrul normativ şi reglementările interne, pentru a oferi o asigurare rezonabilă precum că fondurile publice sînt utilizate de către entitatea publică în mod legal, etic, transparent, economic, eficient şi eficace.
    Control Financiar Public Intern = Audit Intern + Management Financiar şi Control + Unitatea Centrală de Armonizare^{1
    _____________________________________
    1}Unitate Centrală de Armonizare – reprezintă Direcţia de armonizare a controlului financiar public intern din cadrul Ministerului Finanţelor.

    Control Intern = Audit Intern + Management Financiar şi Control
    4) Sistemul MFC are următoarele obiective generale:
    a) eficacitatea şi eficienţa operaţiunilor;
    b) conformitatea cu cadrul normativ şi reglementările interne;
    c) siguranţa şi optimizarea activelor şi a pasivelor;
    d) siguranţa şi integritatea informaţiei.
    Prima categorie se referă la obiectivele de bază ale unei entităţi publice, inclusiv obiectivele de performanţă. Cea de-a doua categorie se referă la respectarea cadrului normativ, ce reglementează activitatea entităţii publice. Cea de-a treia categorie se referă la protejarea resurselor împotriva pierderii, întrebuinţării contrar destinaţiei şi a prejudiciilor, cauzate prin irosire, abuz, administrare inadecvată, erori, fraude şi iregularităţi. Cea de-a patra categorie se referă la întocmirea unor rapoarte, inclusiv financiare, precum şi alte informaţii veridice.
    1.2 Aplicabilitate
    5) Standardele naţionale de control intern în sectorul public (în continuare SNCI) sînt aplicabile tuturor entităţilor din sectorul public, care gestionează mijloacele bugetului public naţional.
    6) Sistemul MFC se implementează în cadrul entităţii publice prin aplicarea prevederilor SNCI.
    7) SNCI stabilesc domeniile principale, care necesită anumite acţiuni în scopul implementării sistemului MFC.
    8) SNCI reprezintă o codificare a unor principii general acceptate, ce se referă la stabilirea unui sistem eficient MFC. Standardele oferă un cadru relevant pentru dezvoltarea unor sisteme eficiente MFC, inclusiv pentru elaborarea unor instrucţiuni suplimentare de aplicare a acestora².
    __________________________________
    ²Fiecare entitate publică şi/sau subdiviziune este în drept să elaboreze instrucţiuni proprii de aplicare a SNCI. Ca urmare, instrucţiunile propriu-zise sînt coordonate cu Ministerul Finanţelor, după care, aprobate de conducerea entităţii publice.

    9) SNCI sînt utilizate atît de către managerii entităţii publice, drept un exemplu al unui cadru sau sistem MFC solid, cît şi de către auditorii interni, ca un instrument de evaluare a acestui sistem.
    1.3 Componentele principale ale MFC
    10) MFC include următoarele cinci componente corelate între ele:
    1) mediul de control;
    2) managementul performanţelor şi al riscurilor;
    3) activităţile de control;
    4) informaţia şi comunicarea;
    5) monitorizarea şi evaluarea.
    Aceste componente derivă din modul în care managerul gestionează o activitate şi sînt integrate în procesul managerial. Deşi componentele enumerate se aplică tuturor entităţilor publice, entităţile mici şi mijlocii³ le pot implementa într-un mod distinct celui entităţilor mari. Chiar dacă activităţile de control ale unei entităţi mici pot fi mai puţin oficiale şi structurate, aceasta poate avea totuşi un sistem MFC eficient.
    ____________________________________
    ³Criteriile conform cărora se determină dacă o entitate este mică sau mijlocie sînt: bugetul entităţii, numărul de personal, domeniul de responsabilitate.

    11) Mediul de control oferă tonul unei entităţi publice, influenţînd conştiinţa angajaţilor acesteia privind MFC. Acesta stă la baza tuturor celorlalte componente ale MFC, asigurînd disciplina şi structura. Factorii mediului de control includ:
    a) integritatea personală, profesională, etica conducerii şi a personalului;
    b) stilul de conducere;
    c) structura organizaţională;
    d) divizarea obligaţiilor şi responsabilităţilor, atribuirea autorităţii;
    e) politici şi practici privind resursele umane;
    f) competenţa personalului.
    12) Managementul performanţelor şi al riscurilor prevede necesitatea de stabilire a obiectivelor pentru sistemele operaţionale, precum şi identificare, evaluare şi control al riscurilor, care pot influenţa atingerea acestora. Fiecare entitate publică se confruntă cu o varietate de riscuri, care provin din surse externe şi interne. O cerinţă prealabilă pentru evaluarea riscurilor este stabilirea obiectivelor, care se referă la diferite niveluri şi sînt consecvente în interior. Evaluarea riscurilor reprezintă analiza riscurilor relevante pentru atingerea obiectivelor, formînd o bază pentru determinarea modului de gestionare a riscurilor.
    13) Activităţile de control reprezintă politicile şi procedurile, stabilite pentru abordarea riscurilor şi atingerea obiectivelor entităţii publice. De asemenea, acestea contribuie la realizarea directivelor, ce vin din partea conducerii. Activităţile de control se realizează la toate nivelurile şi în toate subdiviziunile entităţii publice. Acestea includ o serie de activităţi diverse, cum ar fi aprobările, autorizările, verificările, reconcilierile, revizuirile performanţei existente, securitatea activelor şi divizarea sarcinilor. SNCI explică modul în care managerii trebuie să documenteze şi să evalueze eficacitatea activităţilor de control specifice.
    14) Informaţia şi comunicarea se referă la faptul că informaţia trebuie identificată, colectată şi comunicată într-o manieră şi în termene, care permit angajaţilor să-şi îndeplinească responsabilităţile. Sistemele informaţionale generează rapoarte ce conţin informaţii operaţionale, financiare şi de conformitate, care permit gestionarea şi controlul activităţii. Aceste informaţii includ atît informaţii generate din interior, cît şi informaţii despre evenimentele, activităţile şi condiţiile externe, necesare pentru luarea deciziilor, precum şi pentru raportarea externă. Comunicarea eficientă se realizează atît pe orizontală, cît şi pe verticală în entitatea publică. Angajaţii sînt informaţi de către manageri, precum că responsabilităţile ce ţin de MFC trebuie tratate cu seriozitate. Angajaţii trebuie să înţeleagă rolul, pe care îl au în sistemul MFC, precum şi legătura între activităţile tuturor angajaţilor. Angajaţii trebuie să aibă un mijloc de comunicare a informaţiilor semnificative superiorilor. De asemenea, este necesară o comunicare eficientă cu părţile externe, cum ar fi clienţii, furnizorii, organele de reglementare şi alte părţi interesate.
    15) Monitorizarea şi evaluarea cuprinde procesul de evaluare a calităţii performanţei sistemului MFC în timp, care se realizează prin supraveghere continuă, autoevaluare şi audit intern. Monitorizarea continuă se efectuează pe parcursul operaţiunilor şi include activităţi obişnuite de supraveghere şi management, precum şi alte acţiuni întreprinse de angajaţi, în scopul îndeplinirii atribuţiilor de serviciu. Sfera de aplicare şi frecvenţa evaluărilor separate (autoevaluare şi audit intern) depinde de rezultatul evaluării riscurilor şi eficacitatea procedurilor de monitorizare continuă.
    16) Există o relaţie directă între cele patru categorii de obiective (specificate în punctul 4), care reprezintă ceea ce o entitate publică se străduie să obţină, şi cele cinci componente (specificate în punctul 10), care reprezintă necesarul pentru a atinge obiectivele. Toate componentele sînt relevante pentru fiecare categorie de obiective. Spre exemplu, cît priveşte eficacitatea şi eficienţa operaţiunilor, toate cele cinci componente trebuie să fie prezente şi să funcţioneze eficient pentru a concluziona că controlul asupra operaţiunilor este unul eficient.
    1.4 Limitări ale sistemului MFC
    17) MFC este un sistem, care oferă asigurări rezonabile privind atingerea obiectivelor. Cu toate acestea, limitările sale deseori nu sînt înţelese pe deplin.
    MFC oferă o asigurare rezonabilă precum că o entitate publică îşi atinge obiectivele, produce informaţii financiare şi de performanţă veridice, precum şi acţionează în conformitate cu legislaţia relevantă. MFC nu poate schimba un manager mai puţin bun în unul bun, nici nu poate influenţa realizarea de schimbări în politicile Guvernului sau situaţia economică de bază, care influenţează performanţele entităţii publice.
    18) Atingerea obiectivelor este influenţată de limitări inerente în toate sistemele entităţii publice, care denotă faptul că raţionamentele efectuate în procesul de luare a deciziilor pot fi imperfecte şi că eşecurile pot avea loc din cauza unei simple erori sau greşeli.
    Activităţile de control pot fi periclitate de înţelegerile secrete a două sau mai multe persoane, precum şi de faptul că managerii nu doresc să respecte procedurile.
    Structura unui sistem MFC trebuie să reflecte faptul că resursele sînt limitate, iar beneficiile activităţilor de control trebuie luate în considerare în funcţie de costurile acestora.
    Prin urmare, nu este de dorit şi nici posibil, ca sistemul MFC să ofere asigurări absolute cu privire la atingerea obiectivelor entităţii publice.
    1.5 Responsabilitatea pentru implementarea SNCI
    19) Responsabilitatea primară pentru implementarea SNCI revine managerului entităţii publice, care oferă “tonul de vîrf”, influenţînd integritatea, etica şi alţi factori ai unui mediu de control pozitiv. Într-o entitate publică mare, managerul îndeplineşte această sarcină, oferind abilităţi de conducere şi direcţionare managerilor operaţionali şi revizuind modul în care aceştia monitorizează şi verifică activitatea. Managerii operaţionali, la rîndul lor, atribuie responsabilitatea pentru stabilirea unor politici şi activităţi de control mai specifice angajaţilor. Într-o entitate mai mică, influenţa managerului este mai directă. Orice manager este conducătorul executiv al sferei sale de responsabilitate.
    20) MFC este responsabilitatea fiecărui angajat dintr-o entitate publică şi constituie o parte explicită sau implicită a fişei postului. Angajaţii generează informaţii, care sînt utilizate în cadrul sistemului MFC, sau întreprind alte acţiuni necesare pentru a realiza activităţile de control. Angajaţii sunt responsabili de informarea superiorilor despre problemele aferente operaţiunilor, cazurile de nerespectare a Codului etic⁴, alte încălcări sau acţiuni ilegale.
    ______________________________________
    ⁴Codul etic - reprezintă un act normativ cu caracter intern şi obligatoriu, stabilind normele de conduită etică şi profesională.

    1.6 Structura SNCI
    21) Cele 16 SNCI se bazează pe bunele practici internaţionale şi includ cinci componente:
    - Mediul de control
    SNCI 1. Etica şi integritatea;
    SNCI 2. Funcţii, atribuţii şi sarcini;
    SNCI 3. Angajamentul faţă de competenţă;
    SNCI 4. Abordarea şi stilul de operare al conducerii;
    SNCI 5. Structura organizaţională;
    SNCI 6. Împuterniciri delegate.
    - Managementul performanţelor şi al riscurilor
    SNCI 7. Stabilirea obiectivelor;
    SNCI 8. Planificarea, monitorizarea şi raportarea privind performanţele;
    SNCI 9. Managementul riscurilor.
    - Activităţile de control
    SNCI 10. Tipurile activităţilor de control;
    SNCI 11. Documentarea proceselor;
    SNCI 12. Divizarea obligaţiilor şi responsabilităţilor.
    - Informaţia şi comunicarea
    SNCI 13. Informaţia;
    SNCI 14. Comunicarea.
    - Monitorizarea şi evaluarea
    SNCI 15. Monitorizarea continuă;
    SNCI 16. Evaluarea separată.
    22) SNCI constau din două secţiuni:
    1) conţinutul standardului;
    2) note explicative, care oferă informaţii suplimentare necesare pentru înţelegerea standardului şi a modului de aplicare a acestuia.
    23) În măsura disponibilităţii, Direcţia de armonizare a controlului financiar public intern din cadrul Ministerului Finanţelor acordă suportul metodologic necesar entităţilor publice în aplicarea practică a SNCI.
    Conţinutul
    Entitatea publică asigură faptul că angajaţii acesteia cunosc standardele corespunzătoare de comportament etic, inclusiv reglementările cu privire la prevenirea fraudelor şi corupţiei, raportarea fraudelor şi neregularităţilor, influenţelor necorespunzătoare precum şi altor încălcări. Entitatea emite recomandări suplimentare cu privire la problemele de ordin etic, care ar putea fi generate de activitatea specifică a entităţii.
    Note explicative
    Etica şi integritatea sînt două concepte distincte, care trebuie înţelese clar.
    Etica ţine de codificarea unor standarde care stabilesc normele de conduită morală, ce trebuie să fie aplicate în relaţie cu activităţile specifice ale entităţii publice.
    Integritatea presupune comportamentul, realizarea atribuțiilor profesionale și luarea deciziilor de către managerii și angajații entității publice în mod etic, cu respectarea interesului public și a legislației în vigoare.
    Angajaţii nu pot avea un comportament integru, dacă nu cunosc standardele etice ce trebuie aplicate.
    Managerii și angajații entității publice trebuie să aibă integritate profesională și personală, să fie conștienți de activitatea pe care o desfășoară. Elaborarea standardelor etice nu asigură faptul, că personalul îşi va desfăşura activitatea în mod integru. Integritatea este influenţată de tonul stabilit de către managerul entităţii publice (vezi SNCI 4).
    Conţinutul
    Entitatea publică oferă angajaţilor o descriere clară a atribuţiilor şi sarcinilor funcţionale ale entităţii. Entitatea elaborează regulamente interne ale subdiviziunilor şi fişe ale postului, cu indicarea sarcinilor, rolurilor şi responsabilităţilor fiecărui angajat din entitate.
    Note explicative
    Angajaţii entităţii publice trebuie să cunoască misiunea entităţii. Entitatea elaborează Regulamentul de organizare şi funcţionare, care este adus la cunoştinţa tuturor angajaţilor.
    Funcţiile, atribuţiile şi sarcinile sînt atribuite şi comunicate angajaţilor din cadrul entităţii.
    Angajaţii entităţii publice deţin fişe ale postului în formă scrisă, care stipulează sarcinile de bază, atribuţiile de serviciu, responsabilităţile şi împuternicirile.
    Conţinutul
    Entitatea publică implementează politici şi practici de resurse umane, care asigură faptul că managerii atribuie personalului competenţa necesară pentru realizarea sarcinilor. Aceste politici promovează dezvoltarea continuă a capacităţilor personalului entităţii.
    Note explicative
    Managerii şi angajaţii deţin cunoştinţele, abilităţile şi experienţa necesară pentru a realiza sarcinile atribuite în vederea atingerii obiectivelor stabilite.
    Acţiunile necesare pentru a realiza acest fapt includ:
    - definirea şi specificarea detaliată a cunoştinţelor şi capacităţilor personale necesare pentru fiecare post;
    - definirea şi specificarea detaliată a sarcinilor de bază, atribuţiilor de serviciu, responsabilităţilor şi împuternicirilor necesare pentru fiecare post;
    - aplicarea şi implementarea proceselor de recrutare, promovare / reconfirmare în funcţie a personalului, conform legislaţiei, care asigură faptul că angajaţilor le sînt atribuite sarcini, pe care aceştia le pot realiza;
    - un program definit de instruire iniţială pentru angajaţii noi într-un anumit domeniu de activitate;
    - instruire continuă şi un program de informare pentru angajaţii din cadrul unei subdiviziuni sau structuri organizaţionale, precum şi autoinstruire;
    - acţiuni de evaluare a necesităţilor de instruire a angajaţilor;
    - oferirea instruirilor, care satisfac necesităţile identificate;
    - o evaluare sistematică a măsurii în care instruirea asigură necesităţile de dezvoltare a angajaţilor.
    Performanţele angajaţilor depind în mod direct de claritatea cu care obiectivele au fost stabilite şi comunicate persoanelor, precum şi calitatea instrucţiunilor, manualelor şi altor recomandări disponibile cu privire la sarcinile ce urmează a fi îndeplinite.
    Conţinutul
    Managerii entităţii publice sînt responsabili pentru promovarea unei culturi adecvate de control în cadrul entităţii, pe care o conduc. Ei trebuie să demonstreze prin stilul de activitate propriu, că înţeleg importanţa dezvoltării unor sisteme eficiente de control intern.
    Note explicative
    Tonul oferit de managerii superiori este un factor important în stabilirea unui mediu de control favorabil, care contribuie la implementarea unui sistem de control intern eficient. Dacă managerii superiori nu respectă cadrul normativ şi reglementările interne, este puţin probabilă respectarea acestora de către angajaţii subordonaţi, acţiunile managerilor promovînd o cultură, în care este foarte dificil de a avea un control intern eficient.
    Managerii care stabilesc obiective clare, acordă atenţie activităţii de prevenire a riscurilor şi manifestă interes personal în monitorizarea şi dezvoltarea unor sisteme de control intern eficiente, promovează o cultură în care este mult mai probabil ca activităţile de control să funcţioneze în mod corespunzător.
    Managerii entităţilor publice trebuie să recunoască faptul, că responsabili pentru implementarea unor sisteme de control intern eficiente sînt ei înşişi.
    Conţinutul
    Entitatea publică defineşte propria structură organizaţională, competenţele, responsabilităţile, sarcinile şi obligaţiile de raportare ale fiecărei componente structurale ale entităţii. Structura organizaţională şi obligaţiile de raportare sunt definite clar, în scris, şi comunicate angajaţilor şi părţilor terţe interesate. Structura organizaţională trebuie să funcţioneze avînd în vedere resursele disponibile ale entităţii.
    Note explicative
    O cerinţă prealabilă pentru conceptul de răspundere este ca fiecare manager să dispună de flexibilitate în organizarea şi utilizarea resurselor umane, care să le fie acordată pentru ca aceştia să-şi atingă obiectivele în cel mai eficient şi eficace mod. Un management responsabil presupune şi o flexibilitate similară cu privire la utilizarea altor tipuri de resurse acordate managerilor şi, în cazul ideal, oportunitatea de a alege între utilizarea resurselor umane şi altor tipuri de resurse.
    Entitatea publică îşi defineşte structura organizaţională, luînd în considerare atît resursele bugetare, cît şi alte resurse disponibile acestora într-un mod, care facilitează atingerea obiectivelor strategice.
    Competenţa, responsabilitatea şi raportarea sînt definite după cum urmează:
    - competenţa constituie capacitatea de a lua decizii în limite definite, cu scopul de a atinge obiectivele specifice funcţiei deţinute în cadrul structurii organizaţionale;
    - responsabilitatea reprezintă obligaţia de realizare a obiectivelor şi activităţilor aferente atribuite funcţiei;
    - raportarea reprezintă sarcina de a informa managerul, care atribuie responsabilităţile, cu privire la măsura în care obiectivele stabilite au fost atinse, împreună cu informaţii suplimentare, dacă este cazul, referitoare la sarcinile şi activităţile realizate, precum şi resursele utilizate.
    Conţinutul
    Managerii din cadrul entităţii publice deleagă împuterniciri pentru realizarea atribuţiilor şi sarcinilor funcţionale ale entităţii. Managerii sînt responsabili pentru delegare şi asigură faptul, că împuternicirile sînt delegate doar angajaţilor cu competenţa necesară, iar pentru realizarea sarcinilor delegate sînt stabilite nivele de subordonare corespunzătoare.
    Note explicative
    Entităţile publice activează mai eficient dacă există direcţii clare de împuterniciri delegate, care permit managerilor mai inferiori să ia decizii necesare în vederea atingerii obiectivelor.
    Delegarea responsabilităţilor are loc prin indicaţie, ordin, dispoziţie sau prin altă formă de decizie internă şi se referă la sarcini operaţionale specifice ale entităţii publice, inclusiv financiare.
    Managerii sînt responsabili de modul în care sînt delegate împuternicirile. Astfel, managerii deleagă împuterniciri angajaţilor, care posedă cunoştinţele, experienţa şi abilitatea necesară pentru realizarea sarcinilor delegate. Managerii sînt imparţiali în luarea deciziilor de delegare a împuternicirilor.
    Managerii înregistrează în scris toate împuternicirile delegate. Acest fapt se confirmă prin semnătura delegatarului şi semnătura persoanei delegate. Pentru a facilita evidenţa şi monitorizarea împuternicirilor delegate, managerii întocmesc un tabel de evidenţă a funcţiilor delegate.
    O împuternicire delegată poate fi subdelegată cu aprobarea managerului, care a efectuat delegarea iniţială, dar nu îl scuteşte de responsabilitatea realizării sarcinilor ce rezultă din delegarea împuternicirii.
    Conţinutul
    Entitatea publică stabileşte misiunea, obiectivele strategice şi operaţionale şi atribuie responsabilităţile corespunzătoare angajaţilor în vederea atingerii acestora.
    Note explicative
    Misiunea este o enunţare scurtă a scopului general al entităţii publice. Misiunea ghidează acţiunile, oferă o direcţie şi un cadru pentru formularea strategiilor entităţii publice.
    Misiunea entităţii conţine:
    - scopul de bază al entităţii publice;
    - părţile primare interesate;
    - responsabilităţi;
    - servicii prestate.
    Un sistem MFC nu poate fi eficient, dacă nu sînt stabilite obiective clare în legătură cu ceea ce trebuie să realizeze entitatea publică. Sistemul de MFC începe cu stabilirea misiunii, obiectivelor strategice, obiectivelor operaţionale clare şi obiectivelor individuale.
    Obiectivele strategice sunt, de regulă, obiective pe termen mediu și lung (3-5 ani) şi se referă la ansamblul activităţilor entității sau la componentele majore ale acesteia și care se formulează pornind de la misiunea entității. Obiectivele strategice urmăresc atingerea scopurilor de bază ale entității și derivă din politicile guvernamentale din domeniu.
    Obiectivele operaţionale se stabilesc pe termen scurt (pînă la 1 an) și reprezintă obiectivele aferente activităţii operaţionale a entităţii, contribuind de regulă, direct sau indirect la atingerea obiectivelor strategice ale acesteia.
    Obiectivele individuale sunt obiectivele stabilite pentru fiecare angajat, de comun cu superiorul acestuia, pentru realizarea obiectivelor trasate subdiviziunii din care face parte.
    Managerii sunt responsabili de stabilirea obiectivelor, iar asigurarea realizării acţiunilor necesare în vederea atingerii acestora revine atît managerilor, cît şi angajaţilor. Managerii stabilesc aranjamente corespunzătoare pentru monitorizarea şi raportarea cu privire la realizarea planurilor entităţii publice (vezi SNCI 8).
    Trebuie să existe o diferenţiere între obiectivele şi activităţile necesare pentru realizarea acestora. Obiectivele operaţionale se definesc astfel, încît să întrunească următoarele caracteristici:
    - să fie specifice şi clare;
    - să fie măsurabile;
    - să fie realizabile;
    - să fie relevante;
    - să se încadreze într-o perioadă de timp definită, în limitele căreia obiectivele trebuie să fie atinse.
    Conţinutul
    Entitatea publică instituie sisteme eficiente de planificare a activităţii, elaborînd planuri strategice şi planuri anuale de activitate, care includ obiective strategice/operaţionale, indicatori de performanţă şi riscuri asociate obiectivelor. Procesul de planificare prevede raportarea sistematică cu privire la realizarea planurilor, atingerea indicatorilor de performanţă ale entităţii publice, precum şi privind monitorizarea şi controlul riscurilor.
    Note explicative
    Planificarea constituie ajustarea obiectivelor strategice şi operaţionale la resursele disponibile prin întocmirea unui plan de acţiuni, stabilind termene realiste.
    O planificare reuşită necesită revizuirea, actualizarea sistematică şi coordonarea planurilor convenite pentru a reflecta:
    - modificarea obiectivelor şi riscurilor, care nu au fost anticipate în momentul întocmirii planului de acţiuni;
    - modificarea volumului resurselor alocate entităţii şi altele.
    Obiectivele şi indicatorii de performanţă pot fi revizuiţi semestrial, în următoarele situaţii:
    - acţiunile prioritare ale entităţii publice şi/sau subdiviziunii structurale au suferit schimbări şi aceasta a influenţat modificarea sarcinilor şi atribuţiilor;
    - structura organizatorică a entităţii publice / structura subdiviziunii a fost revizuită şi aceasta a influenţat modificarea sarcinilor şi atribuţiilor;
    - alte cauze, circumstanţe obiective apărute pe parcursul perioadei au contribuit la nerealizarea obiectivelor stabilite.
    Nivelul de detaliere a planurilor entităţilor variază în dependenţă de complexitatea entităţii respective. Entităţile mici cu obiective explicite, puţini angajaţi şi un volum mic de alte resurse elaborează planuri de viitor simple. Entităţile mai mari necesită procese de planificare mai complexe.
    Managerul primeşte în mod sistematic rapoarte privind desfăşurarea activităţii entităţii, atingerea obiectivelor şi controlul riscurilor. Managerul evaluează performanţele, constatînd eventualele abateri de la obiectivele stabilite sau măsurile neadecvate de control a riscurilor, în scopul întreprinderii măsurilor corective.
    Conţinutul
    Entitatea publică evaluează expunerea la riscuri, generată de posibile evenimente viitoare şi determină nivelul acceptabil al riscurilor reziduale. Managerii asigură identificarea, înregistrarea, evaluarea, controlul, monitorizarea şi raportarea sistematică a riscurilor, inclusiv a riscurilor de corupţie, prin ţinerea unui registru al riscurilor.
    Fiecare subdiviziune structurală autonomă din cadrul entităţii publice elaborează Registrul riscurilor, care ulterior urmează a fi consolidat în Registrul riscurilor entității publice.
    Note explicative
    Procesul, în cadrul căruia entitatea publică gestionează incertitudinea ce ţine de evenimentele viitoare, care ar putea influenţa atingerea obiectivelor strategice şi operaţionale, este denumit „managementul riscurilor”.
    Nu poate exista un management eficient al riscurilor dacă entitatea publică nu are obiective strategice şi operaţionale bine definite (vezi SNCI 7).
    Termenii utilizaţi pentru a defini aspectele de management a riscurilor variază. Definiţiile de mai jos oferă managerilor entităţilor publice terminologia sugerată pentru utilizare.
    Risc – un eveniment posibil care poate avea impact negativ în ceea ce priveşte atingerea obiectivelor entităţii publice;
    Risc inerent – riscul, care există în legătură cu obiectivele activităţii analizate sau este inerent acestora. Riscul inerent este riscul, care există înainte de a întreprinde anumite activităţi de control;
    Expunere la riscuri (gravitatea riscurilor, importanţa riscurilor) – evaluarea pericolului potenţial pentru obiectiv, reprezentat de evenimentele cu impact negativ în comparaţie cu oportunităţile ce pot fi generate de astfel de evenimente.     Această evaluare combină o evaluare atît a impactului asupra obiectivului, cît şi probabilitatea materializării riscului;
    Risc controlat – riscul, pentru care entitatea a implementat activităţi de control de atenuare a expunerii la riscuri, care includ acţiuni destinate să minimizeze efectele acestui risc;
    Toleranţa la riscuri (apetitul pentru risc) – limitele şi hotarele autorizate în mod adecvat de către management, care oferă fiecărui nivel de subordonare al entităţii o direcţie clară cu privire la nivelul şi limitele de riscuri, pe care aceştia pot să şi le asume;
    Risc rezidual – expunerea la risc, rămasă după implementarea activităţilor de control.
    După determinarea obiectivelor, managerii de toate nivelurile:
    - identifică riscurile posibile, din surse interne şi externe, ce pot afecta atingerea obiectivelor (după caz, realizarea acţiunilor / subacţiunilor), identifică domeniile principale de activitate ce pot fi afectate;
    - evaluează riscurile şi nivelul de „expunere la riscuri” în raport cu obiectivele (după caz, acţiunile / subacţiunile, în dependență de complexitatea obiectivului);
    - evaluează măsura, în care riscurile sînt şi / sau trebuie să fie controlate de activităţile de control existente, în dependenţă de toleranţa la riscuri;
    - monitorizează şi raportează riscurile, precum şi măsura în care acestea sunt controlate, inclusiv prin analiza funcţionalităţii şi costului activităţilor de control.
    Entitatea publică ia în consideraţie activităţile vulnerabile care, prin specificul lor, presupun riscuri sporite de corupţie şi, după caz, planurile de integritate aprobate pentru excluderea sau diminuarea factorilor instituţionali care favorizează sau pot favoriza corupţia.
    În registrul riscurilor se includ în mod obligatoriu riscurile de corupţie, iar mecanismele de prevenire şi înlăturare a riscului din planul de integritate, în cazul existenţei acestuia, se includ sub forma activităţilor de control.
    Entităţile publice elaborează, după caz, Registre ale riscurilor separate aferente proiectelor strategice / investiţionale.
    Managerii elaborează un mecanism adecvat de management al riscurilor în cadrul entităţii publice, în dependenţă de complexitatea şi dimensiunea acesteia, care poate include:
    - desemnarea unui sau mai multor angajaţi, responsabili de identificarea, înregistrarea, evaluarea, controlul, monitorizarea şi raportarea riscurilor;
    - instituirea unui Comitet pentru riscuri (grup de lucru), responsabil de identificarea, înregistrarea, evaluarea, controlul, monitorizarea şi raportarea riscurilor.
    Conţinutul
    Entitatea publică iniţiază activităţi de control, care echilibrează costul controlului cu riscurile implicate. Activităţile de control se organizează şi se realizează în toate procesele operaţionale la toate nivelurile entităţii. Personalul entităţii, inclusiv managerul entităţii şi managerii operaţionali, efectuează activităţi de control, care includ proceduri de autorizare şi aprobare, segregare a sarcinilor, verificări, supravegheri, reconcilieri, documentare şi descriere a proceselor, fără a se limita la acestea. În cadrul proceselor operaţionale se realizează activităţi de control eficiente din punct de vedere al costului, care pot fi, în dependenţă de momentul efectuării, controale ex-ante (preventive), curente şi ex-post (de detectare).
    Note explicative
    Pentru ca entitatea publică să evalueze eficacitatea sistemului de control intern din punct de vedere al costurilor, aceasta trebuie să înţeleagă:
    - gama de activităţi de control existente;
    - care obiective trebuie să fie atinse;
    - beneficiile controalelor ex-ante, curente şi ex-post.
    Gama activităţilor de control include:
    a) controale generale;
    b) controale ale aplicaţiilor;
    c) controale specifice entităţii.
    (a) Controalele generale reprezintă cele mai răspîndite forme de control, ce pot fi identificate în majoritatea sistemelor de control intern. Controalele generale includ autorizări şi aprobări, divizare a sarcinilor, supraveghere a activităţii şi raportare a excepţiilor.
    Autorizarea şi aprobarea presupune aprobarea şi/sau autorizarea acţiunilor sau tranzacţiilor, precum şi verificările ulterioare într-un sistem, care indică că o asemenea aprobare sau autorizare a avut loc. Aceste activităţi de control urmăresc să atingă obiectivele tipice, şi anume: „Toate tranzacţiile procesate sînt aprobate”; „Tranzacţiile sînt autorizate în mod corespunzător şi în conformitate cu împuternicirile delegate stabilite”.
    Supravegherea activităţii reprezintă controalele manageriale de bază, aplicate la supravegherea activităţii subordonaţilor. Supravegherea constă în asigurarea faptului că:
    - obligaţiile şi responsabilităţile angajaţilor sînt stabilite în scris, în manuale de proceduri, instrucţiuni şi fişe ale postului;
    - personalul este competent în îndeplinirea sarcinilor încredinţate, iar în caz de necesitate, i se oferă instruire şi suport la locul de muncă;
    - verificările periodice sînt efectuate pentru a evalua dacă sarcinile se execută în modul planificat.
    Controalele de supraveghere sînt efectuate cu scopul ca personalul să înţeleagă importanţa şi relevanţa acţiunilor sale.
    Raportarea excepţiilor reprezintă controalele, care prevăd raportarea excepţiilor de la procedurile standard, examinate ulterior de către superiori şi includ rapoartele emise de sisteme computerizate ce resping tranzacţiile suspecte sau atipice din procedura obişnuită de procesare şi care necesită intervenţie manuală separată, precum şi alte raportări ale personalului privind semnalarea unor neregularităţi. Controalele bune de raportare a excepţiilor şi neregularităţilor permit managerilor să definească acele acţiuni sau tranzacţii ce implică cel mai mare risc şi pe care managerii vor să le examineze personal. Rapoartele privind excepţiile şi neregularităţile oferă probe directe, precum că activităţile de control funcţionează, deşi acţiunea de urmărire ulterioară din partea managerului este totuşi necesară pentru a întreprinde măsurile ce se impun.
    Entitatea publică instituie mecanisme şi proceduri / obligații de raportare a suspiciunilor de fraudă și corupție.
    (b) Controalele aplicaţiilor reprezintă controale, ce apar în sisteme care generează un volum mare de date sau vizează activele fizice, cum ar fi inventarul. Controalele aplicaţiilor includ accesul la resurse, verificări şi reconcilieri.
    Accesul la resurse reprezintă controalele, care tind să limiteze accesul persoanelor la:
    - domenii de introducere a datelor;
    - funcţiile de procesare electronică;
    - înregistrări electronice;
    - informaţii confidenţiale;
    - stocuri de materiale.
    Controalele de acces includ atît bariere fizice, cît şi electronice.
    Verificările reprezintă controalele, ce compară validitatea unei tranzacţii sau a unui grup de tranzacţii cu informaţia din afara sistemului de control intern. Ca exemplu, sînt controalele prin verificarea fizică (vizualizarea) a activelor ce asigură faptul că activele enumerate într-un registru de inventar (cum ar fi computerele) există de fapt - inventarierea activelor.
    Reconcilierile reprezintă controalele, ce compară două seturi independente de date, pentru a determina plenitudinea tranzacţiilor procesate. Reconcilierile sînt cel mai des utilizate la verificarea tranzacţiilor, şi anume faptul că „Sumele incluse în registrele şi înregistrările unei entităţi corespund cu sumele achitate sau încasate de bancă”. Entităţile trebuie să fie conştiente de controalele false de reconciliere, ce pot apărea în cazul cînd două rapoarte diferite sînt comparate din punct de vedere a corectitudinii, dar de fapt provin din acelaşi set de date originale şi vor corespunde întotdeauna.
    (c) Controalele specifice entităţii reprezintă controalele aferente domeniului specific de activitate al entităţii publice. Spre exemplu, o entitate responsabilă de gestionarea materialelor periculoase poate avea un şir de activităţi suplimentare de control ce ţin de depozitarea şi utilizarea acestor materiale.
    Controalele pot fi clasificate şi examinate din perspectiva timpului cînd activitatea de control este realizată de fapt, şi anume:
    - controalele ex-ante – controale aplicate înainte de întreprinderea unei acţiuni de către manageri, spre exemplu: achitarea unei facturi, încheierea unui contract etc. Controalele ex-ante sînt orientate spre prevenirea greşelilor, erorilor şi neregularităţilor şi sînt numite adesea controale de prevenire.
    - controalele curente – controale care se organizează în timpul unei operaţiuni pentru detectarea şi excluderea erorilor sau neregularităţilor;
    - controalele ex-post – controale efectuate după realizarea unei acţiuni şi au ca scop detectarea în retrospectivă a faptului dacă au fost comise greşeli, erori sau neregularităţi, fiind numite controale de detectare. O trăsătură de bază a controalelor ex-post este că, acestea oferă probe asupra faptului dacă controalele de prevenire şi curente din cadrul unui sistem au funcţionat în mod eficient. Exemple de controale ex-post (de detectare): inventarierea anuală a activelor; reconcilierile bancare / trezoreriale lunare, verificarea înregistrărilor contabile de către management, verificarea inopinată a disponibilităţilor de numerar etc.
    Entitatea asigură un echilibru potrivit între controalele menite să prevină erorile ce pot apărea şi controalele menite să verifice ex-post nivelul de corectitudine şi conformitate atins în realitate.
    Un sistem MFC, menit să prevină toate erorile şi neregularităţile, inevitabil, va trebui să aibă mai multe niveluri de control şi prin urmare, un volum semnificativ de activităţi de control similare, care în 99% din cazuri vor fi inutile. Acesta, în consecinţă, va fi foarte costisitor de implementat.
    Deciziile privind echilibrul între controalele ex-ante şi ex-post vor fi luate, ţinînd cont de:
    - natura şi semnificaţia riscului ce trebuie ţinut sub control;
    - cost-eficacitatea opţiunilor disponibile.
    Procedurile, care nu sînt susţinute de o activitate de control, nu oferă nici o valoare adăugată privind realizarea obiectivelor. Totuşi, ar putea exista un efect de descurajare, deoarece se presupune că persoana, care realizează o procedură, îndeplineşte o acţiune de control.
    Este posibil ca o activitate de control să funcţioneze eficace într-o anumită formă de examinare selectivă sau aleatorie a documentelor şi/sau datelor supuse controlului. Pentru a respecta cerinţele SNCI, nu este necesar de a verifica fiecare document sau date, în cazul în care riscul de eroare sau greşeală este evaluat ca fiind redus.
    Conţinutul
    Entitatea publică întocmeşte descrieri grafice şi / sau narative ale proceselor de bază, pentru a determina cel mai econom şi eficient mod de a gestiona riscurile identificate şi de a atinge obiectivele stabilite.
    Note explicative
    Documentarea procesului este o activitate, prin intermediul căreia managerii determină cel mai eficient mod, din punct de vedere al costurilor de prevenire a riscurilor pentru activităţile operaţionale ale acestora.
    Documentarea procesului începe cu pregătirea unei descrieri a procesului în cauză, care trebuie să fie suficient de detaliată pentru a identifica principalele riscuri şi activităţi de control, ce vor fi utilizate pentru a preveni aceste riscuri. Utilizînd această descriere, personalul entităţii publice ulterior identifică şi înregistrează principalul flux de documente şi/sau date, precum şi activităţile de control întreprinse în cadrul întregului proces.
    Documentarea proceselor asigură continuitatea activităţii, indiferent de fluxul de personal şi este actualizată permanent. Lipsa, incompletitudinea sau neactualizarea acesteia influenţează gradul de atingere a obiectivelor entităţii.
    La etapa de documentare a proceselor trebuie determinată diferenţa dintre procedurile şi procesele din cadrul entităţii publice. Pentru a stabili claritate în SNCI, aceste concepte importante sînt definite în felul următor:
    procedură – un ansamblu de reguli şi/sau o acţiune întreprinsă de o persoană pentru a oferi probe, precum că o acţiune legală sau normativă a fost realizată, spre exemplu, semnătura oficială a unui angajat desemnat pe un document ce permite efectuarea unei plăţi;
    proces – o succesiune de activităţi, logic structurată într-o anumită perioadă, care utilizează anumite resurse, adăugîndu-le valoare, oferă un produs şi ating un obiectiv definit.
Timpul dedicat documentării proceselor din cadrul entităţii publice trebuie să reflecte importanţa sistemului MFC. Procesele de bază trebuie documentate pe deplin utilizînd descrierea grafică şi/sau narativă a activităţii, care ulterior vor fi utilizate la evaluarea eficacităţii sistemului MFC. Procesele minore şi de o importanţă doar periferică trebuie documentate utilizînd descrieri succinte.
    Conţinutul
    Entitatea publică asigură faptul că funcţiile de iniţiere a unei tranzacţii cu consecinţe financiare şi de verificare a validităţii tranzacţiei finale sînt separate. Entitatea publică elaborează şi implementează o politică adecvată privind funcţiile sensibile.
    Note explicative
    Un concept fundamental al sistemului de control intern este ca obligaţiile şi responsabilităţile din cadrul unei entităţi să fie organizate în aşa mod, încît nu doar o singură persoană să poată supraveghea toate aspectele procesării unei tranzacţii individuale, astfel ca să existe o divizare adecvată a obligaţiilor. În acest fel, se reduce considerabil riscul de eroare, fraudă sau încălcare.
    Divizarea obligaţiilor şi responsabilităţilor presupune, în primul rînd, existenţa unor persoane sau unităţi separate responsabile de:
    - autorizarea plăţilor pentru bunuri şi servicii;
    - efectuarea plăţilor necesare în conformitate cu documentaţia corespunzătoare, spre exemplu, un contract semnat.
    Nu există limite pentru numărul de responsabili de autorizare sau certificare în cadrul unei entităţi.
    Conceptul a „două perechi de ochi” este în realitate un nivel minim de divizare a obligaţiilor preconizate în entităţile publice. Majoritatea entităţilor dispun de alţi angajaţi şi unităţi structurale implicate în procesarea tranzacţiilor financiare, spre exemplu, subdiviziuni structurale de achiziţii implicate în emiterea contractelor, subdiviziuni separate pentru efectuarea încasărilor bancare / trezoreriale şi reconcilierilor dintre conturile bancare / trezoreriale etc.
    Nivelul de divizare adecvată a obligaţiilor variază în funcţie de dimensiunea şi complexitatea entităţii. În entităţile mici ar putea fi imposibil de a diviza aceste sarcini cheie. Totuşi, asemenea entităţi sînt adesea executori de buget de nivel inferior, responsabili de raportarea performanţelor către o entitate bugetară de nivel superior, care ar putea institui o formă oarecare de control general asupra acţiunilor de la nivelul de mai jos.
    În entităţile mai mari acest lucru este mult mai uşor de realizat.
    Divizarea obligaţiilor poate fi realizată şi prin implicarea unor entităţi separate în procesarea diferitor părţi ale tranzacţiei, spre exemplu, funcţia centralizată de efectuare a plăţilor prin sistemul trezorerial al Ministerului Finanţelor.
    Entitatea publică identifică funcţiile considerate ca fiind sensibile şi stabileşte o politică de rotaţie pe cît este posibil a angajaţilor care ocupă astfel de funcţii.
    O funcţie este considerată ca fiind sensibilă dacă, de regulă, prezintă riscuri semnificative de delapidare / fraudă / corupţie. De asemenea, se consideră a fi funcţii sensibile posturile care au atribuţii de control, efectuează activitatea în relaţie directă cu beneficiarul (cetăţeni sau agenţi economici).
    Entitatea publică întocmeşte lista funcţiilor sensibile şi lista salariaţilor care ocupă funcţii sensibile.
    Conţinutul
    Entitatea publică stabileşte principalele surse de informaţii necesare managerilor şi angajaţilor pentru îndeplinirea atribuţiilor, precum şi cantitatea, calitatea, periodicitatea, sursa şi destinatarii informaţiilor, acţiunile necesare pentru producerea, transmiterea şi primirea operativă a informaţiilor respective.
    Note explicative
    Un sistem de control intern eficace necesită colectarea şi utilizarea informaţiilor din diferite surse şi trebuie să evalueze riscurile, să monitorizeze eficacitatea activităţilor de control şi să evalueze dacă entitatea îşi realizează obiectivele.
    Entitatea determină informaţiile de care are nevoie pentru a corespunde cerinţelor sistemului MFC şi sistemele informaţionale ce vor produce informaţiile operaţionale, financiare şi referitoare la conformitate, care permit gestionarea şi controlul entităţii.
    Entitatea colectează informaţii despre evenimentele, activităţile şi condiţiile externe necesare pentru procesul de luare a deciziilor, în special, cu privire la riscuri, precum şi raportarea externă a performanţelor entităţii.
    Managerii examinează cu atenţie următoarele aspecte ale informaţiilor:
    calitatea – dacă informaţiile corespund standardelor preconizate din punctul de vedere al corectitudinii şi plenitudinii, precum şi dacă sursa şi fiabilitatea informaţiei este percepută;
    cantitatea – dacă volumul de informaţii oferit este relevant pentru persoana care trebuie să le utilizeze. În timp ce personalul operaţional poate necesita rapoarte detaliate, managerii operaţionali trebuie în mod normal să dispună de informaţii în formă agregată, percepută şi utilizată cu uşurinţă;
    periodicitatea – cît de frecvent managerii şi personalul au nevoie de informaţii pentru a lua deciziile sau a întreprinde acţiunile necesare. Colectarea şi diseminarea informaţiilor costă şi acest cost trebuie echilibrat cu utilitatea acesteia. Spre exemplu, într-un sistem ce procesează plăţi în fiecare zi informaţiile, ce ţin de excepţiile care necesită intervenţie sau aprobare manuală, vor fi necesare zilnic, iar informaţiile despre numărul total de excepţii procesate pot fi puse, o dată pe lună, la dispoziţia managerilor operaţionali;
    producător şi destinatar – cine va elabora şi cine va primi informaţiile necesare.
    Informaţia trebuie să fie corectă, clară, completă, utilă şi uşor de înţeles, precum şi să beneficieze de o circulaţie rapidă, inclusiv din exterior.
    Conţinutul
    Entitatea publică creează un sistem eficient şi eficace de comunicare internă şi externă, care asigură o circulaţie rapidă, completă şi în termen a informaţiilor, atît pe orizontală, cît şi pe verticală, şi invers pentru exercitarea de către angajaţi a atribuţiilor de serviciu.
    Note explicative
    Informaţia este forţa motrice a unui sistem eficace MFC. Entitatea trebuie să se asigure că nu există bariere, ce împiedică oferirea de informaţii personalului, pentru ca aceştia să-şi poată îndeplini atribuţiile.
    Comunicarea eficientă într-o entitate trebuie realizată atît pe orizontală, cît şi pe verticală, de sus în jos şi invers.
    Managerii entităţii transmit un mesaj clar angajaţilor, precum că responsabilităţile ce ţin MFC trebuie abordate cu seriozitate. Angajaţii trebuie să înţeleagă rolul pe care-l au în sistemul MFC, precum şi legătura între activităţile lor şi activităţile celorlalţi angajaţi.
    Angajaţii trebuie să dispună de mijloace de comunicare a informaţiilor semnificative și proceduri stabilite pentru raportarea neregulilor, fraudelor și actelor de corupție către manageri.
    Trebuie să existe o comunicare eficace şi cu părţile externe, spre exemplu beneficiarii bunurilor şi serviciilor publice.
    Conţinutul
    Entitatea publică studiază mediul intern și extern în vederea identificării unor schimbări.
    Entitatea publică monitorizează continuu realizarea eficace a activităţilor de control şi măsura în care acestea diminuează riscurile identificate.
    Note explicative
    Monitorizarea continuă se efectuează pe parcursul operaţiunilor şi include activităţi adecvate de supraveghere şi management, precum şi alte acţiuni întreprinse de către personalul entităţii în îndeplinirea sarcinilor.
    Monitorizarea este necesară pentru a asigura funcţionarea eficace a sistemului MFC şi constituie principalul mijloc de a garanta calitatea activităţilor de control realizate.
    Monitorizarea presupune supravegherea sistematică a activităţilor de control. Nivelul de supraveghere variază în dependenţă de competenţa personalului ce efectuează controalele, importanţa controlului pentru eficacitatea sistemului şi natura riscurilor. Spre exemplu, un angajat pentru care o anumită activitate de control este nouă trebuie să fie supravegheat mai mult decît altul ce deţine experienţă în realizarea MFC. Majoritatea activităţilor de control includ multe verificări, unele (adesea numite controale cheie) sînt mai importante decît altele şi necesită un nivel mai înalt de supraveghere.
    În afară de supravegherea sistematică, managerii pot efectua verificări inopinate privind modul în care funcţionează un sistem, ca mijloc de asigurare a faptului că activităţile respective sînt supravegheate în mod eficient.
    Un rol important de monitorizare ţine de verificările realizate pentru asigurarea faptului că angajaţii dispun de manuale, instrucţiuni şi îndrumări actualizate pentru a se ghida în procesul de efectuare a MFC. Un angajat fără instrucţiuni sigure nu va efectua un MFC în modul în care acesta a fost planificat.
    Conţinutul
    Entitatea publică efectuează evaluări periodice ale eficacităţii sistemului MFC, inclusiv prin intermediul funcţiei de audit intern, organizată în mod corespunzător.
    Note explicative
    Sistemul MFC necesită revizuiri fundamentale pentru a verifica dacă trebuie actualizat, spre exemplu:
    - pentru a aborda riscurile identificate recent;
    - pentru a reflecta modificarea obiectivelor operaţionale şi a activităţilor aferente;
    - pentru a reconfirma presupunerile iniţiale ale controlului.
    Evaluările separate sunt efectuate o dată la 2-3 ani pentru întreg sistemul MFC.