I.

Introducere

Auditul reprezint prerea unui specialist autorizat de o anume organiza ie

profesional,cu privire la starea economic general a unei companii,firme sau autorit i
instituionale aa cum este redat ea n sintezele contabile, iar realizarile sunt
consemnate ntr-un raport ntocmit sub responsabilitatea auditorului.
Principalele elemente care definesc auditul sunt:

examinarea informatii trebuie sa fie profesionala;

se executa aceasta examinare in vederea obtineriio evaluare;
in ceea ce priveste aprecierea asupra informatiei trebuie sa fie indipendenta;
examinarea se realizeaza dupa niste reguli bine stabilite.

Auditul financiar in primul rand este legal si se refera la certificarea situatiilor financiare
din cadrul unei firme. Un astfel de audit poate fi efectuat de catre un auditor autorizat
extern si independent sau o persoana oarecare fiind angajata respective entitati
Acetia sunt cei care efectueaz auditul public intern, auditul intern al entit ilor
economice sau orice alt lucrare catalogat n reglementrile respectivei persoane
juridice ca lucrare de audit.
De asemenea, cand vorbim de audit, avem si niste norme care asigura ca opinia
auditorului va fi emisa in functie de criteriile de calitate omogene permitandu-i astfel
auditorului sa-si defineasca scopurile pe care trebuie sa si le atinga in vederea aplicarii
niste norme si acelea fiind:

norme profesionale de lucru;

norme de raportare;

norme generale de comportament.

Tipuri de audit:

Auditul preventiv se defineste ca o examinare a operatiunilor administrative sau

financiare anterior desfasurarii lor efective, avand avantajul de a putea preveni
prejudiciul inainte ca acesta sa apara. Totusi, el are dezavantajul de a genera un volum
de munca excesiv, precum si faptul ca responsabilitatea stabilita pe baza dreptului
public nu este clar definita.

Auditul ulterior se defineste ca o examinare a operatiunilor administrative sau financiare

dupa desfasurarea lor. El poate duce la recuperarea pagubelor si poate preveni
repetarea
erorilor
prin
stabilirea
responsabilitatilor
celor
vinovati.
Auditul preventiv si auditul ulterior reprezinta apanajul exclusiv al unor institutii supreme
de audit si sunt reglementate in mod expres prin legile proprii.

a) Auditul conformitatii sau legalitatii, cuprinde atestarea responsabilitatii financiare a

entitatilor, presupunand examinarea si evaluarea inregistrarilor financiare si exprimarea
opiniilor:
atestarea
responsabilitatii
financiare
a
administratiei
guvernamentale;
- auditul sistemelor si tranzactiilor financiare, cuprinzand evaluarea conformitatii in
legatura cu regulamentarile:
- auditul controlului intern si functiile acestuia
- auditul onestitatii si al caracterului adecvat in legatura cu deciziile administrative
luate.

b) Auditul financiar. De multa vreme, auditorilor din sectorul public li se cere sa-si
exprime opinia asupra rapoartelor financiare.
De asemenea, in sectorul privat, un auditor independent poate furniza, prin rapoarte de
audit, credibilitate asupra situatiilor financiare, atestand sau nu daca declaratiile
financiare
prezinta
corect
situatia
financiara
si
tranzactiile
entitatii.
In practica, de cele mai multe ori, auditurile de conformitate si de atestare financiara se
deruleaza concomitent si se numesc audituri de regularitate sau auditurilegislative
Unele Institutii Internationale de Audit folosesc pentru auditul conformitatii si auditul de
atestare financiara termenul de audituri financiare.

c) Auditul performantei trebuie specificat ca nu exista o definitie general acceptata

II. Prezentarea platformei online ums.ub.ro

Ums.ub.ro este o platforma oferita de catre Universitatea Vasile Alecsandri Bacau
studentilor pentru a le veni in ajutor cu anumite informatii dar si plata taxelor.
Logarea se face in felul urmator:

in campul cont se introduce CNP-ul sau in cazul studentilor straini numarul

matricol;
in campul parola se va introduce data nasterii (DD-MM-YYYY)

Dupa ce s-a efectuat logarea, studentul are posiblitatea de a-si vizualiza datele
personale, situatia scolara si sa-si plateasca taxa.

III. Chestionar

In continuare, prezentm desfurarea misiunii de audit intern pentru activitatea IT,

structurat pe etapele, procedurile i documentele care se elaboreaz pe baza acestora
1. La nivelul managementului
2. Proiectarea sistemului informatic
3. Dezvoltarea/achizitionarea sistemului
4. Testarea sistemului
5. Implementarea si conversia sistemului
6. Intretinerea sistemului
7. Securitatea sistemului
8. Nivelul operational
1. La nivelul managementului:
Nr.

DA N
U

crt.
1.

Tipul de organizare (centralizata,

descentralizata, combinata) este potrivit
pentru obiectivele firmei?

Observatii

2.

Sunt bine stabilite si ierarhizate obiectivele

organizarii sistemului informatic?

3.

Sunt definite clar serviciile ce vor fi oferite

intreprinderii de catre acest sistem?

4.

Sunt determinate functiile si activitatile ce

se vor executa?

5.

Este specificat localizarea sistemului

informatic folosit (echipamentele hardware
si software)?

2. Proiectarea sistemului informatic

Nr.
crt.

DA NU
1.

S-a realizat o planificare a proiectarii

sistemului informatic?

2.

x
x

Cand s-a proiectat sistemul, in proiect a

fost implicat o persoana din conducerea
firmei?
3.

S-a cooptat un reprezentant din fiecare

departament care va folosi sistemul,
pentru a fi consultat in timpul proiectarii?

4.

x
S-a facut o estimare cantitativ-calitativa
a costurilor si beneficiilor aduse de noul
sistem, pe baza unui studiu de
fezabilitate?

5.

Se au in vederea realizarea ulterioara de x

studii de fezabilitate privind dezvoltarea
sistemului?

6.

Se cunoaste impactul pe care noul

sistem il va avea la nivelul organizatiei?

Observatii

7.

Se cunosc costurile sociale datorate

introducerii noului sistem?

8.

Au fost consultati reprezentanti ai

utilizatorilor pentru a afla cerintele
acestora de la sistem?

9.

Sunt capabili utilizatorii sa identifice

cerintele noului sistem de la acestia?

10. Exista specificatii tehnice ale sistemului

(in format tiparit sau electronic)?

11. Exista specificatii privind impactul

sistemului asupra comportamentului
utilizatorilor (in format tiparit sau
electronic)?

12. Exista specificatii privind datele de

intrare, fisierele si bazele de date
folosite, sau datele de iesire sistemului?
(De exemplu, pentru datele de intrare
trebuie precizate tipul si originea lor,
volumul si cresterea anticipata,
dependenta temporala; pentru fisiere
trebuie specificate tipul, originea,
frecventa actualizarii, relatia cu fisierele
din alte sisteme, iar pentru datele de
iesire volumul si cresterea anticipata.)

3. Dezvoltarea/achizitionarea sistemului
Nr.
crt.

D
A
1. S-au proiectat cu atentie datele de
iesire?

2. Sunt precizate suporturile de memorare

pentru datele de iesire?

NU

Observatii

3. Se pot identifica caracteristicile

procesarilor?

4.

Sunt precizate echipamentele hardware

si sistemele de operare pe care vor fi
instalate aplicatiile sistemului informatic?

5. S-au stabilit proceduri de implementare a

noului sistem?

6. S-au proiectat teste?

7. S-au redactat manualele de operare si de

documentare a sistemului?

8. Este precizat mediul de

programare/dezvoltare folosit?

9. Programele (aplicatiile) si documentaria

aferenta sunt in proprietatea firmei?

10. Este specificat clar daca softul este facut

la comanda, special pentru firma
respectiva, sau este un pachet
generalizat de aplicatii?

11. Se ofera instruire si consultanta din

partea furnizorului?

12. Sistemul poate fi actualizat (la cerere sau

automat) in functie de modificarile
legislative, tehnice etc.

13. Sistemul contine elemente proprii de

control, de protejare a fisierelor sau a
datelor confidentiale?

14. Sistemul contine proceduri de restaurare

si de realizare a copiilor de siguranta,
statistici?

15. Exista sistem de asistenta de tip help?

Sistemul
contine copii de
siguranta datele
personale fiind
protejate.

16. Exista cerinte privind datele de intrare,

sunt acestea validate?

17. Exista flexibilitate in privinta formularelor

de culegere a datelor?

18. Exista flexibilitate in privinta rapoartelor

de afisare a iesirilor?

4. Testarea sistemului
Nr.
Crt.
1.

DA NU
Au existat proceduri de selectie a
echipamentelor pentru sistemul
informatic?

2.

Au fost trimise cereri de oferta catre

potentialii furnizori?

3.

Ofertele au fost evaluate?

4.

Produsele din oferta au fost testate si

evaluate?

5.

S-a negociat contractul cu furnizorul

sistemului?

6.

Echipamentele achizitionate functioneaza

fara defectiuni?

7.

Echipamentele respecta performantele

specificate in manualele de utilizare si in
specificatiile tehnice?

8.

Inainte de a fi folosit efectiv, sistemul nou

introdus a fost testat pe o cantitate mare
de date reprezentative, similare celor din
situatiile reale?

9.

S-a realizat o testare in paralel a

sistemului nou si a sistemului vechi,
pentru aceleasi date, pentru a face o

Observatii

comparatie intre ele?

10.

Functioneaza sistemul corect pe date

reale?

11.

In cazul intreruperii accidentale a

prelucrarilor, sistemul transmite mesaje
de avertizare utilizatorilor?

12.

Sistemul poate continua prelucrarile, in

cazul intreruperii acestora de catre
utilizatori?

5. Implementarea si conversia sistemului

1.

Au fost atribuite responsabilitati persoanelor

care s-au ocupat de implementare?

2.

S-au stabilit standarde prin care sa se asigure

eficienta si eficacitatea procesului de
implementare?

3.

S-a verificat integritatea si acuratetea

fisierelor initiale?

4.

A existat un plan al implementarii, pe baza

caruia sa se poata evalua progresele facute?

5.

S-au mentionat proceduri de conversie la noul

sistem?

6.

Utilizatorii au fost implicati in etapa de

conversie?

7.

Au fost testate procedurile de restaurare?

8.

Sistemul final corespunde obiectivelor initiale?

9.

Au avut in vedere posibilitati viitoare de

imbunatatire a sistemului?

10.

Este noul sistem mai eficient decat cel vechi?

x
x

11.

Activitatile din timpul dezvoltarii sistemului sau incadrat in planificarea calendaristica?

6. Intretinerea sistemului
Nr.
crt.

D
A

NU

1.

Exista proceduri care asigura

documentarea si planificarea
calendaristica a oricarei modificari adusa
sistemului initial sau a unor componente
ale acestuia?

2.

Exista proceduri prin care se asigura

executarea numai a modificarilor
autorizate?

3.

In exploatarea sistemului, au fost

acceptate aplicatii modificate, numai
dupa ce au fost autorizate, testate si
documentate?

4.

Exista proceduri care asigura raportarea

modificarilor aduse sistemului, atat
conducerii, cat si utilizatorilor implicati?

5.

Exista mecanisme de control care sa

previna modificarea neautorizata a
sistemului?

6.

Exista proceduri care sa permita si sa

controleze schimbarile urgente ce pot sa
intervina in cadrul sistemului?

7.

Este sistemul informatic depasit din punct

de vedere tehnologic?

8.

Este sistemul informatic depasit din punct

de vedere functional?

9.

Exista proceduri de intretinere care sa

Observatii

anticipeze tendintele sau problemele

viitoare, pentru a le putea face fata?

7. Securitatea sistemului
Nr.
crt.

D
A

1.

Exista specificate responsabilitati ale

personalului in privinta securitatii
informationale?

2.

Exista o clasificare a datelor si sunt

precizate nivelurile de securitate
asociate acestei clasificari?

3.

Este precizat rolul auditorilor interni in

monitorizarea securitatii sistemului?

4.

Exista proceduri privind separarea

x
functiilor incompatibile? (De exemplu,
urmatoarele functii din zona prelucrarii
automate a datelor trebuie sa fie
exercitate de persoane diferite: operare
calculator programare, pregatire date
procesare date, procesare date
controlul prelucrarii, operare calculator
gestiune suporturi de memorare,
receptia materialelor importante
transmiterea acestora, multiplicarea,
eliberarea sau distrugerea informatiilor
importante autorizarea acestor
activitati, codarea programelor
administrarea bazei de date.)

5.

Este asigurat secretul informatiilor

importante?

NU

Observatii

Da.Personalul a
fost instruit in
privinta
securitatii
informationale

si fiecaruia i-au
fost aduse la
cunostinta
responsabilitatil
e sale.

6.

Este imposibil furtul informatiilor?

7.

Informatiile organizatiei nu pot fi

divulgate neautorizat?

8.

Functionarea sistemului nu poate fi

intrerupta in mod neautorizat?

9.

Exista functii de identificare a prezentei

unui potential utilizator al sistemului?
(Acest lucru poate fi realizat prin numele
utilizatorului, o caracteristica functionala
sau un identificator arbitrar.)

10.

Exista functii de autentificare/verificare

a utilizatorilor sistemului? (Aici ne
referim la procesul prin care utilizatorul
dovedeste ca este ceea ce pretinde ca
este.)

11.

Exista functii de autorizare a accesarii

anumitor resurse de catre anumiti
utilizatori? (Se realizeaza prin
intermediul listelor de control al
accesului, sau tabelelor de autorizare.)

12.

Sunt echipamentele sistemului separate

fizic de celelalte
compartimente/departamente ale
organizatiei?

13.

La echipamentele sistemului au aces

doar persoanele autorizate?

14.

Sunt asigurate conditiile de mediu

(temperatura, umiditate etc.) mentionate
in documentatiile de utilizare si in cartile

x
x

tehnice ale echipamentelor?

15.

Exista proceduri prin care sa se asigure

functionarea sistemului in cazul
intreruperii alimentarii cu energie
electrica?

16.

Echipamentele folosesc surse de curent

neintreruptibil (UPS)?

17.

Exista planuri documentate si testate in

mod regulat, prin care sa se asigure
operationalitatea activitatilor, prin care
se realizeaza copiile de siguranta si
refacerea prelucrarilor in caz de
intrerupere a functionarii sistemului?

18.

Personalul care opereaza

echipamentele au fost instruite in
privinta protectiei muncii si au semnat
un proces verbal de instruire in acest
sens?

19.

Sunt instalate pe statiile de lucru

programe antivirus?

20.

Sunt instalate pe statiile de lucru

programe firewall?

21.

Este personalul suficient instruit si

verificat in privinta procedurilor
aplicabile in cazul copiilor de siguranta?

Da. Firma
beneficiaza de
o baterie de
rezerva in cazul
caderilor de
current oferind
timp
personalului sa
salveze
documentele si
sa inchida
propriu
sistemele de
calcul aflate in
functiune.

22.

Exista proceduri corespunzatoare in

cazul copiilor de siguranta, proceduri
prin care sa se aiba in vedere actiunile
ce trebuie intreprinse in cazul
functionarii incorecte, aparitia erorilor
sau a avariilor la nivelul sistemului de
procesare?

23.

Exista copii de siguranta pastrate intr-o

alta locatie decat ce a firmei (acasa la
proprietarul afacerii, la o banca, la un
furnizor de echipamente etc.)?

24.

Exista un plan de actiune in cazul

aparitiei unor evenimente neprevazute
de tipul dezastrelor naturale?

25.

Exista un contract de asigurare a

companiei, astfel incat reinceperea
activitatii in urma unui dezastru natural
sa nu implice ruinarea financiara a
firmei?

26.

Exista un contract de asigurare a

sistemului informatic, astfel incat in
urma unui dezastru (natural sau
software virusi, atac informatic),
acesta sa poate fi achizitionat din nou?

27.

Exista un contract cu o alta firma, avand

un sistem similar, care sa asigure
aceleasi facilitati, in cazul in care
sistemul firmei devine nefunctional?

8. Nivelul operational
Nr.
crt.

DA

NU

Observatii

1.

Cand se publica o oferta de serviciu

pentru un anumit utilizator din sistemul
informatic, sunt precizate cunostintele,
competentele pe care aplicantii sa le
aiba, precum si bibliografia necesara
concursului?

2.

Exista manuale standard de operare,

pentru instruirea utilizatorilor incepatori?

3.

Sistemul nu este folosit in afara

programului de lucru, decat in cazul in
care conducerea cere acest lucru?

4.

In timpul programului normal de lucru,

calculatorul este folosit doar pentru
executarea sarcinilor curente de serviciu
(nu si in interes personal)?

5.

In afara sau chiar in timpul programului

de lucru, sistemul nu este folosit si in
interes personal?

6.

La proiectarea retelei de calculatoare au

fost stabilite performantele minime pe
care aceasta trebuie sa le atinga
(intarzierile maxime ce pot aparea, viteza
minima de transmisie, largimea de banda
etc.)?

7.

Administratorul de retea monitorizeaza

traficul retelei si performantele retelei?

8.

In cazul in care pe statiile de lucru nu

exista instalate programe anti-virus, este
serverul programat sa efectueze actiuni
de protectie impotriva virusilor?

9.

Jurnalizeaza serverul toate evenimentele

care au loc in retea?

10.

In cazul in care reteaua are conexiune la

Internet, este precizat cine (furnizorul de
servicii sau firma) asigura securitatea
accesului a clientilor din exterior in

x
x

reteaua privata a firmei?

11.

Birourile utilizatorilor sistemului sunt

ergonomice?

12.

Utilizatorii sistemului stau pe scaune

ergonomice?

13.

Salile utilizatorilor sistemului sunt

luminate corespunzator pe timp de zi si
seara (fara neoane)?

14.

Acustica salilor utilizatorilor sistemului

este corespunzatoare, nu sunt deranjati
de zgomote?

15.

Echipamentele folosite de utilizatori

pentru introducerea datelor (tastaturi,
mouse, scannere pentru codurile de bare,
cititoare de carduri, microfoane etc.)
functioneaza bine?

16.

Exista proceduri clare privind procesarea

datelor?

17.

Exista proceduri clare privind gestiunea

mediilor de stocare (cand au fost
achizitionate, cine le gestioneaza, cine le
utilizeaza, cand continutul poate fi sters
etc.)?

18.

Sunt pastrate in conditii de siguranta

documentatiile (pdf, html, tiparite)?

19.

Accesul la documentatii este asigurat

doar persoanelor autorizate?

20.

Documentatiile sunt actualizate periodic?

21.

Exista copii de siguranta pentru

documentatii?

22.

Software-ul folosit are licente?

23.

Exista personal angajat pentru a oferi

asistenta in utilizarea echipamentelor si a

x
x

softului din cadrul sistemului?

24.

Exista personal specializat care sa fie

consultat in probleme de achizitii
hardware si software?

25.

Exista personal specializat care sa

instruiasca utilizatorii, sa rezolve
problemele cu care acestia se confrunta
in utilizarea sistemului, sa identifice
problemele care ar putea afecta
productivitatea utilizatorilor?

IV. Concluzii
Raportul de audit a fost intocmit in urma constatarilor si testelor efectuate de catre
echipa de auditori, depinzand de factorii managementului entitatii. Aceste evaluri au la
baz discuiile care au avut loc cu privire la recomandrile auditorilor n edinele de
nchidere i conciliere ale misiunii, apreciate de ctre participanii la aceste edine, ca
fiind realiste i fezabile. Considerm c rezultatele evalurii auditorilor interni privind
tehnologia informaiei se nscrie n parametri normali pentru aceast perioad de
introducere a auditului intern n entiti. Toate constatrile efectuate au la baz probe de
audit realizate prin teste, interviuri, liste de control, note de relaii i n urma analizei i
interpretrii acestora s-au elaborat FIAP-uri i FCRI-uri care au condus la concluziile
cuprinse n Raportul de audit intern.
Intocmit astazi, 22.02.2016