+ All Categories
Home > Documents > Metodologia Audit Intern

Metodologia Audit Intern

Date post: 04-Aug-2015
Category:
Upload: rzvnmail
View: 90 times
Download: 4 times
Share this document with a friend
62
METODOLOGIA PRIVIND MISIUNEA DE AUDIT PUBLIC INTERN 1. Pregătirea misiunii de audit intern Pregătirea misiunii de audit public intern consta în: Întocmirea şi aprobarea ordinului de serviciu; Declararea independenţei auditorilor interni; Notificarea privind declanşarea misiunii de audit public intern; Colectarea şi prelucrarea informaţiilor; Identificarea obiectivelor auditabile. Ordinul de serviciu: Ordinul de serviciu este un mandat acordat de către o autoritate calificată în vederea începerii unei misiuni. Ordinul de serviciu pentru desfăşurarea activităţii de către auditorii interni în realizarea misiunilor de audit: Se emite de şeful compartimentului de audit public intern, pe baza planului de audit public intern aprobat de conducătorul entităţii publice; Reprezintă mandatul de intervenţie dat de către compartimentul de audit public intern; Repartizează sarcinile de serviciu auditorilor interni, aşa încât să poată demara misiunea de audit public intern ; Prevede în mod explicit: scopul, obiectivele, tipul de audit public intern, durata auditului public intern, nominalizarea echipei de auditare. Procedura: Şeful compartimentului de audit public intern: repartizează sarcinile de serviciu pe fiecare auditor în parte; Întocmeşte ordinul de serviciu pe baza planului anual de audit public intern; Personalul de secretariat: aloca un număr Ordinului de serviciu; asigură copii ale Ordinului de serviciu fiecărui membru al echipei de audit;
Transcript
Page 1: Metodologia Audit Intern

METODOLOGIA PRIVIND MISIUNEA DE AUDIT PUBLIC INTERN1. Pregătirea misiunii de audit intern

Pregătirea misiunii de audit public intern consta în:

Întocmirea şi aprobarea ordinului de serviciu;

Declararea independenţei auditorilor interni; Notificarea privind declanşarea misiunii de audit public intern; Colectarea şi prelucrarea informaţiilor; Identificarea obiectivelor auditabile.

Ordinul de serviciu:Ordinul de serviciu este un mandat acordat de către o autoritate calificată în vederea începerii unei misiuni.

Ordinul de serviciu pentru desfăşurarea activităţii de către auditorii interni în realizarea misiunilor de audit:

Se emite de şeful compartimentului de audit public intern, pe baza planului de audit public intern aprobat de conducătorul entităţii publice;

Reprezintă mandatul de intervenţie dat de către compartimentul de audit public intern;

Repartizează sarcinile de serviciu auditorilor interni, aşa încât să poată demara misiunea de audit public intern ;

Prevede în mod explicit: scopul, obiectivele, tipul de audit public intern, durata auditului public intern, nominalizarea echipei de auditare.

Procedura: Şeful compartimentului de audit public intern: repartizează sarcinile de serviciu pe

fiecare auditor în parte; Întocmeşte ordinul de serviciu pe baza planului anual de audit public intern; Personalul de secretariat: aloca un număr Ordinului de serviciu; asigură copii ale

Ordinului de serviciu fiecărui membru al echipei de audit; Auditorii iau la cunoştinţă de Ordinul de serviciu şi de sarcinile repartizate.

2 Declaraţia de independenţă:Auditorii de audit public intern nu trebuie să fie supuşi imixtiunilor externe începând

de la stabilirea obiectivelor auditabile, realizarea efectivă a lucrărilor până la comunicarea rezultatelor acestuia.

Auditorii interni aleşi pentru realizarea unei misiuni de audit public intern întocmesc o declaraţie de independentă, cu scopul de a demonstra independenţa faţă de entitatea auditată.

Pentru desemnarea auditorilor interni în vederea efectuării misiunii de audit public intern se verifică incompatibilităţile personale. Un auditor nu este desemnat acolo unde

Page 2: Metodologia Audit Intern

există incompatibilităţi personale, decât dacă repartizarea lui este necesară şi pe baza unei justificări din partea conducătorului Compartimentului de audit public intern. Dacă în timpul efectuării misiunii de audit public intern apare o incompatibilitate, reală sau presupusa, auditorii au obligaţia să informeze de urgenţă conducerea.

ProceduraA) auditorii completează declaraţia de independentă;

B) şeful compartimentului de audit public intern verifica declaraţia de independentă; identifică incompatibilitatea semnalată de către auditori şi stabileşte modalitatea în care aceasta poate fi atenuată; aprobă declaraţia de independentă;

C) auditorii: îndosariază declaraţia de independentă în dosarul de audit, informează de urgenţă conducerea dacă în timpul misiunii apare o incompatibilitate reală sau presupusa.

3. Notificarea privind declanşarea misiunii de audit public intern

Compartimentul de audit public intern notifica entitate/structură care va fi auditata, cu 15 zile înainte de declanşarea misiunii de audit public intern, despre scopul, principalele obiective şi durata acestuia. În notificare se precizează, de asemenea, tematica de detaliu, precum şi faptul că pe parcursul misiunii vor avea loc intervenţii la faţa locului al căror program se va stabili ulterior, de comun acord.

4. Colectarea şi prelucrarea informaţiilor.

A. Accesul auditorilor interni la informaţii şi documente.Auditorii interni au acces la toate datele şi informaţiile utile şi probante, inclusiv la cele existente în format electronic, pe care le considera relevante pentru scopul şi obiectivele misiunii de audit public intern precizate în ordinal de serviciu. Personalul de conducere şi de execuţie din structura auditata are obligaţia să ofere documentele şi informaţiile solicitate, în termenele stabilite, precum şi sprijinul necesar desfăşurării în bune condiţii a auditului public intern.

B.Colectarea informaţiilor.Colectarea este, în fapt, pregătirea informaţiilor în vederea efectuării analizei de risc şi pentru identificarea informaţiilor necesare, fiabile, pertinente şi utile pentru a atinge obiectivele misiunii de audit public intern.

C.Prelucrarea informaţiilorPrelucrarea informaţiilor consta în analiza:

Entităţii auditate şi activităţii sale: organigrama, regulamente de funcţionare, fise ale posturilor, circuitul documentelor;

Cadrului normativ ce reglementează activitatea entităţii;

Page 3: Metodologia Audit Intern

Factorii susceptibili de a împiedica bună desfăşurare a misiunii de audit public intern; Rezultatelor controalelor precedente;Informaţiile externe referitoare la entitatea auditata.

D.Procedura privind colectarea şi prelucrarea informaţiilorA)- Auditorii:

Identifică legile şi regulamente aplicabile entităţii auditate; Obţin organigrama, regulamentele de funcţionare, fise ale posturilor, Proceduri

scrise ale entităţii auditate; Identifică personalul responsabil şi circuitul documentelor; Obţin exemplare ale rapoartelor de audit anterioare; Adună date statistice asupra performanţei pentru a-i sprijini în faza de analiză a

riscului; Se familiarizează cu activitatea entităţii auditate.B) conducătorul Compartimentului de audit public intern:

Revede documentaţia; Organizează o şedinţă pentru identificarea obiectivelor auditabile şi a criteriilor de

analiza de risc; Reevaluează stabilirea obiectivelor, a scopului auditului şi a Metodologiei.

5. Identificarea obiectelor auditabileIdentificarea obiectelor auditabile se realizează în 3 etape:

A) detalierea fiecărei activităţi în operaţii succesive descriind procesul de la realizarea acestei activităţi până la înregistrarea ei;

B) definirea pentru fiecare operaţiune în parte a condiţiilor pe care trebuie să le îndeplinească din punct de vedere al controalelor specifice şi al riscurilor aferente, ce trebuie să fie evitate;

C) determinarea modalităţilor de funcţionare necesare pentru că entitatea să atingă obiectivul şi să elimine riscul.

Lista centralizatoare a obiectivelor auditabile, definite sub aspectele caracteristicilor specifice şi ale riscurilor asociate, constituie suportul analizei riscurilor.

6. Analiza riscurilorRiscul este posibilitatea de a se produce un eveniment susceptibil de a avea un impact

asupra realizării obiectivelor. Riscul se măsoară în termeni de consecinţe şi de probabilitate.

Riscul reprezintă orice eveniment, acţiune, situaţie său comportament cu impact nefavorabil asupra capacităţii entităţii publice de a realiza obiectivele.

Categorii de riscuri:

Riscuri de organizare: lipsa unor responsabilităţi precise; insuficientă organizare a resurselor umane; documentaţia insuficientă, neactualizarea;

Page 4: Metodologia Audit Intern

Riscuri operaţionale: neînregistrarea în rezultate ca urmare a riscului sau a consecinţelor justificative; lipsa unui control asupra operaţiilor cu risc ridicat;

Riscuri financiare: plati nesecurizate; nedetectarea operaţiilor cu risc financiar; Riscuri generate de schimbările legislative, structurale, manageriale.

Riscul are două componente şi se bazează pe două estimări:

Probabilitatea de apariţie, respective probabilitatea că riscul să revină; Nivelul impactului, respectiv gravitatea consecinţelor directe şi indirecte şi durata

acestora, se estimează gradul de gravitate al pierderii care poate să rezulte că urmare a riscului sau a consecinţelor.

Analiza riscurilor parcurge următoarele faze:

Analiza activităţii entităţii auditate; Identificarea şi evaluarea riscurilor inerente, respectiv a riscurilor de eroare

semnificativă a activităţilor entităţii auditate, cu incidentă asupra operaţiilor financiare;

Verificarea existenţei controalelor interne, a procedurilor de control intern, precum şi evaluarea acestora;

Evaluarea punctelor slabe, cuantificarea şi împărţirea lor pe clase de risc.Măsurarea riscului depinde de probabilitatea de apariţie a riscului şi de gravitatea

consecinţelor evenimentelor.

Probabilitatea de apariţie a riscurilor se măsoară prin utilizarea a două criterii:

Aprecierea vulnerabilităţii entităţii, exprimată pe trei nivele: redusă, medie, mare. Aprecierea controlului intern: corespunzător, insuficient, cu lipsuri grave.

Intervenţia la faţa loculuiIntervenţia la faţa locului consta în colectarea documentelor, analiza şi evaluarea

acestora şi cuprinde următoarele etape:

A) cunoaşterea activităţii procesului supus verificării şi studierea procedurilor aferente;

B) intervievarea personalului auditat;C) verificarea înregistrărilor contabile;D) analiza datelor şi informaţiilor;E) evaluarea eficienţei şi eficacităţii controlului intern;F) realizarea de testări;G) verificarea modului de realizare a corectării acţiunilor menţionate în auditările

precedente.

7. Tehnici de audit public internPrincipalele tehnici de audit public intern sunt: verificarea, observarea fizică, interviul

şi analiză.

1. Verificarea asigura validarea, confirmarea, acurateţea înregistrărilor, documentelor, declaraţiilor, concordanţă cu legile şi regulamentele, precum şi eficacitatea controlului intern.

Page 5: Metodologia Audit Intern

Tehnici de verificare: Comparatia: confirma identitatea unei informaţii după obţinerea acesteia din

două sau mai multe surse diferite; Examinarea: presupune urmărirea în special a detectării erorilor sau a

iregularităţilor; Recalcularea: Verificarea calculelor matematice; Confirmarea: solicitarea de informaţii din două sau mai multe surse independente

în scopul validării acesteia. Punerea de acord: procesul de potrivire a două categorii diferite de înregistrări; Garantarea: verificarea realităţii tranzacţiilor înregistrate prin examinarea

documentelor, de la articolul înregistrat spre documentele justificative.Urmărirea: reprezintă verificarea procedurilor de la documentele justificative spre articolul înregistrat. Scopul urmăririi este acela de a verifica toate tranzacţiile reale au fost înregistrate.

2. Observarea fizică: reprezintă modul prin care auditorii interni îşi formează o părere proprie.

3. Interviul: se realizează de către auditorii interni prin intervievarea persoanelor auditate.Informaţiile primite se confirma cu documente;

5. Analiza: consta în descompunerea unei entităţi în elemente, care pot fi izolate, identificate,Cuantificate şi măsurate corect.

Instrumente de audit public intern pentru colectarea dovezilor:

1)- Chestionarul: cuprinde întrebările pe care le formulează auditorii interni.

Tipuri de chestionare:A) Chestionarul de luare la cunoştinţa cuprinde întrebări referitoare la contextual socio-

economic, organizarea internă, funcţionarea entităţii auditate;B) Chestionarul de control intern; ghidează auditorii interni în activitatea de identificare

obiectivă a disfuncţiilor şi cauzelor reale ale acestor disfuncţii;C) Chestionarul – lista de verificare – este utilizat pentru stabilirea condiţiilor pe care să

le îndeplinească fiecare domeniu auditabil. Cuprinde un set de întrebări standard privind obiectivele definite, responsabilităţile şi metodele mijloacelor financiare, resursele umane existente;2. Tabloul de prezentare a circuitului auditului (pista de audit) permite:

A) Stabilirea fluxurilor informaţiilor, atribuţiilor şi responsabilităţilor referitoare la acestea;

B) Stabilirea documentaţiei justificative complete;C) Reconstituirea operaţiilor de la suma totală până la detalii individuale şi invers.

3. Fişa de identificare şi analiza problemelor (FIAS): se întocmeşte pentru fiecare disfuncţionalitate constatata. Fisa de identificare şi analiză a problemelor este un document sintetic care

prezintă o disfuncţie, indica natura problemei, faptele, cauzele, consecinţele şi recomandările pentru remediere. Este un document scris care analizează

Page 6: Metodologia Audit Intern

fiecare din funcţiile entităţii şi care prezintă la fiecare etapă posturile de lucru şi sarcinile. Acest document constituie, de asemenea, un element în atestările şi procedurile stabilite în programul de audit;

Apreciază dacă dovezile obţinute sunt suficiente, relevante, competente si folositoare.

Colectează documente pentru toată misiunea de audit; Pregătesc fişele de identificare şi analiză a problemelor; Transmit fişele de identificare şi analiza problemelor şefului compartimentului de

audit public intern;Îndosariază documentele utilizate în cadrul misiunii de audit.

Conducătorul Compartimentului de audit public intern: Analizează şi aprobă testele; Revede şi aprobă fişele de identificare şi analiza problemelor.

Auditorii: Etichetează, numerotează şi îndosariază testele şi fişele de identificare şi analiza

problemelor în dosarul permanent.Când auditorii ajung la concluzia, bazată pe fişele de identificare şi analiză a problemelor, că s-a comis o iregularitate, raportează cel mai târziu a doua zi conducătorului compartimentului de audit public intern prin transmiterea Formularului de constatare a iregularităţilor. Compartimentul de audit public intern informează în termen de 3 zile

Conducătorul entităţii publice şi structura de control abilitată pentru continuarea verificărilor.

8. Dosarele de audit public intern:Dosarele de audit public intern-prin informaţiile conţinute – asigură legătura între

sarcina de audit, intervenţia la faţa locului şi raportul de audit public şi stau la baza formulării concluziilor auditorilor interni.

Dosarul permanent cuprinde următoarele secţiuni: Secţiunea A- Raportul de audit public şi anexele acestuia:

Ordinul de serviciu; Declaraţia de independentă; Rapoarte: intermediar, final, sinteza recomandărilor; Fişele de identificare şi analiza problemelor; Formulare de constatare a iregularităţilor; Programul de audit.Secţiunea B – Administrativa:

Notificarea privind declanşarea misiunii de audit public intern; Minuta şedinţei de deschidere; Minuta şedinţei de închidere; Corespondentă cu entitatea auditaţi.Secţiunea C – Documentaţia misiunii de audit public intern:

Page 7: Metodologia Audit Intern

Strategii interne; Reguli, regularitate şi legi aplicabile; natura şi locaţia înregistrărilor contabile; Informaţii financiare; Rapoarte de audit public intern anterioare şi externe; Informaţii privind posturile – cheie/fluxuri de operaţii; Documentaţia analizei riscului.Secţiunea D – Supervizarea şi revizuirea desfăşurării misiunii de audit public intern şi a rezultatelor acestuia:

Revizuirea raportului de audit public intern; Răspunsurile auditorilor interni la revizuirea raportului de audit public intern.

Dosarul documentelor de lucruConcluziile, opiniile auditorului se fundamentează pe baza informaţiilor consemnate în documentele justificative (probe).

Informaţiile consemnate în documente justificative trebuie să fie:

Suficiente cantitativ şi calitativ imparţiale, astfel încât să poată fi considerate fiabile; Pertinente: să corespundă cu exactitate obiectivelor auditului; Cu un cost de obţinere rezonabil;Dosarul documentelor de lucru cuprinde copii xerox ale documentelor justificative şi extrase din documentele justificative care confirmă şi sprijină concluziile auditorilor interni.

9. Transmiterea rezultatelor. Şedinţa de închidere a intervenţiei la faţa locului

Fiecare misiune de audit public intern conduce la organizarea unei reuniuni de închidere, la faţa locului, prin care se realizează informarea responsabililor entităţii auditate asupra observaţiilor principale relevante, validarea acestor observaţii şi aplicarea primelor măsuri corective de către cei interesaţi. Intervenţia la faţa locului are drept scop prezentarea către entitatea auditată a opiniei auditorilor interni, a recomandărilor finale din proiectul Raportului de audit public intern şi a calendarului de implementare a recomandărilor. Se întocmeşte o minută a şedinţei de închidere.

Raportul de audit public intern: raportul intermediar şi raportul final, supravegherea misiunii de audit public intern, urmărirea recomandărilor.

Raportul de audit reprezintă opiniile scrise ale auditorului şi alte constatări, care se bazează pe un ansamblu de date financiare certe, rezultate dintr-un audit de regularitate sau deducţii ale auditului ca urmare a realizării unui audit de performanţă.

10. Elaborarea proiectului de raport de audit public intern (raport intermediar)

Proiectul de raport de audit public intern:A. se elaborează de auditorii interni la sfârşitul fiecărei misiuni de audit public intern;

Page 8: Metodologia Audit Intern

B. Reflectă: cadrul general, obiectivele, constatările, concluziile şi recomandările auditorilor publici interni;

C. Este însoţit de documente justificative.La elaborarea proiectului Raportului de audit public intern se au în vedere următoarele cerinţe:

Constatările să aparţină domeniului misiunii de audit public intern şi să fie susţinute prin documente justificative corespunzătoare;

Recomandările să fie în concordantă cu constatările şi să determine reducerea riscurilor potenţiale;

Raportul să exprime opinia auditorului intern, bazată pe constatările efectuate; Sa întocmească un document sintetic care prezintă o disfuncţie, indica natura

problemei, faptele, cauzele, consecinţele şi recomandările pentru remediere. Principiile ce se au în vedere în elaborarea proiectului Raportului de audit; Evitarea utilizării expresiilor imprecise, a limbajului abstract;. Promovarea unui limbaj cât mai uzual şi a unui stil de exprimare concret; Ierarhizarea constatărilor;

Structura raportului de audit public intern se compune din următoarele elemente:

Scopul şi obiectivele misiunii de audit public intern; Datele de identificare a misiunii de audit public intern: bază legală, ordinul de

serviciu, echipa de auditare, unitatea auditată durata acţiunii de auditare, perioada auditata;

Modul de desfăşurarea a acţiunii de audit public intern: sondaj, documentar, proceduri, metode şi tehnici în cursul acţiunii de audit public intern;

Constatări efectuate;

Concluzii şi recomandări; Documente anexe: note explicative, note de relaţii, acte.

11. Procedura privind elaborarea proiectului de raport de audit public intern;

Auditorii:Redactează proiectul raportului de audit utilizând formularul model;

Indica pentru fiecare constatare din proiectul raportului de audit dovada corespunzătoare;

Transmit conducătorului compartimentului de audit public intern proiectul raportului de audit, împreună cu dovezile constatărilor.

Conducătorul Compartimentului de audit public intern;Analizează Proiectul raportului de audit;

Stabileşte dacă proiectul în întregime sau doar părţi din acesta se transmit la compartimentul juridic pentru revizuirea din punct de vedere juridic.

Page 9: Metodologia Audit Intern

Auditorii:Efectuează schimbările propuse de către conducătorul compartimentului de audit public intern;

Îndosariază proiectul de raport de audit, incluzând corecţiile aprobate de conducătorul compartimentului de audit intern.

12. Transmiterea proiectului de audit public intern la structura auditata :Proiectul de Raport de audit public intern se transmite la structura auditata, care

poate trimite în maximum 15 zile de la primire punctele sale de vedere. Punctele de vedere primite se analizează de către auditorii interni.

Procedura:Conducătorul Compartimentului de audit public intern transmite proiectul de Raport de audit la entitatea auditata;

Unitatea auditata;Analizează proiectul de Raport de audit; Solicita dacă este cazul, o reuniune de conciliere; Transmite punctul de vedere la proiectul Raportului de audit în termen de 15 zile de

la primirea proiectului de raport de audit.Auditorii, conducătorul Compartimentului de audit public intern

Revad răspunsurile de la entitatea auditata; Discuta, dacă este cazul, pregătirea unei reuniuni de conciliere.Auditorii:

Precizează în Raportul de audit aspectele reţinute din punctul de vedere al entităţii auditate, dacă este cazul;

Îndosariază punctul de vedere al entităţii auditate.

13. Reuniunea de conciliereÎn termen de 10 zile de la primirea punctelor de vedere ale entităţii auditate la

proiectul Raportului de audit, compartimentul de audit public intern - prin auditorii interni - organizează reuniunea de conciliere cu structura auditata.

Procedura:A) pregătesc, în termen de 10 zile de la primirea punctului de vedere de la entitatea

auditata, reuniunea de conciliere;B) informează entitatea auditata asupra locului şi datei reuniunii de conciliere;C) întocmesc o mânuţă a reuniunii de conciliere.

14. Raportul de audit public intern finalRaportul de audit se prelucrează pentru redactarea finală şi tipărire. Raportul de audit

trebuie să fie complet şi să includă şi punctul de vedere al entităţii.

Page 10: Metodologia Audit Intern

Auditorii sunt responsabili pentru asigurarea unei prezentări de înaltă calitate a Raportului de audit şi întocmirea unei liste corecte şi complete de difuzare.

Procedural auditorii:

Constată că toate modificările aprobate la proiectul de Raport sunt efectuate; Finalizează raportul; Constată lista de difuzare dacă este completă.

15. Supervizarea misiunii de audit public internProcedura de supervizare:

Auditorii prezintă conducătorului Compartimentului de audit public intern documentele din dosarul permanent al misiunii de audit public intern.

Conducătorul Compartimentului de audit public intern:

Oferă instrucţiunile necesare derulării misiunii de audit public intern; Verifică executarea corectă a Programului de audit public Intern; Verifică existenţa elementelor probante; Verifică dacă redactarea Raportului de audit public intern este Exactă, clară şi

concisa; Verifică dacă Raportul de audit public intern este elaborate.

16. Difuzarea raportului de audit public internRaportul de audit public intern finalizat:

Se trimit, împreună cu rezultatul reconcilierii şi punctul de vedere al entităţii auditate, de către compartimentului de audit public intern, conducătorului entităţii publice care a aprobat misiunea, pentru analiză şi avizare. Pentru instituţia publică, Raportul de audit public intern se transmite spre avizare conducătorului acesteia.

După avizarea recomandărilor cuprinse în Raportul de audit public intern, acestea se comunica structurii auditate;

Structura auditată informează compartimentul de audit public asupra modului de implementare a recomandărilor, incluzând un calendar al acestora.

STUDIU DE CAZ: SC TELSIM SRL

I. DESCRIEREA SOCIETATII

Page 11: Metodologia Audit Intern

SC TELSIM SRL

Societatea Telsim SRL a fost infiintata in anul 2001 si are ca obiect de activitate comercializarea produselor si accesoriilor de telefonie mobila si fixa. Societatea lucreza in parteneriat cu Orange Romania si incheie contracte de telefonie mobila in numele acesteia pe langa obiectul sau de activitate principal.

Societatea are sediul social in Bucuresti si are 24 de magazine de desfacere in marile orase ale tarii.

In prezent firma are 58 de angajati din care 48 sunt agenti de vanzari si isi desfasoara activitatea la magazinele de desfacere din tara, iar restul se ocupa cu problemele financiar contabile la sediul social din Bucuresti.

Sistemul informatic al firmei este format la sediul din Bucuresti dintr-o retea LAN ce contine un server si 9 puncte de lucru. Punctele de lucru sunt conectate la server printr-un swich cu 16 porturi UTP, 10/100 Mbps marca ALLIED TELESYN. La magazinele din tara exista un singur punct de lucru conectat la reteaua Internet. Conexiunea de Internet de la sediul central si de la toate punctele de lucru din tara este de tip FiberLink cu linii securizate frnizata de firma RDS. Toti angajatii firmei au acces nelimitat la Internet.

Din punct de vedere al performantei calculatoarele prezinta urmatoarele caracteristici:

Server: Procesor Pentium IV 2,4 GHz, carcasa 400W MIDI ATX P4, 40 GB HDD,

512 MB RAM , CD-ROM 52x Sony, Video Intel 845, slot AGP, placa de retea UTP

10/100Mbps PCI, USB, FDD

14 calculatoare achizitionate in anul 2001 de la firma AMD Computers

repartizate de la magazinele din tara: Procesor CELERON 1,7 MHz, 20 GB HDD,

128 RAM, CD-ROM 52x , placa de sunet, placa de retea 10/100 Mbps, USB, placa

de baza ASUS P4P800S, video MATROX 16 MB, CARCASA TOWER.

10 calculatoare achizitionate in 2004 de la firma Ultra Pro Computers repartizate

la magazinele din tara: procesor Intel Pentium IV 2.0 Ghz, carcasa Microtower,

256 RAM, 40 GB HDD, CD-ROM 52x, placa de sunet, placa de retea, USB, placa de

baza Intel 945G, video Intel Graphics Media Accelerator 950.

9 calculatoare achizitionate in anul 2006 folosite la sediul din Bucuresti: Procesor

Intel Pentium IV 4,3 Ghz, carcasa Middletower, placa de baza Asrock 775I65G, 80

GB HDD, 512 RAM, placa de sunet integrata, placa de retea integrata, USB,

Unitate optica Combo CD-RW/DVD, video integrat.

24 imprimante cu jet Canon, PIXMA iP4200 utilizate la magazinele din tara

O imprimanta matriciala EPSON LX-1170 II utilizata la sediu

Page 12: Metodologia Audit Intern

O imprimanta laser alb-negru HP LJ-1320N conectata la reteauza de la sediu.Severul si calculatoarele de la sediu sunt conectate la 3 UPS Guard GS 500A, 500 VA

cu urmatoarele caracteristici: protectiectie la fulgere, tehnologie interactiva de control a liniei prin intermediul microprocesorului, LED uri indicatoare, capabilitati de economisire a energiei, reglaj automat al volatajului (AVR), Genius Battery Management (GBM), pornire la rece.

Reteaua de la sediu este administrata de catre un specialist in domeniu care se ocupa si de configurarea si buna functionare a calculatoarele de la punctele de lucru din tara.

Toate punctele de lucru utilizeaza ca sistem de operare Windows XP, in timp ce serverul utilizeaza sistemul de operare Linux. Utlizatorii Windows mai folosesc si urmatoarele programe: Microsoft Office XP, Adobe Acrobat Reader 7 Profesional. Pentru protectie antivirus calculatoarele si serverul au instalate ultima versiune a programului Bit Defender 10 cu update la zi. Aceasta versiune s-a dovedit eficienta in protectia impotriva tuturor categoriilor de virusi si a mail-urilor de tip spam care afectau sistemele. Tehnologia Antispam BitDefender se bazează pe inovaţii tehnologice remarcabile, care îi permit să se adapteze din mers la noile tehnici de lansare a spam-ului şi să înveţe preferinţele utilizatorului, reducând astfel la minim numărul mesajelor legitime etichetate ca spam. Bit Defander 10 include si un modul Antispywere care monitorizează şi previne potenţialele ameninţări spyware în timp real, înainte ca acestea să afecteze sistemul utilizatorului

Impotriva atacurilor externe s-a activat firewall-ul din pachetul Bit Defender 10 care protejează datele şi intimitatea prin filtrarea traficului la intrare şi la ieşire, controlând fişierele de tip cookie, blocând scripturile maliţioase şi programele de tipul „XXX-dialer”. Pentru mai multa siguranta s-a activat si firewall-ul integrat in Windows XP la toate punctele de lucru.

Pentru organizarea contabilitatii, a evidentei stocurilor si a salariatilor firma a achizitionat un program specializat de la firma Sasory Soft inca din anul 2001, firma Sasory ocupandu-se si de distribuirea si implementarea programului. Aceasta a pus la dispozitia utilizatorilor un manual complex de utilizare a programului si ofera si in prezent asistenta pentru softul achizitionat. Instruirea noior angajati cu privire la functionarea programului si utilizarea functiilor sale se realizeaza de catre angajatii existenti deja familiarizati cu programul.

La momentul implementarii nu s-a facut o departajare pe posturi referitoare la accesul in program a angajatilor, fiecare avand acces nelimitat la toate functiile programului. La sediu exista o versiune a programului denumita „Easy Cont” de tip monouser pentru retea ce permite angajatilor accesul nelimitat in program. La fiecare magazin este instalat un soft de tip monopost simplificat denumit „Easy Pct” care permite accesul angajatilor doar la anumite functii de baza.

Page 13: Metodologia Audit Intern

Cele doua versiuni ale programului au integrat fiecare cate un modul de comunicare cu un alt Easy Cont/Easy Pct aflat la distanta conectat la reteaua Internet. Astfel, angajatii de la punctele de lucru din tara trimit in fiecare seara catre sediu „un pachet” cu toate datele aferente zilei de lucru. Programul cripteaza automat datele trimise acestea neputand fi citite decat de destinatarul datelor, respectiv serverul de la sediu.

La sediu datele trimise sunt descarcate zilnic in program de catre un angajat, urmand fi verificate in cursul lunii si mai apoi validate. La inchiderea fiecarei luni datele sunt salvate pe suport magnetic si pastrate la sediu impreuna cu toata arhiva de date.

Page 14: Metodologia Audit Intern

Modul de comunicare cu Easy Pct integrat in Easy Cont

Modul de comunicare cu Easy Cont integrat in Easy Pct

Page 15: Metodologia Audit Intern
Page 16: Metodologia Audit Intern

II. MANAGEMENTUL RISCURILOR

1. Riscul securitatii fizice – MEDIU

Reteaua este cablata local pe o arie foarte restansa.

Exista o alarma monitorizata de o firma de interventie.

Caile de acces dispun de sisteme de inchidere performante.

Firma isi desfasoara activitatea intr-un spatiu inchiriat intr-o cladire de birouri in

care activeaza si alte firme. Desi riscul de patrundere din exterior este foarte

redus, angajatii din cladire pot avea acces foarte usor la documentele si bunurile

firmei.

2. Riscul de comunicatie: REDUS

Extern: conexiune de tip Fiber Link prin linii securizate atat la sediu cat si la toate

magazinele din tara.

Intern: comunicare la nivel de swich.

3. Riscul privind integritatea datelor: MEDIU

Intrare: datele pot fi introduse si de persoane neautorizate sau persoane

neinstruite pentru anumite tipuri de operatii.

Preluare: preluarea se face automat.

Iesire: preluare automata, salvarea se face la inchiderea fiecarei luni si ori de

cate ori este nevoie.

4. Riscul de acces: MARE

Accesul este necontrolat atat la server cat si la punctele de lucru

Comuniarea cu exteriorul este libera

5. Riscul de protectie antivirus: MIC

Toate punctele de lucru si serverul au instalat ultima versiune de antivirus Bit

Defender 10.

Se efectueaza update zilnic.

Sistemul este scanat periodic.

Page 17: Metodologia Audit Intern

6. Riscul de personal: MARE

S-a facut o instruire calificata a angajatilor numai in momentul achizitiei

progamului.

Accesul la program este necontrolat datorita lipsei unei delimitari clare a

functiilor si posturilor.

Nu exista parole de acces.

Pot exista greseli umane neintentionate.

7. Riscul de management al situatiilor neprevazute: MARE

Datele salvate sunt pastrate pe suporturi de date (CD) la sediul firmei

III. CONTROLUL APLICATIEI

Modul „Introducere facturi emise” la Easy Pct

Camp pentru introducerea datei facturii

Reper – numar generat automat de program in ordine crescatoare ce identifica documentul in program in mod unic

Afiseaza stocul existent in momentul introducerii facturii pentru produsul

tastat in rubrica „produs”

Afiseaza nomenclatorul de produse

Calculator

Renunta la introducerea facturii

Camp pentru introducerea

numarului facturii

Camp pentru tastarea codului care identifica magazinului in cadrul firmei

Adaugare act nou

Stergere act curent

Selectare grupa si subgrupa tranzactie in functie de tipul tranzactiei si de modalitatea de plata

Cautare act

Cautare tabelara

Vizualizare act curent Listare act curent

Page 18: Metodologia Audit Intern

Acest modul permite introducerea facturilor emise de catre agentii de vanzari de la magazinele din tara. In urma varificarilor efectuate s-a constatat:

Campul pentru tastarea numarului de factura permite doar introducerea de

caractere numerice. In caz contrar sistemul trimite un mesaj de avertizare si nu

permite continuarea operatiilor de introducere a facturilor pana cand utilizatorul

nu introduce un numar valid de factura.

Campul datei facturii permite introducerea datei conditionata de validitatea

perioadei in care se lucreaza, respectiv luna si anul calendaristic pentru care se

introduce factura. Astfel, nu este posibila introducerea unei facturi afereanta

altei perioade in luna si anul curent. Daca aceasta conditie nu este indeplinita

sistemul trimite un mesaj de avertizare si nu permite continuarea operatiilor

pana cand nu se introduce o data valida.

Reperul este un numar generat automat de program in ordine crescatoare la

fiecare initiere de introducere a oricarei inregistrari in program. Scopul reperului

este de a identifica in mod unic o inregistrare sau un act introdus in program si

de a facilita cautarea acestuia. Daca introducerea facturii a fost abandonata pe

parcurs si nu s-a validat inregistrarea, reperul alocat de program va fi definitiv

pierdut pentru luna curenta.

Reperul poate fi modificat de utilizator. In cazul in care se doreste adaugarea unui produs pe o factura deja introdusa, utilizatorul trebuie sa tasteze reperul aferent facturii deja introduse.

Fiecarui magazin din tara ii corespunde un cod unic pentru facilitarea identificarii

tranzacţiilor.

Campul „produs” permite introducerea doar a produselor existente in

nomenclatorul de produse. O data cu introducerea produselor pe factura se

realizeaza si descarcarea din gestiune.

In cazul in care se introduce o cantitate vanduta mai mare decat stocul existent

in momentul respectiv, sistemul trimite un mesaj care avertizeaza despre

existenta unui stoc negativ la produsul vandut.

Page 19: Metodologia Audit Intern

Campurile „Total” si „TVA total sunt calculate automat pe baza datelor introduse

anterior in campurile „Cantitate” si „Pret FTVA”. Campul TVA permite ajustari de

catre utilizator.

Selectarea grupei si a subgrupei de tranzactie permite specificarea tipului de

tranzactie: cu abonament sau fara abonamnet si a modalitatii de plata a facturii

respectiv cu numerar sau prin banca folosind aparatele de POS disponibile in

magazin.

In momentul validarii facturii utilizatorul trebuie sa aleaga dintr-o lista schema

de contare utilizata avand in vedere ca se pot factura atat marfuri cat si servicii

de diferite categorii. Tot atunci se selecteaza si categoria de client: persoana

fizica sau juridica. Pentru clientii persoane juridice exista deschisa cate o fisa

analitica. Daca clientul este nou, utilizatorul il poate introduce, generandu-se

astfel o noua fisa analitica pentru clientul respectiv.

Modulul permite utilizatorul stergerea de facturi introduse, vizualizarea si

printarea facturilor emise, cautarea facturilor dupa mai multe criterii: data

facturii, numar factura, reper, produs facturat, grupa si subgrupa de tranzactie,

denumire client.

Page 20: Metodologia Audit Intern

Modulul „Introducere facturi emise” la Easy Cont

Modulul de introducere a facturilor emise in Easy Cont are aceleasi caracteristici ca si modulul de introducere a facturilor emise in Easy Pct pentru pastrarea concordantei in momentul trimiterii de date de la punctul de lucru catre sediul central. Pe langa designul diferit acest modul prezinta in plus si optiunea de modificare a unei facturi deja introduse. La Easy Pct acest modul lipseste pentru a limita accesul angajatilor la modificarea actelor.

Grupa si subgrupa tranzactiei

Numarul si data facturii

Reper alocat

Cod de identificare a magazinului

Schema de contare aleasa

Client

Adaugare act nou

Modificare act curent

Stergere act curent

Cautare act

Cautare tabelara

Vizualizare act curent

Lisare act curent

Renunta la adaugarea facturii

Calculator

Nomenclator produse

Stoc existent

Page 21: Metodologia Audit Intern

Modul „Introducere facturi primite” la Easy Cont

Acest modul permite introducerea facturilor primite de la furnizori. Aici sunt incluse atat facturile de la furnizorii de marfuri cat si facturile primite de la furnizorii de servicii. Facturile primite de la furnizori sunt introduse in program numai la sediu pentru a se putea gestiona mai bine evidenta platilor catre acesti furnizori.

Modulul este asemanator cu cel de introducere a facturilor emise catre clienti in ceea ce priveste introducerea numarului de factura, a datei facturii, alocarea reperului de catre program, selectarea schemei de contare dintr-o lista cu scheme deja definite de utilizator, selectarea furnizorilor din lista, modificarea actului deja introdus, stergerea, vizualizarea si listarea.

Rubrica TVA permite ajustarea sumei de catre utilizator daca cea calculata automat de program nu corespunde cu cea inscrisa pe factura sau daca cota de TVA nu este corespunzatoare.

Utilizatorii pot introduce noi scheme de contare si noi furnizori daca acestia nu au fost adaugati anterior.

Numarul si data facturii introduse

Reper alocat

Data scadenta de plata a facturii

Cod de identificare a magazinului

Export facturi in Excel

Definire sheme de contare

Renuntare

Schema de contare

Furnizor

Vizualizare act curent

Adaugare act nou

Modificare act curentStergere act curent

Cautare act

Cautare tabelara Listeaza act curent

Page 22: Metodologia Audit Intern

Modul „Adaugare acte la registrul de casa” la Easy Pct

Acest modul permite introducerea documentelor justificative de incasari si plati pentru intocmirea registrului de casa zilnic.

Campurile Data, Act Nr. si TVA au aceleasi caracteristici ca si in cazul modulelor precedente.

In functie de tipul tranzactiei care poate fi incasare sau plata utilizatorul alege ditr-o lista clientul sau furnizorul dupa caz. Daca acestia sunt noi se permite adaugarea lor in fisele analitice.

Soldul initial al zilei se preia automat din ziua precedenta , totusi utilizatorilor le este permisa modificarea soldului in orice moment. De asemenea schema de contare este aleasa de utilizator dintr-o lista predefinita la care mai pot fi adaugate si alte scheme de contare

Modulul mai permite stergerea actului curent, vizualizarea registrului de casa din ziua curenta, listarea actului curent, cautarea actului dupa mai multe criterii: numar, data, tipul tranzactiei.

Numarul si data actului

Tipul tranzactiei: incasare/plata

Furnizor sau client in functie de tipul tranzactiei

Adaugare act Stergere act curent

Cautare tabelara

Listare act curent

Renuntare

Solduri registru de casa

Vizualizare registru de casa zi curenta

Page 23: Metodologia Audit Intern

Modul „Adaugare acte in regisreu de casa” la Easy Cont

Acest modul este similar cu cel de la Easy Pct pentru a permite corespondenta datelor dintre inregistrarile de la punctele de lucru si cele de la sediu. In afara de designul diferit in modulul de la Easy Cont este permisa modificarea in orice moment a actelor introduse pentru registrul de casa.

Numarul si data actuluiReper generat

Schema de contare

Tipul tranzactiei

Cod de identificare a magazinului

Page 24: Metodologia Audit Intern

Modul „Adaugare acte in extrase de banca – lei” la Easy Cont

Acest modul permite introducerea extraselor bancare si prezinta aceleasi caracteristici ca si celelate module anterioare in ceea ce priveste tastarea datelor in campuri, selectarea schemei de contare, selectarea clientilor, respectiv a furnizorilor in functie de tipul tranzactiei efectuate.

Inainte de intrarea in modul utilizatorul trebuie sa selecteze contul bancar pentru care se doreste adaugarea extraselor.

Numarul si data extrasului de cont

Reper generat

Tipul tranzactiei

Schema de contare

Page 25: Metodologia Audit Intern

IV. CHESTIONARE APLICATE IN PROCESUL AUDITARII SISTEMULUI INFORMATIC

1. Conducere şi organizare

Nr. crt. Intrebări Da Nu Comentarii1. Unitatea are o strategie de informatizare ? X2. Această strategie îmbracă forma unui

document scris care a fost analizat de către conducere ?

X Conducerea firmei isi creaza propria strategie informationala dupa ce a consultat parerea administratorului de retea fara ca aceasta strategie sa se concretizeze intr-o forma scrisa.

3. Ce prevede : • strategii informaţionale ? • noi achiziţii hard şi soft ? • noi interfeţe pentru aplicaţii ?

In principal strategia informationala a firmei prevede noi achizitii hard pentru a le reinoi pe cele mai vechi.

4. Activitatea de procesare automată a datelor este organizată într-un compartiment distinct la nivelul unităţii ?

X Firma este de dimensiuni reduse si nu exista un compartiment distinct pentru procesarea automata a datelor.

5. Angajaţii unităţii sunt informaţi despre restricţiile legale şi contractuale care afectează utilizarea softului ?

X

6 Există licenţe pentru softul utilizat pe fiecare calculator?

X

7. Există dischete/CD-uri de instalare pentru softul utilizat ?

X

8. Sunt folosite versiuni de soft pentru reţea? X Softul programului de contabilitate

este pentru retea9. Politicile unităţii restricţionează folosirea

neautorizată a softului ?X Pentru instalarea programul de

contabilitate este necesara tastarea unei parole confirmata numai de catre firma producatoare a softului in momentul instalarii

10. Conducerea unităţii înţelege responsabilităţile ce îi revin pe linia asigurării controalelor adecvate şi supervizării mediului informatic al firmei ?

X

11. Există o persoană responsabilă pentru : • identificarea necesităţilor în materie de soft şi aducerea la cunoştinţa conducerii a acestor necesităţi ? • identificarea necesităţilor în materie de hard ?

X Administratorul de retea este cel care aduce la cunostinta conducerii despre necesitatile in materie de hard si soft

12 Utilizatorii sînt consultaţi înainte de a se trece la achiziţionarea sau dezvoltarea de noi

X Administratorul de retea se consulta cu utilizatorii in ceea ce priveste

Page 26: Metodologia Audit Intern

componente soft ? achizitionarea de noi componente soft

2. Componente hard şi soft

Nr. crt.

Intrebări Da Nu Comentarii

1. Există specificaţii clare ce să justifice orice achiziţie hard şi soft, precum şi dezvoltarea softului prin eforturi proprii ?

X

2. Există specificaţii cu privire la instalarea şi testarea softului şi a echipamentelor noi ?

X

3. Instalarea softului şi a echipamentelor noi este adusă la cunoştinţa conducerii ?

X

4. Există contracte încheiate pentru întreţinerea echipamentelor şi softului ?

X Pentru intretinerea si actualizarea programului de contabilitate s-a incheiat un contract cu firma producatoare. Administratorul de retea este responsabil cu intretinerea echipamentelor si acelorlalte componente soft

5. S-a efectuat o revizie prin care să se determine dacă echipamentele şi softul achiziţionate în anul curent şi în cel precedent sunt folosite ?

X Toate echipamentele achizitionate se folosesc.

3. Integritatea datelor - controlul intrărilor

Nr. crt.

Intrebări Da Nu Comentarii

1. Controale efectuate asupra documentelor-sursa sau a ecranelor de intrare asigura ca: • sunt usor de inteles; • ajuta la reducerea numarului de erori; • permit ca doar o singura informatie sa fie intrare pentru sistem la un moment dat; • includ instructiuni de completare adecvate.

X

Controalele efectuate asigura o usoara intelegerea a documentelor sursa si a ecranelor de intrare, in fiecare modul o singura informatie este de intrare la un moment dat, exista instructiuni adecvate pentru completare

2. Analiza controalelor asupra accesului la formularele de intrare sau a ecranelor certifica:

Nu exista semnaturi de autorizare, parole de de acces. Toti utilizatorii au acces la toate optiunile programului.

Page 27: Metodologia Audit Intern

• existenta semnaturilor de autorizare; • existenta parolelor si cine le atribuie, cine le schimba, cand sunt schimbate si daca accesarile neautorizate sunt detectate; • limitarea optiunilor implicite.

X

3. Sunt inregistrate toate informatiile? X In urma controlului s-a constatat ca toate informatiile sut inregistrate

4. Informatiile sunt inregistrate in ordine cronologica ?

X Programul sorteaza toate inregistrarile in ordine cronologica

5. Informatiile sunt inregistrate o singura data ?

X In urma controlului s-a constatat ca toate informatiile verificate au fost inregistrate o singura data insa programul permite inregistratea duplicatelor.

6. Lipsa sau duplicarea anumitor informatii este detectata si investigata ?

X Lunar, utilizatorii de la sediu verifica concordanta dintre documentele fizice si cele introduse in program de catre angajatii de la magazine pentru a se remedia toate erorile facute de acestia.

7. Informatiile care reprezinta intrari pentru sistem sunt aprobate de un responsabil ?

X Intrarile nu sunt aprobate. Toti utilizatorii au dreptul de a valida intrarile

8. Toate informatiile au fost autorizate in mod corespunzator si revizuite ?

X Informatiile sunt revizuite lunar dar nu necessita o autorizare.

9. Toate schimbarile intervenite asupra informatiilor sunt autorizate ?

X Toti utiliatorii au dreptul de a face modificari asupra inregistrarilor daca in urma verificarilor constata greseli. Nu se necesita o autorizare pentru remedierea greselilor

4. Integritatea datelor – controlul prelucrarii

Nr. crt.

Intrebări Da Nu Comentarii

1. Exista proceduri formale de operare si utilizare ?

X

2. Sunt prevazute proceduri de repornire a sistemului in caz de oprire accidentala ?

X Toti utilizatorii au fost instruiti cu privire la repornirea sistemului in caz de oprire.

3. Exista proceduri pentru realizarea copiilor de siguranta ?

X Nu exista proceduri de salvare a copiilor de siguranta.

Page 28: Metodologia Audit Intern

4. Exista proceduri pentru pericolul erorilor ? X5. Facem controale prin care sa se determine

utilizarea neadecvata a sistemului ?X

6. Exista controale prin care sa se detecteze situatiile neobisnuite ?

X Programul de contabilitate are un modul care detecteaza toate erorile inregistrate din punct de vedere contabil

7. Care sunt procedurile folosite in cazul intreruperii anormale a prelucrarilor ?

Verificarea conexiunii la retea, reinitializare prelucrarii si repornirea sistemului daca situatia nu se remediaza.

8. Se face o contabilizare a activitatilor care se executa ?

X

9. Se face o raportare a activitatilor care se executa ?

X Fiecare utilizator raporteaza la sfarsitul zilei de lucru superiorului sau ierarhic activitatile desfasurate in cursul zilei respective.

10. Se face o documentare si o testare ale controalelor prelucrarii: • rapoarte asupra exceptiilor; • tranczatii automate; • totaluri de control; • controale in timpul prelucrarii; • tranczactii automate intre sisteme; • actualizarea datelor.

X

5. Integritatea datelor - controlul ieşirilor

Nr. crt.

Intrebări Da Nu Comentarii

1. Pentru fiecare ieşire se determină : • numele ; • suportul ; • frecvenţa ; • mărimea ; • controlul efectuat asupra sa ; • distribuirea ; • modul în care este distrusa.

X

2. Există jurnale pentru evidenta distribuţiei? X3. Sînt prevazute metode de distribuţie ? X4. Se asigură securitatea ieşirilor pe timpul

tranzitării ?X

Page 29: Metodologia Audit Intern

6. Distribuţia respectă principiul „trebuie să ştie” ? X Distribuirea datelor se face catre toti utilizatorii

7. In cazul imprimării rapoartelor pe timpul nopţii, acestea sînt protejate în mod corespunzător ?

X Nu exista situatii de imprimare a rapoartelor pe timpul noptii

8. Există proceduri pentru detecţia şi corecţia erorilor ?

X Detectia si corectia erorilor se face la sfarsitul lunii de catre utilizatorii de la sediu

9. Se face o revizie cu privire la păstrarea şi distribuirea suporţilor de memorare ?

X

10. Se face o revizie cu privire la distrugerea sau clasarea rapoartelor obţinute din sistem : • rapoarte ce conţin informaţii importante ;• perioadele de păstrare a rapoartelor ; • distrugerea suporţilor magnetici.

X

6. Securitate administrativă

Nr. Intrebări Da Nu Comentariicrt.1. In cadrul unităţii există o persoană care să

răspundă de asigurarea securităţii informatiilor ?

X

2. Există o politică de securitate specifică departamentului sau unităţii ?

X

3. Politica de securitate prevede :• obiectivele securităţii ;• responsabilităţi pe linia securităţii în cadrul unităţii/departamentului ;• responsabilităţile angajaţilor pe linia asigurării securităţii ;• accesul conform principiului „trebuie să ştie” ;• clasificarea informaţiilor ;• etichetarea informaţiilor în acord cu importanţa lor pentru unitate ;• copierea şi distribuirea informaţiilor ;• reviziile periodice în acord cu prevederile legale ;• autentificarea şi identificarea utilizatorilor ;• dreptul de proprietate asupra datelor, autorizarea cererilor de modificare,ştergere sau difuzare a datelor ;• securitatea comunicaţiilor ;

Politica de securitate a firmei prevede:- clasificarea informatiilor, -copierea si distribuirea informatiilor, -revizii periodice,-dreptul de proprietate asupra softului, -testarea softului,- securitatea fizica, - securitatea personalului

Page 30: Metodologia Audit Intern

• dreptul de proprietate asupra softului ;• folosirea softului fără licenţă ;• testarea softului ;• copiile de siguranţă ;• securitatea fizică ;• securitatea personalului (proceduri la angajare, instruire, încheierea contractului de muncă) ;• acţiuni ce se întreprind împotriva încălcării măsurilor de protecţie şi securitate.

4. Politica de securitate a fost adusă la cunoştinţa întregii conduceri?

X

8. Securitate fizică

Nr. crt.

Intrebări Da Nu Comentarii

1. Mediul în care se desfăşoară activitatea este protejat în mod corespunzător împotriva incendiilor : • există sisteme de detecţie şi de alarmă împotriva incendiilor ; • sisteme de stingere automată a incendiilor ; • locul de depozitare a suporţilor de memorare este rezistent la foc ;• există stingătoare de incendii ; • personalul este antrenat să facă faţă unor astfel de situaţii.

X Exista sisteme de detectie si de stingere automata a incendiilor. Exista stingatoare de incendiu iar personalul este instruit sa faca fata acestor situatii

2. Sistemul central este amplasat la parterul clădirii sau la ultimul etaj ?

Sistemul central se afla la primul etaj al cladirii

3. Echipamentele sunt protejate împotriva inundaţiilor care s-ar putea produce la nivelul unde sunt amplasate ?

X Exista riscul de inundatii

4. Există sisteme de protecţie împotriva căderilor de tensiune ?

X

5. Intrarea în aria p. a. d. este protejată în mod corespunzător?

X

6. Există un loc de protejare a suporţilor de memorare aflat în afara sediului firmei ?

X Suportii de memorare sunt pastrati la sediul firmei

7. Documentaţiile programelor, sistemului sunt X

Page 31: Metodologia Audit Intern

depozitate la loc sigur cu restricţionarea accesului persoanelor neautorizate ?

8. Copiile de siguranţă ale documentaţiilor se află la loc sigur ?

X

9. Există proceduri pentru actualizarea copiilor de siguranţă ale documentaţiilor?

X

10. Echipamentele sunt protejate împotriva furturilor?

X

11. Serverele se află într-o încăpere separată ? X Serverul se afla in unul din birouri12. Echipamentele de comunicaţie sunt protejate

în mod corespunzător ?X

9. Controlul accesului

Nr. crt.

Intrebări Da Nu Comentarii

1. Atribuirea şi schimbarea conturilor/parolelor de acces fac obiectul unei aprobări formale ?

X Nu exista conturi si parole

2. Accesul la date şi soft respectă principiul „trebuie să ştie” ?

X Toti utilizatorii ai acces la date si soft

3. Toate încercările de accesare neautorizată a sistemului sunt înregistrate, raportate şi investigate ?

X

4. Politicile şi procedurile unităţii prevăd situaţiile în care au acces la sistem şi consultanţii acesteia ?

X

5. Staţiile de lucru sunt dotate cu soft care să blocheze accesul la reţea atunci când utilizatorul nu se află la staţia sa ?

X

10. Controlul documentaţieiNr. crt.

Intrebări Da Nu Comentarii

1. Există documentaţii standardizate ? X2. Aceste documentaţii includ :

• manuale ale sistemului pentru utilizatori ;• documentaţia tehnică a programelor ; • manuale de utilizare a programelor.

X Documentatiile includ manuale de utlizare si instruire a utlizatorilor pentru programul de contabilitate, documentatia tehnica a programelor

3. Documentaţiile aplicaţiilor includ cel puţin : • o prezentare simplă a denumirii intrărilor, fişierelor prelucrărilor şi a rapoartelor obţinute ; • o scurtă descriere a ceea ce face

X Manualul de utlizare a programului de contabilitate este complex descriind in detaliu toate, modulele, functiile si controalele

Page 32: Metodologia Audit Intern

aplicaţia ; • explicarea calculelor pe care le face aplicaţia ; • instrucţiuni pentru utilizatori.

existente, chiar si cele care nu sunt necesare utilizarii in cadrul firmei.

4. Documentaţia reţelei include cel puţin : • o diagramă care să prezinte configuraţia reţelei cu toate componentele sale ; • instrucţiuni şi proceduri pentru administratorul de reţea ; • instrucţiuni pentru utilizatori ; • manual operaţional.

X Documentatia retelei include instructiuni pentru utilizatori, o diagrama care prezinta configuratia retelei

5. Documentaţia sistemului este actualizată ? X6. Documentaţia sistemului este păstrată într-un

loc sigur ?X Documentatia sistemului este

pastrata la sediul firmei.

11. Integritatea softuluiNr.crt.

Intrebări Da Nu Comentarii

1. Dezvoltarea aplicaţiilor se realizează în acord cu metodologiile standard de realizare a sistemelor care iau în considerare nevoile utilizatorilor ?

X

2.3.

Achiziţia softului este controlată ?Intreţinerea aplicaţiilor este controlată în mod adecvat : • au loc numai schimbări autorizate ; • sunt prevăzute procedurile pentru efectuarea schimbărilor de urgenţă ;• noile versiuni ale softului cumpărat sunt instalate numai după ce s-au analizat efectele acestuia ?

X Se fac achizitii de soft numai cu autorizare din partea conducerii firmei dupa au fost prezentate consecitele si beneficiile schimbarii de soft

4. Se păstrează o copie de siguranţă a vechii versiuni ?

X

5. Utilizarea pachetelor „shareware” şi ,,freeware” este controlată ?

X

6. Originalelor pachetelor soft li se asigură protecţie?

X

12. Protecţia împotriva viruşilorNr.crt.

Intrebări Da Nu Comentarii

1. Conducerea a fost atenţionată cu privire la potenţialele pericole pe care le implică viruşii ?

X

Page 33: Metodologia Audit Intern

2. Softul este verificat înaintea instalării ? X3. Hard discurile reparate sau achiziţionate sunt

verificate înainte de a fi instalate ?X

4 Programele shareware şi freeware sunt verificate înainte de a fi instalate?

X

5. Există proceduri pentru depistarea şieliminarea viruşilor?

X Antivirusul instalat scaneaza sistemul periodic si depisteaza si elimina virusii daca acestia exista in sistem

6. Lucrul cu dischete este controlat ? X

13. Transimisia datelorNr.crt.

Intrebari Da Nu Comentarii

1. Se face o identificare a calculatoarelor care lucreaza in retea ?

X

2. Se face o verificare a prelucrarilor pe care le efectueaza fiecare utilizator ?

X

3. Se va verifica daca:• doar utilizatorii cu drepturi sunt logati;• doar calculatoarele cu drepturi sunt on-line;• prelucrarile sunt efectuate de catre utiliza-torii cu acest drept de la calculatoare validate;• tabelele de autorizare sunt actualizate (vacante, promovari, transferuri, incetarea contractului de munca).

X

4. Ce metode de control se folosesc:• criptarea;• autodiagnoza;• diagnoza de la distanta;• identificarea calculatorului/utilizatorului apelant ?

Programul de contabilitate foloseste criptarea

IV. PLAN DE RECUPERARE IN CAZ DE DEZASTRU

Page 34: Metodologia Audit Intern

1. Evaluarea riscurilor de afacere si impactul potentialelor pericole. Au fost identificate urmatoarele evenimente care pot avea impact atat in continuarea operatiilor cat si in domeniul financiar-uman:- Producerea unei calamitati naturale: incendiu, cutremur care poate avea ca

urmari distrugerea totala a echipamentelor si a datelor salvate;- Producerea de inundatii;- Furtul echipamentelor, a suporturilor pe care sunt pastrate datele, a actelor;- Stergerea tuturor datelor din baza de date de catre un utilizator care nu

cunoaste destul de bine funtionarea programului de contabilitate;- Defectarea serverului datorita unei erori a programatorului sau din alte

cauze;- Deteriorarea suporturilor pe care sunt pastrate datele datorita unei proaste

manupulari sau depozitari;- Pierderea sau distrugerea documentatiilor si copiilor de siguranta ale soft-

urilor instalate;- Indisponibilitatea de a se prezenta la lucru a mai multor angajati in acelasi

timp;- Insuficienta personalului datorita demisionarii in masa sau a concedierilor;- Indisponibilitatea firmei care asigura service si consultanta cu privire la

utilizarea programului de contabilitate;

2. Clasificarea analizei operatiilor si a elementelor critice:Functionarea sistemului este vitala pentru firma. Avand in vedere ca toate datele sunt

transmise on-line de catre agentii de vanzari de la magazine si volumul de activitate este foarte mare nefunctionarea sistemului ar duce la imposibilitatea desfasurarii activitatii.

Pe termen foarte scurt aceste functii pot fi realizate manual la un cost foarte mare care presupune deplasarea angajatilor la de la sediu la punctele de lucru din tara, trimiterea actelor fizic prin curierat rapid care, la randul lor genereaza si riscul de pierdere al actelor, de furt, de deteriorare. Personalul angajat la sediu este insuficient pentru realizarea acestor functii chiar si pe termn scurt iar angajarea de personal ar fi ineficienta pe termen scurt datorita costurilor ridicate si a procedurilor de instruiere cu privire la functionarea programului care se realizeaza pe etape. Se impune deci remedierea in cel mai scurt timp a problemelor legate de functionarea sistemului.

Datorita faptului ca datele salvate sunt pastrate la sediu, cazul pierderii lor si a distrugerii bazei de date, societatea se poate afla in imposibilitatea de recuperare a acestor date. Acest risc este critic pentru continuarea activitatii firmei.

3. Dezvoltarea unui plan de continuitate a afacerii si proceduri de recuperare in caz de dezastru. Pentru reducerea riscurilor la minim in cazul evenimentelor neprevazute care pot aparea se impune luarea urmatoarelor masuri:

- Salvarea datelor introduse in program saptamanal pentru a limita activiatea de reintroducere a datelor pierdute;

- Pastrarea unor copii ale datelor salvate si in alta locatie din afara firmei;

Page 35: Metodologia Audit Intern

- Pastratea documentatiei si a soft-urilor achizitionate in alta locatie din afara firmei;

- Avand in vedere ca firma are angajati putini ar trebui sa se faca o instruire completa a acestora cu privire la realizarea tuturor sarcinilor ce trebuie efectuate in vederea desfasurarii activitatii;

- Montarea de sisteme de alarma si camere web care sa monitorizeze impotriva furturilor;

- Luarea tuturor masurilor necesare prevenirii si stingerii incendiilor;- Instruirea adecvata si specializata a tututor angajatilor cu privire la

calamitatile naturale;- Repartizarea in prealabil a sarcinilor ce revin fiecarui angajat in caz de

dezastru;- Motivarea salariatilor;- Verificarea permanenta a sistemului pentru a se putea descoperi din timp

eventualele defectiuni;- Mentinerea unei bune colaborari cu o firma care asigura service si

consultanta pentru soft-ul de contabilitate;

4. Program de instruire si urmarire:- Este necesara desemnarea de persoane responsabile pentru instruirea

angajatilor cu privire la situatiile critice;- De asemenea aceste persoane sunt responsabile de existenta si pastrarea

resurselor critice;- Managementul firmei precum si utlizatorii trebuie sa se implice in

identificarea sistemelor critice, a timpului de recuperare critic asociat si specificatiile resurselor necesare;

5. Testarea si implementarea planului:Se realizeaza permanent teste care sa verifice elaborarea si pecizia continuitatii in

planul afacerii, sa evalueze performanta personalului implicat in exercitiu, pregatirea si perseverenta membrilor echipei, corespondenta intre continuitatea afacerii clientului si furnizorului.

6. Monitorizarea are drept scop:- Evaluarea strategiei de continuitate a afacerii si legaturile sale cu obiectivele

afacerii;- Evaluarea planurilor de continuare a afacerilor pentru a se vedea daca

acopera toate aspectele;- Verificarea eficientei planului de continuitate a afacerii prin crearea de

situatii problema;- Evaluarea abilitatii personalului de a raspunde cat mai eficient in situatiile de

urgenta;- Evaluarea in permanenta a depozitarii datelor salvate si pastrate in afara

firmei;- Asigurarea ca planul de continuitate a afacerii corespunde cerintelor actuale

sau trebuie reelaborat.

Page 36: Metodologia Audit Intern

V. RAPORT DE AUDIT

1. Scopul si obiectivele urmarite:Prezentul audit a fost efectuat in scopul:

- verificarii mediului de functionare a procedurilor de intrare, prelucrare si iesire prevazute de programul informatic;

- verificarii cuprinderii in procedurile de prelucrare a reglementarilor in vigoare si a posilbilitatii de actualizare a acestor proceduri in functie de modificarile survenite in legislatie;

- verificarii operatiilor economice si financiare inregistrate in contabilitate astfel incat acestea sa fie efectuate in concordanta stricta cu prevederile actelor normative care le reglementeaza;

Principalele obiective urmarite sunt:

- Implementarea unei bune practici;- Evaluarea situaţiei controalelor;- Configurarea punctelor cheie pentru securitatea informaţiilor;- Reducerea frecvenţei şi/sau impactul incidentelor majore;- Alinierea la politica internă ;- Integrarea într-un program al managementului riscurilor;- Realizarea unui plan de recuperare in caz de dezastru si de continuare a

afacerii;

2. Probe:In scopul realizarii misiunii sale de audit auditorul a folosit probe fizice,

documentare, reprezentari si analize. Auditorul a verificat prin sondaj concordanta dintre documentele existente fizic la societate si inregistrarile aferente acestora in cadrul sistemului informatic. In verificarile sale auditorul a folosit rezultatul unor interogari ale bazei de date, prelucrari efectuate de programul de contabilitate, inregistrari ale tranzactiilor, rezultate obtinute in urma unor comparatii si calcule electuate de auditor.

Auditorul a verificat de asemenea politici, proceduri si regulamente interne elaborate de managementul societatii in cauza, gradul de instruire a personalului, documentatia aferenta programelor, echipamentele tehnice utilizate si configuratiile acestora, existenta licentelor de folosire pentru toate soft-urile utlizate de societate.

Conducerea societatii a pus la dispozitia societatii toate probele solicitate de auditor, acesta considerand ca probele utilizate au fost suficiente pentru elaborarea unei concluzii.

3. Perioada de acoperire: Perioada auditata a fost 01.07.2008 – 31.12.20084. Natura si intinderea lucrarilor efectuate: Auditarea sistemului informatic s-a

facut atat din punct de vedere contabil cat si din punct de vedere al

Page 37: Metodologia Audit Intern

echipamentelor folosite, configuratiilor acestora, riscurilor care ameninta buna desfasurare a activitatii firmei.

In efectuarea auditului, auditorul a aplicat normele si standardele de audit in vigoare

În urma cercetării eşantioanelor extrase din documentatia prezentata, precum şi a procedurilor, se poate întocmi o listă a controalelor efectuate asupra sistemului informatic. Aceasta presupune controlul:

- hardware;- sistemelor de operare;- bazei de date;- reţelelor de calculatoare;- operării în reţea;- operaţiilor de ieşire;- raportării problemelor de gestionare la nivelul reţelei; - raportării privind disponibilitatea şi utilizarea hardware.

Pentru fiecare control în parte se va întocmi un raport în formă detaliată ce va conţine:

I. DENUMIREA CONTROLULUI: Cum suporta IT-ul departamentul?

Descrierea controlului:

Problema de Control / Politica de referinta / Cea mai buna practica Impact Procedura de testare Comentarii

A. Sistemele sunt realizate preponderent intern sau nu? Care este gradul de customizare a pachetelor? Cine face modificarile ? (vanzatorul sau sunt facute intern)

Sistemele sunt achizitionate de la furnizori, tot acestia facand si modificarile

AI-2.15.8 Rezultatele testelor ar trebui sa fie păstrate, problemele ar trebui prioritizate

Procedurile de testare a aplicatiilor alaturi de practicile de control vor avea rolul de a:

Asigura mecanisme de

B. Determinarea procesului de rezolvare a problemei aplicatiei.

Ori de cate ori apar probleme aceste sunt inregistrate

Page 38: Metodologia Audit Intern

Problema de Control / Politica de referinta / Cea mai buna practica Impact Procedura de testare Comentariiurmate apoi a fi corectate.

AI-2.15.11 Aprobarea managerului general este necesara atunci cand programe cu erori cunoscute sunt trimise catre productia de serie.

incredere pentru testarea eficienta si eliminarea nevoii de retestare datorata slabei documentari.

Preveni deviatii de la metodologia standard de testare si de a descoperi erorile la un nivel incipient, care mai tarziu s-ar putea dovedi costisitoare de eliminat.

Asigura ca datele utilizate in testare sunt relevante pentru diversele scenarii ale business-ului si ca testarea nu este compromisa datorita duplicarii eforturilor echipelor de

C. Verifica daca informatiile referitoare la probleme sunt colectate şi inregistrate ori de cate ori acestea apar.

Page 39: Metodologia Audit Intern

Problema de Control / Politica de referinta / Cea mai buna practica Impact Procedura de testare Comentarii

testare si dezvoltare.

Preveni utilizarea frauduluoasă a datelor incluse in testare pentru a comite fraude ce ar putea duce la stricarea imaginii si suspendarea dreptului de a profesa.

Asigura toate tipurile de utilizatori prin realizarea de teste si acceptarea de catre soft in mod protocolar

AI-4.1.1 Asigura ca exista un proces care defineste cerintele operationale precum si nivelele de service care sustin scopurile organizatiei ca parte din ciclul de dezvoltare al organizatiei.

Furnizarea clara a cerintelor operationale si a nivelelor de service alaturi de practica controlului au rolul de a:

Furniza capacitatea de a dezvolta manuale de utilizare cat mai bune precum si materiale de

D. Obtinerea unui Service Level Agreement din partea departamentului IT.

Un Business Service Level Agreement este un contract intre departamentul IT si utilizator care stabileste nivelul de performanta a sistemului si de serviciile specifice pe care

Page 40: Metodologia Audit Intern

Problema de Control / Politica de referinta / Cea mai buna practica Impact Procedura de testare Comentarii(SDLC). trening.

Asista in implementarea de schimbari prin asigurarea ca cerintele operationale si nivelele de service sunt dezvoltate in timp util si ca asteptarile sunt realiste

departamentul IT le va livra.

E. Inteaba Business User Management si determina daca sunt intrunite cererile nivelului contractual de servicii cum sunt:

Timpul de raspuns al aplicatiei

Validitatea aplicatiei

Timpul de procesare al aplicatiei

Numele persoanelor dn departamentul It specializate in rezolvarea problemelor

F. Determina daca exista un proces

Page 41: Metodologia Audit Intern

Problema de Control / Politica de referinta / Cea mai buna practica Impact Procedura de testare Comentarii

care sa identifice si sa aduca imbunatatiri continue aplicatiei.

Concluzii:

In urma controalelor facute auditorul a constat:

- Procedurile folosite corespund reglementarilor in vigoare;- Exista posibilitati de actualizare a procedurilor daca apar modificari in

legislatie;- Eventualele erori care pot aparea in functionarea programului informatic

sunt remediate de catre o firma specializata;- Fiecare data integistrata in programul de contabilitate se regaseste in

continutul unui document la care au acces atat beneficiarii cat si organele de control;

- Programul informatic asigura listele operatiunilor efectuate in contabilitate pe baza de documente justificative numerotate in ordine cronologica, interzicandu-se inserari, intercalari, precum si orice eliminari sau adaugari ulterioare;

- Programul asigura reluarea automata in calcul a soldurilor conturilor obtinute anterior;

- Programul permite inserari, modificari, sau eliminari de date pentru o perioada inchisa;

- Programul asigura respectarea continutului de informatii prevazut pentru toate tipurile de formulare;

- Societatea se confrunta cu o problema grava de risc a securitatii fizice a datelor datorita faptului ca nu exista copii ale datelor salvate si in alte locatii decat la sediul firme;

- Exista un foarte mare risc de acces deoarece nu exista conturi si niveluri de acces al utilizatorilor la informatiile si functiile programului informatic;

Page 42: Metodologia Audit Intern

- Sistemul informatic este protejat corespunzator impotriva virusilor si a atacurilor din exteriorul retelei;

- Personalul societatii nu este instruit corespunzator cu privire la utilizarea programului de contabilitate;

Recomandări:Pentru imbunatatirea performantelor si reducerea la minim a riscurilor se impune

luarea urmatoarelor masuri:

- Sa se realize o instruire adecvata a personalului societatii de catre o firma specializata cu privire la utilizarea soft-ului de contabilitate;

- Sa se realizeze o departajare pe functii si posturi a personalului, iar intrarea in program sa fie restrictionata de utilizarea unui user si a unei parole de acces;

- Sa se realizeze o monitorizare a operatiilor facute de fiecare user in parte petru a se vedea nivelul de cunostinte al fiecaruia;

- Sa se efectueze salvari ale datelor din sistem periodic, mai des decat perioda actuala care este de o luna, iar suporturile cu date sa fie pastrate in mai multe locatii din afara firmei;

- Sa se restrictioneze accesul la Internet al utilizatorilor, folosirea de dischete de catre acestia si instalarea oricarui soft care nu este justificat;

- Sa se desemneze o persoana responsabila cu descarcarea datelor pe server primite de la magazine zilnic, si cu salvarea pe suporturi magnetice a copiilor de date;

- Sa se restrictioneze accesul angajatilor la server prin mutarea acestuia intr-o incapere in care are acces doar administratorul de retea si conducerea firmei;

- Sa se reconfigureze programul de contabilitate astfel incat sa nu se permita inserari, modificari sau eliminari de date pentru o perioada inchisa.

Page 43: Metodologia Audit Intern

Bibliografie:

1. M. Boulescu, C. Barnea- Audit financiar. Ediţia FRM Bucureşti 2006.

2. *** Legea 672/2002 privind auditul public intern, M.O. nr. 953/24 dec. 2002.

3. Camera Auditorilor Financiari din România - Audit financiar 2000.Editura Economică Bucureşti.2000.

4. Baron, A. M. - Tehnici şi metode utilizate în auditul calităţii Software, Lucrare de disertaţie, Curs de master: Managementul Informatizat al proiectelor, Bucureşti, ASE, Facultatea CSIE,2004

5. Brândaş, C. - Auditul sistemelor informatice de gestiune, note de Curs, Timişoara, Facultatea de Ştiinţe Economice, UniversitateaDe Vest, 2004

CUPRINS1. Pregătirea misiunii de audit intern2. Declaraţia de independenţa3. Notificarea privind declanşarea misiunii de audit public intern4. Colectarea şi prelucrarea informaţiilor5. Identificarea obiectelor auditabile6. Analiza riscurilor7. Tehnici de audit public intern8. Dosarele de audit public intern9. Transmiterea rezultatelor. Şedinţa de închidere a intervenţiei la faţa locului10. Elaborarea proiectului de raport de audit public intern (raport intermediar)11. Procedura privind elaborarea proiectului de raport de audit public intern12. Transmiterea proiectului de audit public intern la structura auditata 13. Reuniunea de conciliere14. Raportul de audit public intern final15. Supervizarea misiunii de audit public intern16. Difuzarea raportului de audit public intern17. Studiu de caz: S. C. Telsim SRL18. Concluzii şi recomandări


Recommended