COMISIA NAIONAL A VALORILOR MOBILIARE Instruciunea nr.

/2010 privind auditarea sistemelor informatice ale entitilor autorizate, reglementate i supravegheate de CNVM Art. 1. Prezenta instruciune stabilete cerinele minime privind auditarea sistemelor informatice utilizate de entitile autorizate, reglementate i supravegheate de CNVM. Art. 2. n nelesul prezentei instruciuni, termenii de mai jos au urmtoarele semnificaii: (1) Sistemul informatic reprezint orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate n relaie funcional, dintre care unul sau mai multe asigur prelucrarea automat a datelor, cu ajutorul unui program informatic. (2) Auditul sistemelor informaionale - reprezint evaluarea sistemului informatic n scopul emiterii de opinii calificate asupra gradului de conformitate a acestuia cu standardele n domeniu (ISO/IEC 27001:2005 i ISO/IEC 27002:2005), precum i asupra capacitii sistemului informatic de a atinge obiectivele strategice ale unei entiti, utiliznd eficient resursele informaionale i asigurnd integritatea datelor prelucrate i stocate. (3) Standarde ISACA - reprezint setul de obiective de control n domeniul informaticii, acceptate pe plan internaional, care se pot aplica n general i care sunt recunoscute n domeniul controlului de securitate i reglementare informatic. (4) ISACA ( Information Systems Audit and Control Association) - organizaia profesional internaional care grupeaz i certific specialiti n domeniul auditului sistemelor informaionale i care are ca scop asigurarea guvernanei, controlului, securitii sistemelor IT, precum i a auditului profesional. (5) SMSI (Sistem de management al securitii informaiei) este un sistem de management bazat pe o abordare a riscurilor la care organizaia este expus i are scopul de a stabili, implementa, opera, monitoriza, revizui, menine i mbunti securitatea informaiei. (6) ISO/IEC 27001:2005 este un standard care stabilete cerinele pentru un Sistem de Management al Securitii Informaiei. Ajut la identificarea, managementul i minimizarea ameninrilor care afecteaz de obicei informaia. (7) ISO/IEC 27002:2005 reprezint un cod de practic pentru managementul securitii informaiei. Acest standard stabilete liniile i principiile generale pentru organizaii pentru a iniia, implementa, menine i mbuntii managementul securitii informaiei. (8) Certificarea SMSI se obine n baza referenialului ISO/IEC 27001:2005 care este folosit pentru a verifica implementarea celor 133 de msuri de securitate descrise n ISO/IEC 27002:2005. (9) Auditor al sistemelor informatice (Auditor IT) - este persoana fizic sau angajatul firmei de audit IT care dein un certificat CISA (Certified Information Systems Auditor) eliberat de ctre un organism general recunoscut n domeniu (ISACA - Asociaia de Audit i Control al Sistemelor Informatice/Information Systems Audit and Control Association). (10) Firma de audit IT - persoana juridic autorizat de autoritatea competent, respectiv ISACA, s efectueze audit al sistemelor informatice; (11) Entiti reglementate entitile a cror activitate este autorizat, reglementat i supravegheat de C.N.V.M. (12) Raport de audit instrumentul prin care se comunic scopul auditrii, obiectivele urmrite, perioada acoperit, natura, ntinderea procedurilor de audit, constatrile i

concluziile misiunii, precum i orice rezerv pe care auditorul o are asupra sistemului informatic auditat. (13) Angajaii-cheie sunt persoane care au autoritatea i responsabilitatea de a planifica, conduce i controla activitile entitii, n mod direct sau indirect, incluznd oricare director (executiv sau altfel) al entitii. (14) Hardware -ansamblul elementelor fizice i tehnice cu ajutorul crora datele se pot culege, verifica, prelucra, transmite, afia i stoca, apoi suporturile de memorare (dispozitivele de stocare) a datelor, precum i echipamentele de calculator auxiliare (15) Software - toat gama de produse program, care cuprinde cel puin urmtoarele elemente:sisteme de operare, drivere i programe de aplicaie. Art. 3 (1) Prezenta instruciune se adreseaz urmtoarelor categorii de entiti: a) societi de investiii; b) depozitari centrali, case de compensare/contrapri centrale; c) societi de servicii de investiii financiare; d) traderi; e) societi de administrare a investiiilor; f) fondul de compensare a investitorilor; g) operatori de pia/ operatori de sistem; h) alte entiti nominalizate de CNVM prin acte normative. Art. 4 Persoanele prevzute la art. 3 care utilizeaz sisteme informatice de prelucrare automat a datelor au obligaia s asigure prelucrarea datelor nregistrate n contabilitate n conformitate cu normele contabile aplicabile, controlul i pstrarea acestora pe suporturi tehnice. Art. 5 Sistemele informatice utilizate de entitile autorizate, reglementate i supravegheate de CNVM trebuie s respecte cel puin urmtoarele cerine: 1. cerine referitoare la respectarea reglementrilor pieei de capital: a) s asigure integritatea, confidenialitatea datelor, precum i prelucrarea acestora n conformitate cu reglementrile pieei de capital n vigoare; b) s asigure listri clare, inteligibile i complete ale rapoartelor precizate n reglementrile emise de CNVM pentru entitile autorizate, reglementate i supravegheate de CNVM; c) s asigure respectarea coninutului de informaii prevzut n formularele de raportare corespunztoare entitilor autorizate, reglementate i supravegheate de CNVM aa cum sunt prevzute n anexele la prezenta instruciune, precum i alte informaii de raportare solicitate prin reglementrile pieei de capital; d) s respecte orice alte cerine care rezult din dispoziiile legale n vigoare, aplicabile societii n funcie de obiectul de activitate al acesteia. Spre exemplu, dac societatea emite facturi n format electronic, sistemul informatic trebuie s respecte prevederile ordinului 488/2009 privind procedura de verificare i omologare a sistemelor informatice destinate operaiunilor de emitere a facturilor n form electronic; n cazul n care societatea comercializeaz produse sau ofer servicii prin intermediul internetului, sistemul informatic trebuie s respecte att legea 365/07.06.2002 privind comerul electronic, cu modificrile i completrile ulterioare. 2. cerine generale privind programele informatice utilizate n activitatea financiara i contabil, prevzute n capitolele G, respectiv H. din ANEXA 1 a Ordinul MFP nr.3.512/2008 privind documentele financiar-contabile.
2

Art. 6 Toate entitile din categoriile menionate la art.3 trebuie s obin certificarea SMSI, n baza implementrii prevederilor standardelor ISO/IEC 27001:2005 i ISO/IEC 27002:2005. Art. 7 (1) Sistemele informatice ale entitilor reglementate se auditeaz de persoana fizic sau angajatul persoanei juridice care este certificat/certificat ca auditor de sisteme informatice de ctre ISACA - Asociaia de Audit i Control al Sistemelor (Informatice/Information Systems Audit and Control Association) i este nscris/nscris n Registrul public al CNVM. (2) Obligaia de auditare a sistemelor informatice prevzut la alin.(1) se aplic i n cazul sistemelor de tranzacionare administrate de un operator de pia/operator de sistem. Art. 8 n vederea nscrierii n Registrul public al CNVM, auditorii sistemelor informatice trebuie s transmit la CNVM urmtoarele documente: 1. auditorii sistemelor informatice - persoane fizice: a) act de identitate, copie; b) atestarea emis de ISACA (certificat CISA), copie legalizat; c) curriculum vitae, datat i semnat, cu prezentarea experienei profesionale; d) carnet membru ISACA, copie ( pentru a face dovada c este membru activ); e) contract de asigurare de rspundere civil profesional de minimum 100.000 euro, copie; f) certificat de cazier judiciar i fiscal, n original sau copie legalizat; g) dovada achitrii tarifului de nscriere n Registrul public al C.N.V.M. 2. auditorii sistemelor informatice - persoane juridice: a) certificat de nregistrare la Oficiul Registrului Comerului, copie legalizat; b) atestarea emis de ISACA (certificat CISA), copie legalizat; c) lista auditorilor sistemelor informatice, persoane fizice angajate, acionari sau administratori; d) contract de asigurare de rspundere civil profesional de minimum 250.000 euro, copie; e) documentaia prevzut la alin.(1) lit. a) - g) pentru auditori sistemelor informatice persoane fizice care pot efectua, n numele persoanei juridice, auditul sistemelor informatice la entitile autorizate, reglementate i supravegheate de CNVM f) certificat cazier fiscal, n original sau copie legalizat; g) dovada achitrii tarifului de nscriere n Registrul public al C.N.V.M.. Art. 9 Radierea din Registrul CNVM a auditorilor sistemelor informatice se realizeaz n urmtoarele condiii, dup caz: a) la cerere; b) la decesul auditorului sistemului informatic persoan fizic sau, dup caz, ca urmare a dizolvrii/lichidrii ori a constatrii strii de insolvabilitate a persoanei juridice; c) alte cauze de ncetare prevzute de lege. Art. 10 Persoana fizic sau angajatul persoanei juridice care a efectuat auditul sistemelor informatice la entitile reglementate trebuie s ntocmeasc un raport de audit care va cuprinde evaluarea sistemului informatic, precum i evaluarea msurilor organizatorice implementate n vederea operrii acestuia, evideniindu-se infrastructura hardware i software

folosite n cadrul sistemului informatic auditat, procedurile privind gestiunea datelor, i modul n care se realizeaz protecia datelor Art. 11 Coninutul minim al raportului de audit, va consta n: 1. elementele de identificare a auditorului; 2. perioada n care a fost efectuat auditul; 3. echipa de audit (pentru fiecare persoan se va preciza poziia n cadrul echipei de audit, calificri, certificri anexndu-se documentele doveditoare); 4. metodologia utilizat; 5. descrierea sistemului auditat: a) descrierea entitii auditate; b) identificarea aplicaiilor utilizate i persoanele implicate; c) sistemele informatice cu care acesta se afl n relaie de interdependen; d) componentele sistemelor informatice utilizate: aplicaie/server/sistem de operare/detalii configurare/locaie/administrare; e) analiza riscurilor implicate de activitate i a posibilelor vulnerabiliti ale sistemului informatic auditat; f) opinia auditorului. 6. msurile organizatorice: politicile aplicate i procedurile folosite; 7. prezentarea msurilor luate de entitatea auditat pentru a implementa standardele; 8. rezultatele validrii cerinelor precizate n cadrul art.5.; Pentru fiecare cerin din cele precizate n cadrul art.5, se va preciza starea (Cerin ndeplinit: DA/NU), precum i motivaia strii precizate. 9. afirmaia de conformitate (opinia pozitiv), de conformare parial/total referitoare la obiectivele auditate, indicnd punctele care trebuie mbuntite (opinie cu rezerve/calificat) sau de nendeplinirea obiectivelor auditate (opinia negativ); 10. declaraie pe proprie rspundere, sub semntur olograf c nu se afl n relaii cu entitatea auditat sau angajaii cheie, ori cu conducerea entitii care s-i afecteze independena sau obiectivitatea; 11. alte meniuni relevante. Art. 12 (1) Raportul de audit efectuat de auditorul sistemelor informatice prevzut la art.11 va fi ntocmit o dat la doi ani i va fi transmis la CNVM n termen de 90 de zile de la nchiderea perioadei de auditare. (2) n cazul n care la nivelul entitii se produc schimbri majore n structura sistemului informatic, cum ar fi: - schimbarea integral a unor aplicaii informatice folosite n contabilitatea societii; - schimbarea procedurilor sau fluxurilor de prelucrare a datelor contabile; - schimbarea procedurilor de arhivare i/sau restaurare a datelor contabile; - schimbarea unuia dintre serverele care deservesc aplicaiile de contabilitate; se va realiza, n termen de 60 de zile de la implementarea schimbrilor, un raport de audit care va cuprinde o analiz a impactului i riscurilor survenite n urma schimbrilor efectuate. Raportul de audit menionat anterior va fi transmis la CNVM n maxim 5 zile de la nchiderea perioadei de auditare. (3) Rapoartele de audit prevzute la alin.(1) i alin.(2) vor fi semnate i tampilate, dup caz, de ctre persoanele autorizate n acest sens i se vor depune la CNVM pe suport digital i pe suport analogic (pe hrtie).

Art. 13 Auditorii sistemelor informatice au obligaia s notifice/informeze fr s vin n contradicie cu dispoziiile din Codul privind conduita etic, profesional i Standardele ISACA, n termen de 10 zile, orice fapt sau act n legtur cu sistemele informatice ale entitilor reglementate care ncalc prevederile prezentei instruciuni precum i cele pe care le consider ca fiind o nclcare a regulilor prudeniale prevzute n legislaia pieei de capital. Art. 14 Auditorii sistemelor informatice, la solicitarea scris a C.N.V.M., au obligaia: a) s nainteze C.N.V.M. orice raport sau document ce a fost adus la cunotina entitii auditate; b) s nainteze C.N.V.M. o declaraie care s indice motivele de ncetare a contractului de audit, indiferent de natura acestora; c) s nainteze C.N.V.M. orice raport sau document cuprinznd observaiile care au fost aduse la cunotina conducerii entitii auditate; d) s nainteze C.N.V.M. orice alte informaii sau documente solicitate. Art. 15 ndeplinirea cu bun-credin de ctre auditorul sistemelor informatice a obligaiei de a notifica/informa CNVM, n conformitate cu art.14, nu constituie o nclcare a obligaiei de pstrare a secretului profesional care revine acestuia potrivit legii/codului etic i profesional sau clauzelor contractuale, neputnd atrage rspunderea auditorului sistemului informatic n cauz. Art. 16 Pentru deficienele semnificative constatate n activitatea profesional desfurat de auditorul sistemului informatic, n legtur cu activitile reglementate prin prezenta instruciune, CNVM va sesiza ISACA i va solicita adoptarea msurilor corespunztoare. Art. 17 CNVM asigur confidenialitatea informaiilor primite, n conformitate cu prevederile legislaiei pieei de capital, cu excepiile prevzute de lege. Art. 18 Nerespectarea prevederilor prezentei instruciuni de ctre entitile prevzute la art.3 se sancioneaz n conformitate cu prevederile Titlului X Rspunderi i sanciuni din Legea nr. 297/2004 privind piaa de capital, cu modificrile i completrile ulterioare. Art. 19 Entitile reglementate au obligaia ca, n termen de 365 de zile de la intrarea n vigoare a prezentei Instruciuni, s realizeze primul raport de audit conform prevederilor menionate la art.11 Art. 20 Prezenta instruciune intr n vigoare la data publicrii acesteia i a ordinului de aprobare n Monitorul Oficial al Romniei, Partea I i va fi publicat n Buletinul C.N.V.M. i pe pagina de internet a C.N.V.M.

Anexa A la Instruciunea nr. /2010 privind cerinele minime ale sistemelor informatice ale entitilor autorizate, reglementate i supravegheate de CNVM Cerine de raportare ctre CNVM pentru societi de investiii Nr.crt. Tip entitate raportoare Denumire raportare Raport periodic, privind activul net Termen de transmitere ctre CNVM Sptmnal Semestrial, la dou luni dup ncheierea semestrului I, respectiv 31 august Anual, la patru luni dup ncheierea exerciiului financiar, respectiv 30 aprilie Lunar , n maxim 15 zile de la sfritul perioadei pentru care se face raportarea Semestrial, la dou luni dup ncheierea semestrului I, respectiv 31 august Anual: - n termen de 150 de
zile de la nchiderea exerciiului financiar pentru Societi de investiii financiare (S.I.F.) - n termen de patru luni de la nchiderea exerciiului financiar, pentru celelalte A.O.P.C. n afar de S.I.F.,

Legislaie specific Legea nr.297/2004 (art.107) Legea nr.297/2004 (art.107) Legea nr.297/2004 (art.107) Regulamentul CNVM nr.15/2004 (art.204) Regulamentul CNVM nr.15/2004 (art.204) - Ordinul CNVM nr.11/2009 -Regulamentul CNVM nr.15/2004 (art.204)

1.

O.P.C.V.M.

Raport semestrial

Raport anual Raport periodic, privind valoarea activului net Raport semestrial

Raport anual

2.

A.O.P.C

Situaii financiare consolidate

Anual, la patru luni dup ncheierea exerciiului financiar, respectiv 30 aprilie .

Ordin CNVM nr.74/2005 coroborat cu Regulamentul CNVM nr.1/2006

Anexa B la Instruciunea nr. /2010 privind cerinele minime ale sistemelor informatice ale entitilor autorizate, reglementate i supravegheate de CNVM Cerine de raportare ctre CNVM pentru depozitari centrali, case de compensare, contrapri centrale Denumire raportare Raport trimestrial Termen de transmitere ctre CNVM Trimestrial, in maxim 45 de zile de la data ncheierii fiecrui trimestru Semestrial, la dou luni dup ncheierea semestrului I, respectiv 31 august

Nr.crt. 1.

Legislaie specific Regulamentul CNVM nr.13/2005 (art.111 respectiv art.202) Instruciunea CNVM nr.5/2006 cu modificrile i completrile ulterioare (art.3 alin.(1)) Regulamentul CNVM nr.13/2005 (art.110) Regulamentul CNVM nr.13/2005 (art.108 respectiv art.201) Regulamentul CNVM nr.13/2005 (art.180 alin.(3))

2.

Raport semestrial

3. 4.

Raport anual Raport privind testarea echipamentelor informatice si a calculatoarelor Raport privind gestionarea fondurilor

Anual, n maxim 150 de zile dup ncheierea exerciiului financiar Anual, pn cel trziu 31 decembrie ale anului

5.

Trimestrial, n maxim 30 de zile de la data ncheierii fiecrui trimestru

Anexa C la Instruciunea nr. /2010 privind cerinele minime ale sistemelor informatice ale entitilor autorizate, reglementate i supravegheate de CNVM Cerine de raportare ctre CNVM pentru societile de servicii de investiii financiare Termen de Legislaie Denumire raportare transmitere ctre specific CNVM Capital iniial Lunar, n 30 de zile de Regulamentul la sfritul perioadei de BNR/CNVM raportare prin nr.22/27/2006 asimilare cu adecvarea (art.29) capitalului
7

Nr.crt. 1.

Nr.crt. 2.

Denumire raportare Adecvarea capitalului

Termen de transmitere ctre CNVM Semestrial, n 30 de zile de la sfritul perioadei de raportare Trimestrial, n 30 de zile de la sfritul perioadei de raportare

Legislaie specific Regulamentul BNR/CNVM nr.22/27/2006 (art.23) Instruciunea CNVM nr.7/2007 (art.4), Instruciunea CNVM nr.8/2007 (art.3 i art.4) Legea nr.297/2004 (art.7 alin.(1) lit. c)) Regulamentul CNVM nr.32/2006 (art.153 alin.(1) lit. b)) Regulamentul CNVM nr.32/2006 (art.153 alin.(1) lit. c))

3.

Adecvarea capitalului

4. 5.

6.

7.

8.

Lunar, n 30 de zile de la sfritul perioadei de raportare Raport privind evidena Lunar, n 10 zile de la operaiunilor de mprumut, ncheierea lunii de a cumprrilor n marj i a raportare sau maximum vnzrilor n lips 24 de ore de la solicitarea C.N.V.M. Raport privind Lunar, n 10 zile de la tranzaciile cu ncheierea lunii de instrumente financiare raportare sau maximum derivate 24 de ore de la solicitarea C.N.V.M. Raport semestrial Semestrial, la dou luni dup ncheierea semestrului I, respectiv 31 august Raport anual Anual, n termen de 150 de zile de la ncheierea exerciiului financiar Raportul auditorilor interni Raport privind sursa veniturilor destinaia chelt. Anexa nr. 1A

Adecvarea capitalului

9.

10.

11. 12.

Raport privind structura organizaional i sistemul de contabilitate

8

Regulamentul CNVM nr.32/2006 (art.153 alin.(1) lit. d)) Regulamentul CNVM nr.32/2006 (art.153 alin.(1) lit. e)) Anual, i va fi transmis Regulamentul mpreun cu raportul CNVM nr.32/2006 anual (art.153 alin.(1) lit. f)) Anual, i va fi transmis Regulamentul mpreun cu raportul CNVM nr.32/2006 anual (art.153 alin.(1) lit. g)) Anual, pn cel trziu la Regulamentul 31 ianuarie CNVM nr.32/2006 (art.153 alin.(2)) Anual, pn cel trziu la Regulamentul 31 ianuarie CNVM nr.32/2006 (art.153 alin.(3) )

Nr.crt. 13.

Denumire raportare Raportul Compartimentului de Control Intern Raportul pe baza consolidat sau subconsolidat Raportul auditorului financiar Raportarea tuturor expunerilor mari Raport cuprinznd activitatea desfurat, investigaiile efectuate, abaterile constatate, propunerile fcute i programul/planul investigaiilor propuse pentru anul urmtor Raportul conductorului structurii organizatorice aferente operaiunilor pe piaa de capital cu privire la activitatea desfurat de instituia de credit

Termen de transmitere ctre CNVM Anual, pn la data de 1 martie

Legislaie specific Regulamentul CNVM nr.32/2006 (art.79) Regulamentul BNR/CNVM nr.22/27/2006 (art.23) Regulamentul CNVM nr.32/2006 (art.95) Regulamentul BNR/CNVM nr.16/21/2006 (art. 8 alin.(2) ) Regulamentul CNVM nr.32/2006 (art.79)

14. 15. 16.

Semestrial Anual, i atunci cnd este efectuat la cerina S.S.I.F. Trimestrial

17.

Anual, pn la data de 1 martie

18.

Anual, va fi transmis pn la 31 martie (prin asimilare cu SSIF)

Regulamentul CNVM nr.32/2006 (art.32 alin.(3) lit. b))

Anexa D la Instruciunea nr. /2010 privind cerinele minime ale sistemelor informatice ale entitilor autorizate, reglementate i supravegheate de CNVM Cerine de raportare ctre CNVM pentru traderi Denumire Termen de transmitere ctre Nr.crt. raportare CNVM 1. Raport semestrial Semestrial, la dou luni dup ncheierea semestrului I, respectiv 31 august 2. Raport anual Anual, n termen de 150 de zile de la ncheierea exerciiului financiar

Legislaie specific Regulamentul CNVM nr.32/2006 (art.36 alin.(1) lit. a)) Regulamentul CNVM nr.32/2006 (art.36 alin.(1) lit. b))

Anexa E la Instruciunea nr. /2010 privind cerinele minime ale sistemelor informatice ale entitilor autorizate, reglementate i supravegheate de CNVM Cerine de raportare ctre CNVM pentru societi de administrare a investiiilor Nr.crt. 1. 2. 3. Denumire raportare Raport semestrial Raport anual Raportare cerine minime de capital Termen de transmitere ctre CNVM Semestrial, la dou luni dup ncheierea semestrului I, respectiv 31 august Anual, n termen de 150 de zile de la ncheierea exerciiului financiar Trimestrial, n termen de maxim 30 de zile de la sfritul perioadei de raportare Legislaie specific Regulamentul CNVM nr.15/2004 (art.49) Regulamentul CNVM nr.15/2004 (art.49) Regulamentul BNR/CNVM nr.22/27/2006 (art.30) coroborat cu Instruciunea CNVM nr.8/2007 (art.3 i art.4) Regulamentul CNVM nr.15/2004 (art.11 alin.(3)) Regulamentul CNVM nr.15/2004 (art.41) Regulamentul BNR/CNVM nr.22/27/2006 (art.29 i art.30)

4. 5. 6.

Raport cu privire la administrare de portofolii individuale Raportul Compartimentului de Control Intern Capitalul iniial

La cerere Anual, pn la data de 15 martie Lunar, n 30 de zile de la sfritul perioadei de raportare prin asimilare cu adecvarea capitalului

Anexa F la Instruciunea nr. /2010 privind cerinele minime ale sistemelor informatice ale entitilor autorizate, reglementate i supravegheate de CNVM Cerine de raportare ctre CNVM pentru fondul de compensare a investitorilor Denumire Termen de transmitere ctre Nr.crt. raportare CNVM 1. Raport semestrial Semestrial, la dou luni dup ncheierea semestrului I, respectiv 31 august

Legislaie specific Instruciunea CNVM nr.5/2006 cu modificrile i completrile ulterioare (art.3 alin.(3)) Regulamentul CNVM nr.3/2006 (art.19 alin.(3))

2.

Raport anual

Anual, n maxim 120 de zile dup ncheierea exerciiului financiar

10

Anexa G la Instruciunea nr. /2010 privind cerinele minime ale sistemelor informatice ale entitilor autorizate, reglementate i supravegheate de CNVM Cerine de raportare ctre CNVM pentru operatori de pia/operatori sisteme alternative de tranzacionare Nr.crt. 1. Denumire raportare Raport trimestrial Termen de transmitere ctre CNVM Trimestrial, n maximum 45 de zile de la data nchiderii fiecrui trimestru Legislaie specific Regulamentul CNVM nr.2/2006 (art.57 alin.(2))

2.

Raport semestrial

3. 4.

Raport anual Raport privind testarea echipamentelor informatice si a calculatorului de tranzacionare

Semestrial, la dou luni dup Instruciunea CNVM ncheierea semestrului I, respectiv 31 nr.5/2006 cu august modificrile i completrile ulterioare (art.3 alin.(1)) Anual, n maximum 150 de zile dup Regulamentul ncheierea exerciiului financiar CNVM nr.2/2006 (art.56 alin.(1)) Anual, pn cel trziu 31 decembrie Regulamentul ale anului CNVM nr.2/2006 (art.56 alin.(5))

11

Extras din coninutul ordinului ANEXEI 1 a MFP nr.3.512/2008 privind documentele financiar-contabile [] G. Criteriile minimale privind programele informatice utilizate n activitatea financiara si contabila 58. Sistemul informatic de prelucrare automat a datelor la nivelul fiecrei uniti trebuie s asigure prelucrarea datelor nregistrate n contabilitate n conformitate cu reglementrile contabile aplicabile, controlul si pstrarea acestora pe suporturi tehnice. La elaborarea si adaptarea programelor informatice vor fi avute n vedere urmtoarele: a) cuprinderea n procedurile de prelucrare a reglementarilor n vigoare si a posibilitii de actualizare a acestor proceduri, n funcie de modificrile intervenite n legislaie; b) cunoaterea adecvata a funciilor sistemului de prelucrare automat a datelor de ctre personalul implicat i respectarea acestora; c) gestionarea pachetelor de produse-program, asigurarea proteciei lor mpotriva accesului neautorizat, realizarea confidenialitii datelor din sistemul informatic; d) stabilirea tipului de suport pentru pstrarea datelor de intrare, intermediare sau de ieire; e) soluionarea eventualelor erori care pot sa apar n funcionarea sistemului informatic; f) verificarea complet sau prin sondaj a modului de funcionare a procedurilor de prelucrare prevzute de sistemul informatic; g) verificarea total sau prin sondaj a operaiunilor economico-financiare nregistrate n contabilitate, astfel nct acestea sa fie efectuate n concordan strict cu prevederile actelor normative care le reglementeaz; h) verificarea prin teste de control a programului informatic utilizat. 59. Sistemele informatice de prelucrare automat a datelor n domeniul financiar-contabil trebuie sa rspund la urmtoarele criterii considerate minimale: a) s asigure concordana strict a rezultatului prelucrrilor informatice cu prevederile actelor normative care le reglementeaz; b) s precizeze tipul de suport care asigur prelucrarea datelor n condiii de siguran; c) fiecare data nregistrata n contabilitate trebuie sa se regseasc n coninutul unui document, la care s poat avea acces att beneficiarii, ct si organele de control; d) s asigure listele operaiunilor efectuate n contabilitate pe baz de documente justificative, care sa fie numerotate n ordine cronologica, interzicndu-se inserri, intercalari, precum si orice eliminri sau adugri ulterioare; e) s asigure reluarea automat n calcul a soldurilor conturilor obinute anterior; f) s asigure conservarea datelor pe o perioad de timp care s respecte prevederile Legii nr. 82/1991, republicat; g) sa precizeze procedurile i suportul magnetic extern de arhivare a produselor-program, a datelor introduse, a situaiilor financiare sau a altor documente, cu posibilitatea de reintegrare n sistem a datelor arhivate; h) s nu permit inserri, modificri sau eliminri de date pentru o perioad nchisa; i) s asigure urmtoarele elemente constitutive ale nregistrrilor contabile: - data efecturii nregistrrii contabile a operaiunii; - jurnalul de origine n care se regsesc nregistrrile contabile; - numrul documentului justificativ sau contabil (atribuit de emitent); j) s asigure confidenialitatea si protecia informaiilor i a programelor prin parole, cod de identificare pentru accesul la informaii, copii de siguran pentru programe si informaii;
12

k) sa asigure listri clare, inteligibile si complete, care sa conin urmtoarele elemente de identificare, n antet sau pe fiecare pagin, dup caz: - tipul documentului sau al situaiei; - denumirea unitii; - perioada la care se refer informaia; - datarea listrilor; - paginarea cronologic; - precizarea programului informatic i a versiunii utilizate; l) s asigure listarea ansamblului de situaii financiare i documente de sintez necesare conducerii operative a unitii; m) s asigure respectarea coninutului de informaii prevzut pentru formulare; n)s permit, n orice moment, reconstituirea coninutului conturilor, listelor si informaiilor supuse verificrii; toate soldurile conturilor trebuie sa fie rezultatul unei liste de nregistrri i al unui sold anterior al acelui cont; fiecare nregistrare trebuie s aib la baz elemente de identificare a datelor supuse prelucrrii; o) s nu permit: - deschiderea a dou conturi cu acelai simbol; - modificarea simbolului de cont n cazul n care au fost nregistrate date n acel cont; - suprimarea unui cont n cursul exerciiului financiar curent sau aferent exerciiului financiar precedent, dac acesta conine nregistrri sau sold; - editarea a dou sau a mai multor documente de acelai tip, cu acelai numr i coninut diferit de informaii; p) s permit suprimarea unui cont care nu are nregistrri pe parcursul a cel puin 2 ani (exerciii financiare), n mod automat sau manual; r) s prevad n documentaia produsului informatic modul de organizare si tipul sistemului de prelucrare: - monopost sau multipost; - monosocietate sau multisocietate; - reea de calculatoare; - portabilitatea fiierelor de date; s) s precizeze tipul de organizare pentru culegerea datelor: - preluri pe loturi cu control ulterior; - preluri n timp real cu efectuarea controlului imediat; - combinarea celor dou tipuri; t) s permit culegerea unui numr nelimitat de nregistrri pentru operaiunile contabile; u) s posede documentaia tehnic de utilizare a programelor informatice necesara exploatrii optime a acestora; v) s respecte reglementrile n vigoare cu privire la securitatea datelor i fiabilitatea sistemului informatic de prelucrare automata a datelor. 60. Elaboratorii de programe informatice au obligaia de a prevedea, prin contractele de livrare a programelor informatice, clauze privind ntreinerea i adaptarea produselor livrate, precum i clauze privind eliminarea posibilitilor de modificare a procedurilor de prelucrare automata a datelor de ctre utilizatori. Unitile de informatic sau persoanele care efectueaz lucrri cu ajutorul sistemului informatic de prelucrare automat a datelor poart rspunderea prelucrrii cu exactitate a informaiilor din documente, iar beneficiarii rspund pentru exactitatea i realitatea datelor pe care le transmit pentru prelucrare. 61. Utilizatorul trebuie: - s se asigure de perenitatea documentaiei, a diferitelor versiuni ale produsului-program;

13

- s organizeze arhivarea datelor, programelor sau produselor de prelucrare astfel nct informaiile s poat fi reprocesate; - s dein la sediul su, pe perioada neprescris, manualul de utilizare complet i actualizat al fiecrui produs-program utilizat. 62. Pe perioada neprescrisa se va organiza o gestiune a versiunilor, modificrilor, corecturilor i schimbrilor de sistem informatic, produse-program i sistem de calcul. Dac unitatea, n cursul acestei perioade, a schimbat sistemul de calcul, respectiv de prelucrare a datelor, trebuie sa se efectueze o reconciliere ntre datele arhivate si versiunile noi ale produselor-program si ale echipamentelor de calcul. Arhivele pe suport magnetic trebuie "mprosptate" periodic pentru a asigura accesibilitatea datelor. 63. Responsabilitile ce revin personalului unitii cu privire la utilizarea sistemului informatic de prelucrare automat a datelor se stabilesc prin regulamente interne. H. Condiiile n care se pot ntocmi, edita i arhiva electronic documentele financiar-contabile 64. Din punct de vedere al bazei de date trebuie s existe posibilitatea reconstituirii n orice moment a coninutului documentelor financiar-contabile. 65. Documentele financiar-contabile, care se arhiveaz pe suport WORM (Write Once Read Many), trebuie s fie semnate de persoana care le ntocmete, n conformitate cu prevederile Legii nr. 455/2001 privind semntura electronic. 66. Trebuie s existe un plan de securitate al sistemului informatic, cuprinznd msurile tehnice i organizatorice care sa asigure urmtoarele cerine minimale: a) confidenialitatea si integritatea comunicaiilor; b) confidenialitatea si nonrepudierea tranzaciilor; c) confidenialitatea si integritatea datelor; d) restricionarea, detectarea i monitorizarea accesului n sistem; e) restaurarea informaiilor gestionate de sistem n cazul unor calamiti naturale, evenimente imprevizibile, prin: - arhivarea datelor utiliznd tehnologia WORM, care sa permit inscripionarea o singur dat i accesarea ori de cte ori este nevoie a informaiilor stocate; - nregistrarea datelor din documentele financiar-contabile n timp real, n alt sistem de calcul, cu aceleai caracteristici, care s fie amplasat ntr-o alta locaie. 67. Trebuie s se asigure listarea tuturor documentelor financiar-contabile solicitate de organele de control. []

14