Sunteți pe pagina 1din 36

.........

3
PREZENTAREA GENERAL A INSTITUIEI.....4
1.1. Scurt istoric al instituiei...4
1.2. Structura organizatoric i funcional5
1.3. Cadrul normativ care reglementeaz activitatea instituiei...8

CADRUL GENERAL AL AUDITULUI INTERN..9


2.1. Definiia, rolul i obiectivele auditului intern....9
2.2. Aspecte legale i organizatorice privind auditul intern.5
2.3. Domeniul de aplicare i caracteristicile auditului intern.19

DERULAREA UNEI MISIUNI DE AUDIT....23


3.1.

Pregtirea misiunii de audit audit public intern.24

3.1.1. Iniierea auditului...................................................................................................................24


3.1.2. Colectarea i prelucrarea informaiilor...25
3.1.3. Analiza riscurilor........28
3.1.4. Elaborarea programului misiunii de audit public intern.........................................................32
3.1.5. Deschiderea interveniei la faa locului..................................................................................33
3.2.

Desfurarea propiu-zis a auditului......................................................................................33

3.2.1. Colectarea dovezilor i utilizarea instrumentelor aplicabile...................................................33


3.2.2. edina de nchidere...............................................................................................................35
3.3.

Raportarea...............................................................................................................................35

3.3.1. Elaborarea proiectului de Raport de audit public intern........................................................35


3.3.2. Reuniunea de conciliere.........................................................................................................37
3.3.3. Difuzarea Raportului de audit public intern (Raport final)...37
3.3.4. Urmrirea recomandrilor..37
CONCLUZII
..38
BIBLIOGRAFIE....40

Lucrul cel mai important nu este numrul de idei adunate n mintea ta,ci legtura care le unete.
TITU MAIORESCU

INTRODUCERE
ntro economie global i bazat pe cunotine, n care informaia reprezint al doilea factor
important dup resursele umane, auditul i controlul sistemelor informaionale devine din ce n ce
mai important, ca urmare a impactului competitive pe care l are tehnologia informaiei asupra
mediului de afaceri. Mediul economic, tehnologia, se afl n continu schimbare. Ceea ce a fost
valabil ieri, poate fi depit mine. n consecin, meninerea echilibrului necesit permanente
aciuni corective.
Auditorul viitorului se va confrunta i n multe cazuri deja se confrunt, cu competiia agenilor
fiscali, consultanilor de afaceri, contabililor necalificai, analitilor financiari i a diverilor ali
consultani. De aceea auditorii trebuie s se axeze pe punctele lor tari tradiionale, precum
independena i grija pentru interesul public, prin migrarea ctre activiti cu o valoare adugat
nalt, urmrind s-i dezvolte cunotinele printr-o perfecionare continu. Orice profesie, i cea de
auditor, are drept caracteristic fundamental acceptarea responsabilitii acesteia fa de public.
Interesul public reprezint binele comunitii de indivizi i instituii pe care o deservete un auditor
profesionist.
Funcia de auditor intern are o apariie relativ recent n viaa unei ntreprinderi sau instituii.
Apariia auditorilor interni a fost generat de criza economic din anul 1929 din S.U.A., care n
perioada crizei au cptat cunotine necesare, i au fost folosii i n continuare.
Dei ei au lrgit puin cte puin domeniul de aplicare, funcia de audit intern este nc la primii ei
pai, astfel c doar ncepnd cu anii 80 originalitatea i particularitile auditului intern se contureaz
cu adevrat.
Se poate spune, Auditorul intern nu este cineva care face lucrurile, ci este cineva care privete
cum sunt fcute aceste lucruri.

Potrivit legislaiei actuale privind auditul public intern, definete la art.2, activitatea de audit
intern ca fiind activitatea funcional independent i obiectiv, care d asigurri i consiliere
conducerii pentru buna administrare a veniturilor i cheltuielilor publice, perfecionnd activitile
entitii publice; ajut entitatea public s i ndeplineasc obiectivele printr-o abordare sistematic
i metodic, care evalueaz i mbuntete eficiena i eficacitatea sistemului de conducere bazat
pe gestiunea riscului, a controlului i a proceselor de administrare1.
Aceast definiie stabilete cteva trsturi caracteristice auditului public intern, care se pot
enuna astfel:
a) Auditul public intern este o activitate desfurat n cadrul entitilor publice2. Fiind o
activitate desfurat la nivelul sectorului administraie public, aceasta este reglementat pe baza
legilor i normelor elaborate de Ministerul Finanelor Publice. Normele elaborate au caracter
general, fiecare sector de activitate avnd obligaia s-i elaboreze norme proprii n funcie de
specificul activitii.
b) Auditul public intern este o activitate independent. Activitatea de audit trebuie s fie
independent, iar auditorii interni trebuie s fie obiectivi n realizarea sarcinilor lor. Aceste trsturi
reies din standardele elaborate de I.I.A. i se refer la independena organizaional (auditorul intern
raporteaz la cel mai nalt nivel de conducere al entitii). Aceast activitate este asigurat de
persoane care au calitatea de angajai ai instituiei la care efectueaz auditul, ns pentru a li se
asigura independena, acetia sunt organizai la nivelul unui serviciu funcional aflat n subordinea
direct a conductorului instituiei publice, iar angajarea sau destituirea acestor persoane se face
numai cu acordul efului compartimentului de audit de la instituia superioar sau aflat n
coordonare.
c) Auditul public intern este o activitate obiectiv. Obiectivitatea acestei activiti decurge din
faptul c auditorul este o persoan cu un nalt grad de pregtire profesional i calitatea de auditor i
confer un grad sporit de independen fa de conducerea instituiei. n sprijinul obiectivitii
activitii vine i Norma de audit nr.1120- Obiectivitatea individual, care arat c auditorii

***Legea nr. 672/2002 privind auditul public intern, publicat n Monitorul Oficial nr. 953 din 24.12.2002, art. 1 i 2.

***Entitile publice cuprind autoritile publice, instituiile publice, companiile/societile naionale, regiile autonome, societile

comerciale la care statul sau o unitate administrativ-teritorial este acionar majoritar.

interni trebuie s aib o atitudine imparial lipsit de prejudeci i s evite conflictele de


interese3.
Auditorii interni trebuie s evite s evalueze anumite operaiuni de care au fost responsabili n
trecut. Obiectivitatea unui auditor este considerat a fi afectat atunci cnd acesta realizeaz o
misiune de asigurare pentru o activitate pentru care a fost responsabil n cursul anului precedent.
d) Auditul public intern d asigurri i consiliere conducerii pentru buna administrare a
veniturilor i cheltuielilor publice. Aceast trstur decurge din faptul c auditorii interni dau
dovad de obiectivitate profesional, colectnd, evalund i comunicnd informaii legate de
activitatea sau procesul examinat. Activitatea de audit intern are ca scop principal informarea
managerului n vederea administrrii mai eficiente a activitii entitii. Auditorul are un rol de
consiliere, acesta informnd responsabilii departamentelor i conductorul unitii de deficienele
constatate n diversele activiti auditate n scopul corectrii acestor deficiene. Deci auditorul
intern are rolul de a consilia, a asista sau a recomanda i n nici un caz de a folosi msuri coercitive
n vederea remedierii deficienelor. Nu trebuie s confundm auditul public intern, care este o
funcie a conducerii, cu sistemul de control intern, care este un proces prin care conducerea
controleaz cum se ndeplinesc obiectivele stabilite.
Auditul public intern este o funcie a conducerii la nivelurile unde este organizat, iar sistemul de
control intern este un proces prin care conducerea instituiei publice respective controleaz modul
cum se ndeplinesc obiectivele stabilite. Sistemul de control intern constituie obiectiv de analiz i
evaluare pentru auditul public intern la toate nivelurile.
Obiectivele serviciului de audit public intern, aa cum sunt reglementate n lege 4sunt:a)
asigurarea obiectiv i consilierea destinate s mbunteasc sistemele i activitile entitii
publice;b) sprijinirea ndeplinirii obiectivelor entitii publice printr-o abordare sistematic i
metodic prin care se evalueaz i se mbuntete eficacitatea sistemului de conducere bazat pe
gestiunea riscului, a controlului i a proceselor administrrii.
Printr-o abordare mai larg, obiectivele serviciului de audit public intern se pot definii astfel:
- ajut entitate public prin opiniile i recomandrile auditorilor interni;
- asigur o mai bun gestionare a riscurilor;
- asigur o mai bun administrare i pstrare a patrimoniului;
- asigur o mai bun monitorizare a conformitii activitii entitii publice cu regulile i
procedurile existente;
- asigur o eviden contabil i un management informatic fiabil i corect;

***Norme profesionale ale auditului intern, Ministerul Finanelor Publice i Institut de lAudit Interne (IFACI)

***Legea nr. 672/2002, privind auditul public intern, publicat n Monitorul Oficial nr. 953 din 24.12.2002, art. 3.

- mbuntesc calitatea managementului, a controlului i auditului intern;


- mbuntesc eficiena i eficacitate operaiunilor.
Pentru realizarea obiectivelor trebuie s se asigure un echilibru ntre sarcini, competene,
responsabiliti i s se defineasc proceduri.
Procedurile reprezint paii ce trebuie urmai i cuprind algoritmul pentru realizarea sarcinilor,
exercitarea competenelor, existena activitilor de control n punctele cheie i angajarea
responsabilitilor.
Pe baza procedurilor, se monitorizeaz existena i funcionalitatea controlului intern, ceea ce ne
va da posibilitatea s constatm dac: este integrat n sistemul de management al fiecrei
componente structurale a entitii publice; intr n grija personalului de la toate nivelurile; ofer o
asigurare rezonabil atingerii obiectivelor, ncepnd cu cele individuale i terminnd cu cele
generale.
n practic, exist dou categorii de proceduri:
- procedurile generale date de cadrul normativ, respectiv de legi, norme metodologice,
precizri/instruciuni, elaborate de entitatea public, n vederea organizrii aplicrii unor
reglementri de rang superior, aprobate de conductorul entitii publice sau chiar de guvern;
- proceduri specifice pentru fiecare activitate a entitii publice sub forma metodologilor de lucru,
care trebuie s fie:
a)

scrise i formalizate pe suport de hrtie i/sau electronic, care s conin pe fluxurilor

operaiilor, activiti de control, responsabiliti, modele de documente cu exemplificri, respectiv


formalizate, cunotinele individuale i colective care trebuie stocate i puse n ordinea care s
corespund scopurilor entitii publice i aprobate de management;
b) simple i specifice, pentru ca executanii s le poat utiliza, cu respectarea cadrului normativ,
pentru fiecare domeniu al entitii publice;
c) completate i actualizate n mod permanent, n funcie de evoluia reglementrilor i practicii n
materie;
d) aduse la cunotina executanilor pentru a fi discutate, nsuite i aplicabile n mod uniform.
Potrivit organigramei Ministerului Agriculturii, Alimentaiei i Pdurilor aprobat prin Hotrrea
Guvernului5, Direcia Audit Public Intern a fost conceput ca o structur distinct i independent
subordonat nemijlocit ministrului, ceea ce corespunde prevederilor legii6.
n sfera de activitate a auditului public intern organizat i exercitat la nivelul Ministerului
Agriculturii, Alimentaiei i Pdurilor sunt incluse toate direciile din minister i instituiile publice

*** prin anex la H.G. nr. 362/2002 privind organizarea i funcionarea Ministerului Agriculturii, Alimentaiei i Pdurilor.

*** Legea nr. 672/2002 privind auditul public intern, publicat n Monitorul Oficial nr.953/24.12.2002, art.10, alin.1.

subordonate.
Auditul public intern nu este responsabil de nici o activitate sau procedur care va face ulterior
obiectul de activitate al auditului public intern. n acelai timp, membrii direciei de audit public
intern nu contribuie sub nici o form la elaborarea unui act normativ, operaiuni sau proceduri care
ulterior vor fi auditate, nu se implic n nici o activitate intern a vreunei instituii publice
subordonate Ministerului Agriculturii, Alimentaiei i Pdurilor. Pentru aciunile lor ntreprinse cu
bun-credin n exerciiul atribuiilor i n limita acestora, auditorii publici interni nu pot fi
sancionai sau trecui n alt funcie. Acestea reprezint condiii minime pentru asigurarea
independenei auditului public intern.
Obiectivele misiunii de audit public intern sunt:
- asigurarea conformitii procedurilor i operaiunilor cu normele juridice auditul de
regularitate;
- evaluarea rezultatelor privind obiectivele urmrite i examinarea impactului efectiv auditul de
performan;
De remarcat este faptul c, nsi construcia i execuia bugetului de stat consolidat, se bazeaz,
n prezent ntro msur semnificativ, pe metoda numit buget pe programe, care const n
alocarea unor sume de bani (alocaii bugetare) pentru un proiect/program concret, cuantificate cu
ajutorul indicatorilor de performan.
Obiectivul general al unui audit este acela de a furniza asigurarea c procedurile examinate sunt
complete i ntocmite cu acuratee, iar operaiile s-au efectuat n conformitate cu legile i
reglementrile relevante n vigoare.
Identificarea obiectelor auditabile se realizeaz n 3 faze:
- detalierea fiecrei activiti n operaii succesive descriind procesul de la realizarea acestei
activiti pn la nregistrarea ei (circuitul auditului);
- definirea pentru fiecare operaiune n parte a condiiilor pe care trebuie s le ndeplineasc din
punct de vedere al controalelor specifice i al riscurilor aferente (ce trebuie evitat);
- determinarea modalitilor de funcionare necesare pentru ca entitatea s ating obiectivul i s
n definirea tipurilor de audit public intern se arat:
a) auditul de sistem reprezint o evaluare de profunzime a sistemelor de conducere i control
intern, cu scopul de a stabili dac acestea funcioneaz economic, eficace i eficient pentru
identificarea deficienelor i formularea de recomandri pentru corectarea acestora;
b) auditul performanei examineaz dac criteriile stabilite pentru implementarea obiectivelor i
sarcinilor entitii publice sunt corecte pentru evaluarea rezultatelor i apreciaz dac rezultatele
sunt conforme cu obiectivele;

c) auditul de regularitate reprezint examinarea aciunilor asupra efectelor financiare pe seama


fondurilor publice sau a patrimoniului public, sub aspectul respectrii ansamblului principiilor,
regulilor procedurale i metodologice care le sunt aplicabile.
Standardele INTOSAI stabilesc c auditul performanei este: a) auditul economicitii
activitilor administrative n raport cu principiile i practicile unui management performant; b)
auditul eficienei utilizrii resurselor umane, financiare, a altor resurse, incluznd examinarea
sistemelor informaionale, a modului de msurare i urmrire a indicatorilor de performan,
precum i a procedurilor urmate de entitatea auditat pentru remedierea deficienelor identificate;
c) auditul eficacitii performanei referitoare la ndeplinirea obiectivelor entitii auditate i auditul
impactului efectiv al activitii entitii n comparaie cu impactul planificat al acesteia.
Se consider c un audit al performanei este un audit al economicitii, eficienei i eficacitii, o
combinaie a dou dintre acestea sau poate fi un audit complet ce nglobeaz toate cele trei
componente. Auditul performanei analizeaz dac banii publici au fost bine cheltuii,
examinndu-se n principal msurile ntreprinse de entitile auditate cu privire la respectarea
principiilor economicitii, eficienei i eficacitii. Acest tip de audit solicit adesea auditorului
examinarea rezultatelor din punct de vedere al celor 3E, folosind raionamentul su profesional.
Msurarea performanei rezultatelor n raport cu obiectivele propuse n concordan cu cei 3E
constituie o necesitate pentru managerii de la toate nivelele.
ntrebrile de baz la care ncearc s rspund auditul performanei sunt: - s-a lucrat n mod
corect? s-a fcut ceea ce trebuia? La prima ntrebare auditorul urmrete s cunoasc dac
executivul a respectat reglementrile i cerinele strategiei stabilite sau opereaz n concordan cu
buna practic n domeniu. Sfera de examinare a auditorilor se extinde dac se continu cu a doua
ntrebare, respectiv dac s-a fcut ceea ce trebuia sau altfel spus, dac au fost ntreprinse msurile
stabilite. Auditorul performanei poate de fapt, s constate c una din msurile alese, este
ineficient. Auditorul verific dac un angajament public este n totalitate fezabil, ns va trebui
totui s fie precaut i s nu-i depeasc mandatul i obiectivele stabilite prin extinderea
procedurilor de examinare n zona politicului.
n realizarea auditului eficacitii unei activiti, entiti, auditorul, prin examinrile sale, ncearc
s gseasc rspunsuri la urmtoarele ntrebri:
- sunt atinse obiectivele de politic managerial cu mijloacele utilizate, respectiv sunt obinute
rezultatele programate?
- mijloacele utilizate i rezultatele obinute sunt compatibile cu obiectivele politicii manageriale?
- reprezint impactul programat un rezultat direct al politicii manageriale i nu unul datorat altor
circumstane?
Pentru a aprecia msura n care obiectivele au fost atinse, ntrebrile auditorului trebuie s fie

formulate ntro manier care s permit obinerea de rspunsuri utile realizrii unei evaluri ct mai
pertinente.
Auditul de regularitate sau de conformitate, const n examinarea aciunilor asupra efectelor
financiare pe seama fondurilor publice sau a patrimoniului public, sub aspectul respectrii
ansamblului principiilor, regulilor procedurale i metodologice, conform normelor legale. Auditul
de regularitate compar regula cu realitatea, ceea ce ar trebui s fie cu ceea ce este, pe baza unui
sistem de referine. Regularitatea se observ n raport cu regulile interne ale entitii, iar
conformitatea se stabilete n raport cu dispoziiile legale i reglementate. n ambele cazuri se
compar realitatea cu sistemul de referin propus.
Auditul de regularitate parcurge urmtoarea filier:
- informarea cu privire la ceea ce ar trebui s fie;
- semnalarea dezechilibrelor, a aplicaiilor care nu s-au efectuat, a interpretrilor greite a
dispoziiilor stabilite;
- analiza cauzelor i consecinelor;
- recomandarea a ceea ce trebuie fcut pentru ca pe viitor s fie aplicate regulile;
- raportarea rezultatelor celui auditat.
Auditul de sistem prezint o evaluare de profunzime a sistemelor de conducere i control intern,
cu scopul de a stabili dac acestea funcioneaz economic, eficace i eficient, pentru identificarea
deficienelor i formularea de recomandri pentru corectarea acestora. Aflat pe treapta superioar a
evoluiei auditului intern, auditul de sistem reprezint o confruntare ntre politicile i strategiile
entitii pentru verificarea coerenei globale a sistemului.
Auditul de sistem fiind un audit care vizeaz analiza riscurilor prezint urmtoarele caracteristici:
- este potrivit entitilor care au atins un nivel foarte matur al gestionrii riscurilor;
- este ceea ce se dorete i n Romnia;
- nu este principalul punct de interes al actualei legi a auditului intern;
- preia un risc major deja identificat;
- auditeaz ct de bine este gestionat acest risc de ctre organizaie;

Activitatea de audit intern se desfoar pe baza unui cadru metodologic general care a fost
elaborat n conformitate cu standardele de audit intern i buna practic internaional recunoscut n
domeniu. Acesta cuprinde: normele aplicabile compartimentului de audit intern i auditorilor interni
(normele de calificare i normelor de funcionare) i prezint n detaliu sistemul derulrii misiunilor
de audit intern, astfel nct auditorii s aib la dispoziie un ndrumar complet pentru activitatea
desfurat. Pe baza acestui cadru metodologic general, entitile din sistemul public i-au dezvoltat

propriile metodologii de audit intern dup care i desfoar activitatea, necesitate derivat din
caracterul de independen profesional a auditorilor interni n exercitarea funciei. De asemenea,
pentru auditarea corespunztoare a fondurilor europene trebuie elaborate norme specifice, ca cerin
a trecerii la utilizarea fondurilor n sistem descentralizat.
Pregtirea unui plan de sarcini de audit este vital, ca faz n procesul de auditare. Auditarea
implic colectarea i analizarea unor informaii suficiente spre a se ajunge la concluzii vitale.
Resursele disponibile pentru acest proces sunt totdeauna limitate. Elaborarea planului de auditare
este motorul necesar spre a reconcilia activitatea de controale ce trebuie efectuate, cu resursele
disponibile pentru ndeplinirea lor. Un bun plan de audit este unul care, implementat n mod
adecvat, prezint probabilitatea maxim de ndeplinire a obiectivului auditrii, respectndu-se
resursele disponibile i cu o minim alocare de resurse pentru acele sarcini din plan care se
dovedesc, pe parcurs, ca fiind necesare.
Pregtirea unui plan de sarcini de audit trebuie s ia n considerare riscul i materialitatea, bazat
pe nelegerea structurii organizaionale a instituiei sau domeniului auditat, a programelor i
activitilor sale precum i a mediului informatic n care funcioneaz acesta. Planul trebuie s
stabileasc cum i cnd va avea loc controlul i ct de multe informaii necesare pentru auditare sunt
obinute pentru a fundamenta concluziile i recomandrile n urma auditului.
Un plan de audit trebuie s cuprind urmtoarele elemente7:
1. Cadrul legal de efectuare al auditrii;
2. Scurt descriere a activitii, programului sau a organizaiei auditate, incluznd i rezultatele
auditrilor din anii precedeni, precum i impactul acestora;
3. Motivele pentru care se face auditul;
4. Factorii care influeneaz procesul de audit, mai ales restriciile de resurse materiale;
5. Evaluarea riscurilor;
6. Obiectivele auditului, anvergura sa i modul abordrii (praguri de resurse alocate, sistemele ce
trebuie evaluate i testate, metodologii planificate spre a se utiliza, strategii de eantionare,
dimensiunea anticipat a eantionului);
7. Resurse necesare: auditorii utilizai, experi din exterior, cerine privind deplasrile, bugetele
alocate;
8. Preul care va fi cerut pentru efectuarea auditului (dac este cazul);
9. Responsabiliti pentru instituia de audit;
10. Datele pentru efectuarea diferitelor etape ale auditului, incluznd i data prevzut pentru
proiectul de raport final;
7

Ana Morariu, Gheorghe Suciu, Flavia Stoian, Audit intern i Guvernan Coorporativ, Editura Universitar, Bucureti,2008,
pp.128-129

11. Forma raportului final de control, coninutul su, i beneficiarii acestuia;


Pe parcursul fazei de planificare a sarcinilor auditului, auditorul principal trebuie s se asigure c
obine urmtoarele rezultate, pe care le transmite celor n drept s le tie:
- auditorul principal trebuie s fac cunoscut cadrul legal i temeiul legal care st la baza
controlului, i s transmit modificrile legislaiei n vigoare;
- s obin ct se poate de multe informaii spre a nelege modul de funcionare a domeniului,
organizaiei sau activitii care constituie obiectul auditrii;
- s stabileasc canalele potrivite de contact, informare i relaii cu organizaia controlat.
Auditul intern este o activitate planificat. n aceast etap auditorii i definesc planul de
activitate viitor, att cel strategic ct i cel anual, focaliznd domeniile n care se pot manifesta
riscuri semnificative care pot limita sau chiar mpiedica entitatea public s-i ating obiectivele
programate.
Auditul public intern are urmtoare organizare:
- Comitetul pentru Auditul Public Intern (CAPI)
- Unitatea Central de Armonizare pentru Auditul Public Intern (UCAAPI)
- compartimentele de audit public intern din entitile publice8.
Compartimentul de audit public intern se organizeaz astfel:
- conductorul instituiei publice are obligaia instituirii cadrului organizatoric i funcional
necesar desfurrii activitii de audit public intern;
- la instituiile publice mici, care nu sunt subordonate altor entiti publice, auditul public intern se
limiteaz la auditul de regularitate i se efectueaz de compartimentele de audit public intern ale
Ministerului Finanelor Publice;
- conductorul entitii publice subordonate poate stabili i menine un compartiment funcional
de audit public intern, cu acordul entitii publice de la nivelul ierarhic imediat superior, iar dac
acest compartiment nu se nfiineaz, auditul entitii respective se efectueaz de compartimentul de
audit public intern al entitii publice de la nivelul ierarhic imediat superior9.
Compartimentul de audit public intern se constituie n subordinea direct a conducerii unitii.
Prin atribuiile sale, el nu trebuie s fie implicat n elaborarea procedurilor de control intern i n
desfurarea activitilor supuse auditului public intern10.
Compartimentul de audit public intern au urmtoarele atribuii:
- elaboreaz norme metodologice specifice entitii publice n care i desfoar activitatea, cu
avizul UCAAPI sau organului ierarhic superior, n cazul entitilor publice subordonate;
8

Legea nr.672/2002 privind auditul public intern, publicat n Monitorul Oficial nr. 953/24.12.2002, art.4

Legea nr.672/2002 privind auditul public intern, publicat n Monitorul Oficial nr. 953/2002, art.9

10

Legea nr.672/2002 privind auditul public intern, publicat n Monitorul Oficial nr. 953/2002, art.10

- elaboreaz proiectul planului anual de audit public intern;


- efectueaz activiti de audit public intern pentru a evalua dac sistemele de management
financiar i control ale entitii publice sunt transparente i sunt conforme cu normele de legalitate,
regularitate, economicitate, eficien i eficacitate;
- informeaz UCAAPI despre recomandrile nensuite de conductorul entitii publice auditate,
precum i despre consecinele acestora;
- raporteaz periodic asupra constatrilor, concluziilor i recomandrilor rezultate din activitile
de audit;
- elaboreaz raportul anual al activitii de audit public intern;
- n cazul identificrii unor nereguli sau posibile prejudicii, raporteaz imediat conductorului
entitii publice i structurii de control intern abilitate11.

Domeniile auditate cuprind n mare msur funciile suport (procesul bugetar, financiarcontabilitate, achiziii publice, resurse umane, juridic, informatic) i mai puin funciile specifice
ale entitilor publice. Auditul public intern se exercit asupra tuturor activitilor desfurate ntro
entitate public, inclusiv asupra activitilor entitilor subordonate, cu privire la formarea i
utilizarea fondurilor publice , precum i la administrarea patrimoniului public.
Indiferent de tipul de audit pe care-l desfoar, auditorii publici trebuie s reuneasc n dosarul
de lucru documente suficiente i cu valoare probatorie, mai ales n ceea ce privete baza planificrii
documentelor auditate, activitatea desfurat i constatrile auditorului12.
Compartimentul de audit public intern auditeaz, cel puin o dat la trei ani, avnd urmtoarele
obiective, fr a se limita la acestea:
- angajamentele bugetare i legale din care deriv direct sau indirect obligaii de plat, inclusiv din
fondurile comunitare;
- plile asumate prin angajamente bugetare i legale, inclusiv din fondurile comunitare;
- vnzarea, gajarea concesionarea sau nchirierea de bunuri din domeniul privat al statului ori al
unitilor administrativ-teritoriale;
- concesionarea sau nchirierea de bunuri din domeniul public al statului ori al unitilor
administrativ-teritoriale;
- constituirea veniturilor publice, respectiv modul de autorizare i stabilire a titlurilor de crean,
precum i a facilitilor acordate la ncasarea acestora;
- alocarea creditelor bugetare;
11

I.G.ara, M.Bucurean, Auditul public intern, n revista Controlul economic financiar nr. 6/2004, pp. 28-30.

12

M. Ghi, E. Vasile, M. Popescu, Documenia auditului, n revista Control economic financiar nr. 6/2004, pp. 31-32.

- sistemul contabil i fiabilitatea acestuia;


- sistemul de luare a deciziilor;
- sistemul de conducere i control, precum i riscurile asociate unor astfel de sisteme;
- sistemele informatice13.
Proiectul planului de audit public intern se elaboreaz de compartimentul de audit public intern,
pe baza evalurii riscului asociat diferitelor structuri, activiti, programe/proiecte sau operaiuni,
precum i prin preluarea sugestiilor conductorului entitii publice, prin consultare cu entitile
publice ierarhic superioare, innd seama de recomandrile Curii de Conturi. Conductorul entitii
publice aprob anual proiectul planului de audit public intern.
Planul de audit cuprinde urmtoarele elemente:- scopul misiunii de audit;- obiectivele
misiunii de audit; - identificarea activitii sau operaiunii supuse auditului intern;- identificarea
unitii la care se va desfura aciuni de auditare;- durata aciunii de auditare;- perioada supus
auditrii;- numrul de auditori antrenai n aciunea de auditare;- precizarea elementelor ce presupun
utilizarea unor cunotine de specialitate;- numrul de auditori care urmeaz s fie atrai n aciunile
de audit intern din cadrul structurilor deconcentrate;
La baza activitii de certificare a situailor financiare stau urmtoarele principii:
- exhaustivitatea toate operaiunile care privesc entitatea public sunt nregistrate n contabilitate
pe baza documentelor justificative;
- realitatea toate informaiile prezentate prin conturile anuale trebuie s poat fi justificate i
certificate;
- corecta nregistrare n contabilitate i corecta prezentare n conturile anuale a operaiunilor.
Raportul privind certificarea situaiilor financiare se caracterizeaz prin faptul c:
- cuprinde o prezentare sintetic a modului de efectuare, a materialelor, documentelor i a actelor
examinate, a tehnicilor, metodelor i a procedurilor utilizate;
- se ntocmete n trei exemplare: unul nsoete situaiile financiare, al doilea rmne la auditor,
iar al treilea rmne la cel auditat.
eful compartimentului de audit public intern este responsabil cu supervizarea tuturor etapelor de
desfurare a misiunii de audit public intern. Auditorii interni prezint efului structurii de audit
public intern sau persoanei desemnate, documentele din dosarul permanent al misiunii de audit
public intern, pentru supervizare.
Scopul aciunii exercitate de ctre supervizor este de a asigura c obiectivele misiunii de audit
public intern au fost atinse n condiii de calitate, astfel:
a) ofer instruciunile necesare derulrii misiunii de audit intern;
13

Legea nr.672/2002, privind auditul public intern, publicat n Monitorul Oficial nr. 953/2002, art.13 i 14.

b) verific executarea corect a programului misiunii de audit;


c) verific existena elementelor probante;
d) verific dac redactarea raportului de audit public intern, att cel intermediar ct i cel final, este
exact, clar, concis, i se efectueaz in termenele fixate.
eful compartimentului de audit public intern trebuie s elaboreze Programul de asigurare i
mbuntire a calitii prin respectarea normelor metodologice generale i specifice a Codului etic
al auditorului intern, a Standardelor internaionale de audit intern i a bunei practici internaionale
specific auditorilor interni.
Programul de asigurare i mbuntire a calitii nseamn o evaluare permanent i calitativ a
misiunilor de audit intern. Pentru apreciera modului de realizare a obiectivelor activitii de audit
intern, periodic se efectueaz o serie de evaluri interne i externe, cum ar fi:
- autoevaluarea realizat n compartimentele de audit intern;
- evaluarea realizat de structurile de audit din entitile ierarhic superioare pentru unitile din
subordine;
- evalurile realizate de ctre UCAAPI pentru entitile administraiei publice centrale i de
ctre structurile de audit intern ale direciilor finanelor publice judeene pentru entitile
administraiei publice locale;
- evalurile externe realizate de Curtea de Conturi a Romniei, Comisia European i alte
organisme abilitate.

Etapele de derulare a misiunii de audit presupune parcurgerea urmtoarelor etape: pregtirea


misiunii (iniierea auditului); intervenia la faa locului (desfurarea misiunii); raportul de audit
(ncheierea misiunii); urmrirea recomandrilor.
Etapele, procedurile i documentele aferente fiecrei proceduri pot fi sintetizate astfel:
Pregtirea misiunii presupune urmtoarele activiti/operaiuni:
Iniierea auditului se realizeaz prin elaborarea: ordinului de serviciu, declaraiei de independen,
i notificarea privind declanarea misiunii de audit public intern.
Colectarea i prelucarea informaiilor preliminare se realizeaz cu ajutorul testelor i a tabloului
aspectelor pozitive i negative posibile.
Prin analiza aspectelor pozitive i negative se urmreete identifcarea obiectelor auditabile, definite
sub aspectele caracteristicilor specifice i ale riscurilor asociate.

n baza programului de audit public intern se ntocmete programul preliminar al interveniilor la


faa locului. Acesta prezint n mod detaliat lucrrile pe care auditorii i propun s le efectueze.
edina de deschidere se deruleaz la unitatea auditat, cu pariciparea auditorilor interni i a
personalului entitii auditate i aspectele importante discutate sunt consemnate n minuta edinei
de deschidere.
Intervenia la faa locului presupune urmtoarele:
Colectarea dovezilor i utilizarea instrumentelor aplicabile este etapa elaborrii listelor de
verificare, chestionare i teste.
n urma colectrii dovezilor se trece la analiza i prelucrarea informaiilor colectate pe baza crora
se emite Fia de identificare i analiz a problemei i n cazul existenei unor iregulariti se
ntocmete Formularul de constatare i raportare a iregularitilor.
nainte de ntocmirea proiectului raportului de audit public intern auditorii efectueaz revizuirea,
pentru a se asigura c documentele de lucru sunt pregtite n mod corespunztor.
edina de nchidere are drept scop prezentarea opiniei auditorilor interni, a recomandrilor finale i
a calendarului de implementare a recomandrilor i intocmirea minutei edinei de nchidere.
Raportul de evaluare presupune urmtoarele:
Elaborarea raportului de audit privind obiectivul misiunii, presupune ntocmirea raportului de audit
public intern.
Transmiterea proiectului raportului de audit intern privind obiectivele misiunii se transmite la
structura auditat prin adres de transmitere.
n cadrul reuniunii de conciliere se analizeaz constatrile i concluziile n vederea acceptrii
recomandrilor formulate, ntocmindu-se minuta reuniunii de conciliere.
- finalizarea raportului de audit intern privind obiectivul misiunii; document elaborat: raportul de
audit( forma final).
- difuzarea raportului de audit intern; documente elaborate: nota de prezentare a raportului spre
aprobare, nota de transmitere.
- arhivarea raportului i documentelor misiunii; documente elaborate: dosarele misiunii de audit
intern.
- supervizarea misiunii presupune asigurarea c obiectivele misiunii de audit public intern au fost
atinse n condiii de calitate; document elaborat: lista de supervizare a documentelor.
Urmrirea documentelor presupune urmrirea stadiului implementrii recomandrilor, etap n
care se ntocmete, fia de urmrire a recomandrilor.
Studiul de caz ales se refer la o misiune de audit privind sistemele informatice la: Direcia
Agricol i Dezvoltare Rural Neam.
Instituia public are organizat, conform Legii nr.672/2002 privind auditul public intern i Normele

Generale privind exercitarea activitii de audit public intern aprobat prin O.M.F. nr. 38/2003, un
compartiment de audit format din dou persoane, ec. Crciun Didina i Liviu Bumbu, ef
compartiment. De menionat este faptul c, n practic, pentru asigurarea supervizrii n bune
condiii a misiunii de audit intern, compartimentul de audit trebuie s fie compus din minim trei
persoane, una din acestea ndeplinind funcia de supervizor.
Avnd n vedere faptul c Direcia Agricol i Dezvoltare Rural Neam nc nu are definitivat un
manual de proceduri interne cu referire la activitile IT, c legislaia n domeniul sistemelor IT nu
exist, auditorii au elaborat chestionarele list de verificare i testele de control privind evaluarea
eficienei i eficacitii controalelor interne n ceea ce privete operaiunile IT, pe baza criteriilor
stabilite n standardul ISO 17799, precum i prin consultarea standardelor internaionale n
domeniu.
Operaiunile supuse auditrii au fost detaliate pe subactiviti n chestionarele list de verificare,
n scopul de a aprecia ct mai riguros riscul asociat fiecrei operaiuni (activiti).
n vederea realizrii misiunii de audit cu tema:Evaluarea modului de organizare i desfurare a
activitii n domeniul IT, n cadrul instituiilor subordonate ministerului din planul de audit
aprobat de conducerea Ministerului Agriculturii i Dezvoltrii Rurale pentru anul 2008, au fost
transmise n anex obiectivele obligatorii, obiective comunicate de U.C.A.A.P.I. sub a crui
coordonare se desfoar aceast misiune.
Un exemplar din raportul de audit elaborat, avizat de ctre conductorul entitii publice n cauz,
va fi naintat la M.A.D.R. Direcia de audit la termenul fixat;
Pe baza rapoartelor de audit primite, Direcia de Audit din M.A.D.R. va ntocmi o sintez care va
fi naintat la U.C.A.A.P.I.;
Dup avizarea rapoartelor de audit, la nivelul entitii publice cuprinse n evaluare, se va ntocmi
programul de aciune n vederea implementrii recomandrilor cuprinse n rapoarte;
Un exemplar din program va fi naintat la Direcia de Audit din M.A.D.R.
n funcie de termenele de implemetare a recomandrilor Direcia de Audit din M.A.D.R. va
transmite la U.C.A.A.P.I. informri privind modul de implementare a recomandrilor i rezultatelor
obinute14.
3.1.1. Iniierea auditului
Ordinul de serviciu a fost ntocmit i semnat de eful Compartimentului de Audit Public Intern,
pe baza planului anual de audit public intern, pentru anul 2008, aprobat de ctre directorul instituiei
Tiberiu Tudoran, n conformitatea cu prevederile Legii nr. 672/2002 privind auditul public intern i
14

*** Surs, Ministerul Agriculturii i Dezvoltrii Rurale, Direcia Pentru Agricultur i Dezvoltare
Rural Neam

ale Normelor Generale privind exercitarea activitii de audit public intern, aprobate prin Ordinul
ministrului finanelor publice nr. 423/2004. n ordinul de serviciu s-a menionat c se va efectua o
misiune de audit intern privind sistemele informatice la Departamentul IT n perioada 30.0331.05.2008.
Scopul misiunii este de a da asigurri c aplicarea msurilor pentru sistemele informatice este n
conformitate cu cadrul legal i normativ, iar obiectivele se refer la:
Logistica IT, reeaua de calculatoare, gestiunea adreselor de e-mail, gestiunea licenelor IT.
(menionez c obiectivele din cadrul entitii, au fost mult mai numeroase, dar avnd n vedere
spaiul foarte restrns de care dispun, am selectat pe cele mai importante, din punctul meu de
vedere.) n cadrul misiunii se va efectua un audit de sistem i de regularitate. Echipa de audit public
intern este format din auditorii Crciun Didina i Liviu Bumbu. Ordinul de serviciu a fost semnat de
eful cmpartimentului audit intern Liviu Bumbu.
Declaraia de independen a fost dat de fiecare auditor intern la nceputul misiunii de audit.
Codul privind conduita etic a auditorului intern reprezint un ansamblu de principii i reguli de
conduit care trebuie s guverneze activitatea auditorilor interni. Scopul Codului privind conduita
etic a auditorului intern este de a promova cultura etic n viziunea global a profesiei de auditor
intern. Codul privind conduita etic a auditorului intern cuprinde regulile pe care auditorii interni
trebuie s le respecte. n exercitarea atribuiilor lor, auditorii interni trebuie s respecte n primul
rnd principiul independenei.
Reglementrile privind independena, sunt n general, fundamentate pe trei principii de baz, a
cror nclcare va afecta independena auditorului:
- un auditor nu poate avea o funcie de managment;
- un auditor nu poate audita propria sa activitate;
- un auditor nu poate avea rol de aprtor al clientului su.
Notificarea privind declanarea misiunii de audit public intern

a fost emis, cu 15 zile nainte

de declanarea misiunii de audit public intern, n conformitate cu Planul de audit intern pe anul
2008. n aceast notificare au fost aduse la cunotina efului compartimentului c se va efectua o
misiune de audit intern cu tema Sistemele informatice la Departamentul IT.
Auditul va examina responsabilitile asumate de ctre Departamentul IT i va determina dac
acesta i ndeplinete obligaiile n mod eficient i efectiv.
n notificare s-a propus ca n edina de deschidere, stabilit de comun acord, s se discute despre
diverse aspecte ale misiunii de audit, care vor cuprinde:

prezentarea auditorilor, prezentarea

principalelor obiective ale misiunii de audit, programul interveniei la faa locului, scopul misiunii
de audit intern i alte aspecte, considerate importante.
Pentru o mai bun nelegere a activitii, s-a cerut punerea la dispoziia auditorilor, urmtoarea

documentaie: legile i reglementrile ce se aplic activitilor din entitatea public, organigrama


Compartimentelor cu care sunt n colaborare, aceste activiti, fiele posturilor, toate procedurile
scrise care descriu sarcinile ce trebuie realizate pe linia sistemelor informatice, un exemplar al
rapoartelor, notelor, dosarelor anterioare care se refer la aceast tem.

Pentru nenelegeri sau

ntrebri privind aceast aciune, persoana de contact a fost numit doamna ec. Crciun Didina
auditor din cadrul compartimentului de audit intern. Notificarea a fost semnat de

eful

compartimentului Liviu Bumbu.


3.1.2. Colectarea i prelucrarea informaiilor
n etapa de colectare auditorii au colectat informaii cu caracter general despre Departamentul IT,
i s-a urmrit ca aceste informaii s fie pertinente i utile n vederea atingerii urmtoarelor scopuri:
a) identificarea principalelor elemente ale contextului instituional n care Departamentul IT i
desfoar activitatea;
b) cunoaterea organizrii Departamentului IT, a tehnicilor sale de lucru i a diferitelor nivele de
administrare, conform organigramei;
c) identificarea punctelor cheie ale funcionrii Departamentului IT i ale sistemelor sale de
control, pentru evaluarea prealabil a punctelor tari i slabe;
d) identificarea i evaluarea riscurilor cu inciden semnificativ;
e) identificarea informaiilor probante necesare pentru atingerea obiectivelor misiunii auditului
public intern i selecionrii tehnicilor de investigare adecvate.
Personalul de conducere i din Departamentul IT a oferit documentele i informaiile solicitate,
n termenele stabilite, precum i tot sprijinul necesar desfurrii n bune condiii a misiunii de audit
public intern.
n etepa de prelucare a informaiilor s-a analizat urmtoarele aspecte:
a) regulamentele de organizare i funcioanre, organigrama, fie ale posturilor,circuitul
documentelor al Departamentului IT;
b) cadrul normativ ce reglementeaz Departamentul IT;
c) factori susceptibili de a mpiedica buna desfurare a misiunii de audit public intern;
d) rezultatele controalelor precedente;
e) informaiile externe referitoare la activitatea Departamentului IT.
Pentru colectarea i prelucrarea informaiilor s-a ales varianta Chestionarul de luare la
cunotin care cuprinde ntrebri formulate de auditori, i rspunsurile sunt date de conducerea
entitii publice.
ntrebrile sunt foarte numeroase i pentru o bun nelegere a acestei misiuni de audit voi alege
pe cele care au o relevan semnificativ pentru fundamentarea unor concluzii ct mai reale i
exprimarea unei opinii pertinente. Principala condiie a acestui volum semnificativ de documente

este validitatea informaiei pe care o coine. Auditorul nu lucreaz plecnd de la ipoteze, ci se


bazeaz pe certitudini astfel nct informaiile culese s fie fiabile, relevante i utile, iar constatrile
fcute s fie justificate i, n consecin, incontestabile. Caracterul just al elementelor probante se
aprecieaz n funcie de relevana i fiabilitatea lor. n unele situaii, auditorul se sprijin pe
elemnete probante care nu sunt concludente prin ele nsele, dar care contribuie la definitivarea
concluziilor. Certitudinea auditorului sporete n cazul n care elementele probante din surse diferite
sunt concordante ntre ele.
ntrebri formulate i rspunsurile date:
Exist organigrama Departamentului IT? Da.
Exist proceduri scrise care definesc activitate fiecrui compartiment n parte? Nu.
Exist un grafic de relaii privind circuitul documentelor la nivelul Departamentului IT? Da.
(Incomplet).
Exist la nivelul instituiei o politic sau o strategie n domeniul IT? Nu.
Exist un inventar al riscurilor relevante pentru instituie n ceea ce privete tehnologia informaiei?
Nu.
Conducerea instituiei este preocupat de IT? Da. La nivelul conducerii instituiei au fost fcute
demersuri, astfel nct, n cadrul strategiei eleborate la nivelul instituiei s fie precizate distinct
obiectivele IT.
Conducerea este ntiinat permanent despre riscurile la care este supus instituia n domeniul IT?
Nu.
Care sunt pricipalele activiti desfurate de Departamentul IT din cadrul instituiei?
- fundamenteaz strategia de dezvoltare a sistemului informatic al instituiei i o propune spre
aprobare conducerii;
- proiecteaz, n colaborare cu celelalte compartimente, conceptul sistemului informatic al
instituiei n corelare cu sistemul informaional i cu metodologiile i procedurile aprobate;
- asigur dezvoltarea i exploatarea infrastructurii sistemului informatic al instituiei;
- stabilete necesarul de software i de aplicaii informatice n vederea asigurrii funcionalitii
sistemului informatic i a sistemului de conducere a instituiei;
- acord asisten i consulta de specialitate tuturor compartimentelor din cadrul structurii de
organizare;
- colaboreaz la perfecionarea personalului din cadrul tuturor compartimentelor instituiei n
domeniul IT i al utilizrii computerului i a tehnicilor informatice;
- asigur pstrarea securitii datelor i sigurana, din acest punct de vedere, a sistemului
informatic;
- urmrete evoluia tehnologiei informaiei pe plan intern i internaional i propune

achiziionarea de licene pentru toate produsele program care s fie utilizate n cadrul sistemului
informatic al instituiei;
- asigur ntreinerea aplicaiilor i a echipamentelor din componena sistemului informatic;
- ntocmete necesarul periodic de materiale consumabile pentru tehnica de calcul i celelalte
echipamente de birotic;
- asigur funcionarea reelei Internet i gestioneaz serviciul de pot electronic;
- asigur ntreinerea reelei informatice a instituiei;
- proiecteaz i gestioneaz baza de date a instituiei;
Care este varianta utilizat pentru transferul n siguran al mesajelor: criptarea mesajului sau
criptarea canalului de comunicaie? Se utilizeaz o combinare a celor dou moduri de criptare.
Care este tipul de reea utilizat n cadrul instituiei? Exist o combinaie ntre reea inel i reea
stea.
Exist posibilitatea de a planifica i monitoriza performana IT? Nu. Nu exist proceduri n acest
sens.
Este descris structura switch-uri-lor n reeaua intern a instituiei? Da.
Sunt descrise sistemele de operare i modul cum se fac update-urile de securitate? Da.
Fiabilitatea elementelor probante colectate este apreciat n funcie de originea lor intern sau
extern, de natura lor scris sau oral i de circumstanele n care s-au obinut, astfel:
- probele de audit din surse externe sunt mai credibile dect cele obinute din cadrul organizaiei;
- probele de audit obinute din cadrul organizaie sunt mai credibile atunci cnd controlul intern
este de ncredere;
- probele de audit obinute direct de auditor sunt mai credibile dect cele obinute din cadrul
organizaiei;
- probele de audit sub form de documente scrise sunt mai credibile dect declaraiile orale.
Determinante pentru evaluarea relevanei probelor sunt i:
- independena celui care furnizeaz probele;
- calificarea indivizilor care furnizeaz informaiile;
- obiectivitatea probelor;
- vrstaprobelor.
Probele culese n misiunea de audit au fost variate, iar tehnicile folosite n procesul de culegere a
probelor au fost:
- verificarea structurilor organizatorice ale sistemului informatic. O structur organizatric trebuie
s asigure o separare a funciilor incompatibile;
- verificarea politicilor interne i procedurilor de lucru;

- verificarea standardelor ce vizeaz domeniul IT;


- verificarea documentaiei sistemului informatic, i anume: documentaia de dezvoltare a
sistemului informatic, specificaiile de proiectare i cerinele funcionale, documentele operaionale,
fiierele de tip jurnal i fiierele de tip istoric a modificrii programelor surs, manualele
utilizatorilor, manualele de operare, documentele relative la securitate, rapoartele de asigurare a
calitii;
- intervievarea personalului din departamentul IT;
- observarea performanei sistemului i a utilizatorilor si.
3.1.3. Analiza riscurilor
Dei tehnologiile informaionale pot amelioara controlul intern al unei companii, ele pot, de
asemenea, afecta riscul general de control al companiei. Numeroase riscuri asociate sistemelor
manuale snt diminuate i, n numeroase cazuri, chiar eliminate. Totui apar noi riscuri specifice
mediilor de IT, iar acestea pot conduce la pierderi substaniale dac sunt ignorate. De exemplu,
imposibilitatea de a recupera informaii importante din cauza unui blocaj al sistemului informatizat
sau utilizarea de informaii incorecte din cauza unor erori de prelucrare generate de aceste
tehnologii ar putea paraliza o organizaie.
Analiza riscurilor este etapa major n procesul de audit public intern, care are drept scopuri:
identificarea pericolelor din departamentul IT, dac controalele interne sau procedurile
Departamentului IT pot preveni, elimina sau minimiza pericolele, precum i evaluarea controlului
intern al Departamentului IT. De asemenea, analiza riscurilor reprezint un punct de pornire n
elaborarea punctelor tari i a punctelor slabe. Auditorii interni trebuie s integreze n procesul de
identificare i evaluare a riscurilor semnificative i pe cele depistate n cursul altor misiuni.
Lista centralizatoare a obiectelor auditabile, definite sub aspectele caracteristicilor specifice i ale
riscurilor asociate, constituie suportul analizei riscurilor.

Astfel s-au definit urmtoarele obiecte

auditabile: (Din numeroasele obiecte auditate n misiunea de audit am selectat cteva, eseniale, din cauza spaiului limitat de care dispun).
Obiectiv
1. Logistica IT
Obiecte auditabile
1.1 Configurare switch-uri:- securizarea fizic a componentelor critice, - protejarea i etichetarea
cablurilor de reea, - protecia camerei serverelor, - configurare echipamente IT i aplicai .
1.2 Verificarea modului de asigurare a conectivitii: - asigurarea i ntreinerea echipamentelor
fizice, - securizarea echipamentelor fizice, - accesul n camera serverelor.
Obiectiv
2. Reeaua de calculatoare

Obiecte auditabile
2.1. Verificarea securizrii reelei de calculatoare: - politica de securitate a reelei, - limitarea
accesului n reea, - configurarea reelei de calculatoare, - protecia datelor n reea, - zona
demilitarizat (DML), - protecia echipamentului de reea, - recuperarea datelor n caz de dezastru.
Obiectiv
3.

Gestiunea licenelor IT

Obiecte auditabile
3.1. Verificarea situaiei faptice i scriptice a licenelor IT: - evidena licenelor IT, - atribuii n
gestionarea licenelor IT.
3.2. Analiza dosarului pentru fiecarea staie de lucru: - evidena softului instalat pe fiecare staie de
lucru, - raportri periodice privind situaia soft-ului pe staiile de lucru.
Obiectiv
4. Gestiunea adreselor de e-mail
4.1. verificarea existenei politicii de e-mail: - politica de e-mail la nivel de instituie, - coninutul
politicii de e-mail.
4.2. verificarea politicii de e-mail din punct de vedere al redactrii, comunicrii i implementrii: redactarea politicii de e-mail, - comunicarea politicii de e-mail.
Aprecierea unui risc are la baz dou estimri:
- mrimea/nivelul pierderii care poate s rezulte ca urmare a producerii riscului;
- probabilitatea ca riscul s revin.
Efectuarea analizei riscurilor s-a efectuat prin parcurgerea urmtorilor pai:
a) identificarea activitilor auditabile, respectiv a obiectelor auditabile. S-au analizat i
interdependenele existente ntre acestea, fixndu-se perimetrul de analiz;
b) identificarea ameninrilor, riscurilor inerente posibile, asociate acestor activiti, prin
determinarea impactului financiar al acestora;
c) stabilirea criteriilor de analiz a riscului.
d) stabilirea nivelului riscului pentru fiecare criteriu, prin utilizarea unei scri de valori de valori pe
trei niveluri.
e) stabilirea punctajului total al criteriului utilizat. S-a atribuit un factor de greutate i un nivel de
risc fiecrui criteriu. Produsul acestor doi factori d punctajul pentru criteriul respectiv, iar suma
punctajelor pentru o anumit acitivitate auditabil conduce la determinarea punctajului total al
riscului activitii respective. Formula utilizat pentru obinerea punctajului total este:
T=P(i)xN(i),
unde:
P(i)= ponderea riscului pentru fiecare criteriu;

N(i)= nivelul riscurilor pentru fiecare criteriu utilizat;


f) clasarea riscurilor, pe baza punctajelor totale obinute anterior, n: risc mic, risc mediu, risc
mare.
g) ierarhizarea activitilor ce urmeaz a fi auditate, respectiv elaborarea tabelului puncte tari i
puncte slabe. Tabelul permite ierarhizarea riscurilor n scopul orientrii activitii de audit public
intern, respectiv stabilirea tematicii n detaliu.
Msurarea riscurilor depinde de probabilitatea de apariie a riscului i de gravitatea consecinelor
evenimentului. Pentru realizarea msurii riscurilor s-a utilizat drept instrument de msurare criteriile
de apreciere.
- Aprecierea controlului intern s-a fcut pe baza unei analize a calitii controlului intern al
entitii, pe trei niveluri: control intern corespunztor - nivel 1, control intern insuficient nivel 2,
control intern cu lipsuri grave nivel 3.
- Msurarea gravitii consecinelor evenimentului (nivelul impactului), reprezint efectele
riscului n cazul producerii sale i s-a exprimat pe o scar valoric pe trei niveluri: impact slab
nivel 1, impact mediu nivel 2, impact important nivel 3.
- Vulnerabilitatea s-a exprimat pe trei niveluri: vulnerabilitate redus nivel 1, vulnerabilitate
medie nivel 2, vulnerabilitate mare nivel 3.
n urma aprecierilor, auditorii au stabilit faptul c ponderea criteriilor

de analiz a riscului este

urmtoarea:
- aprecierea controlului intern 40%;
- aprecierea cantitativ (impact financiar) 26%;
- aprecierea calitativ (vulnerabilitate) 34%.
n acest context, dac mediul de control intern din cadrul organizaiei este unul format, puternic,
acest lucru conduce la obinerea de ctre auditori a unei asigurri de 40% privind acest mediu.
Totodat n cadrul acestui mediu de control puternic, auditorii pot obine o asigurare de 26%
respectiv 34% privind impactul operaiilor financiare i vulnerabilitatea entitii.
n urma calculrii punctajelor totale au rezultat urmatoarele clase de risc cu punctajele aferente:
- risc mic

(N1) punctaj 1.0 - 1.5

- risc mediu (N2) punctaj 1.6 2.0


- risc mare (N3) punctaj 2.0 2.5
Tabelul nr.1- Nivelul riscurilor

Factori de risc Ponderea


(Fi)

factorilor

Nivelul de apreciere a riscului (Ni)


de

risc (Pi)

Aprecierea

P1- 40%

controlului

N1

Exist

N2

proceduri Exist proceduri, sunt Nu

i se aplic

intern F1

Aprecierea

exist

cunoscute, dar nu se proceduri


aplic

P2- 26%

cantitativ F2

Aprecierea

N3

Impact

financiar Impact financiar mediu

slab

P3- 34%

calitativ F3

Vulnerabilitate

Impact

financiar

important

Vulnerabilitate medie

redus

Vulnerabilitate
mare

Aceste clase de risc i intervale de punctaj aferente fiecrei clase de risc au fost stabilite de auditori,
iar obiectele auditabile care au obinut un scor mai mare sau egal cu 2 vor face obiectul ateniei
auditorilor. Ponderea atribuit pentru fiecare factor de risc a fost stabilit n funcie de importana
acestuia pentru activitatea auditat i nsumate trebuie s fie obligatoriu 100. Punctajul total al
riscului se realizeaz prin nmulirea, pe fiecare risc identificat, a nivelului i ponderilor factorilor
de risc i nsumarea acestora.
Atribuirea notelor la criteriile avute n vedere la analiza riscului, s-a realizat de ctre auditorul
intern, pe baza judecii profesionale i a experienei acestuia.
Punctele tari i punctele slabe sunt exprimate calitativ i cantitativ n funcie de rezultatele ateptate
i de condiiile de obinere a acestora.
Riscurile asociate obiectivelor, activitiilor i nivelul impactului au fost stabilite astfel, cu
ajutorul documentului Tabelul puncte tari i puncte slabe.
Configurare switch-uri
1. Securizarea fizic a componentelor critice, riscuri de nivel mediu:
proceduri neadecvate cu privire la echipamentele i suporturile de date scoase din uz, pstrarea
neadecvat a componentelor critice.
2. Protejarea i etichetarea cablurilor de reea, risc de nivel sczut:
cablurile de reea nu sunt protejate corespunztor sau sunt neetichetate.

3. Protecia camerei serverelor, risc de nivel mediu:


n camera serverelor nu sunt n funciune sisteme de prevenire a incendiilor, aer condiionat.
4. Configurarea echipamentelor IT i aplicaiilor, riscuri de nivel mediu:
configuraiile echipamentelor IT i ale aplicaiilor nu sunt meninute n mod formal n alte locaii
dect sistemele, structura switch-urilor nu confer securitate sporit.
5. Asigurarea i ntreinerea echipamentelor fizice, risc de nivel sczut.
nu toate componentele critice sunt securizate fizic.
6. Securizarea echipamentelor fizice, riscuri de nivel mediu:
echipamente care nu sunt corect ntreinute, echipamente neprotejate pentru a preveni riscul
distrugerii accidentale.
7. Accesul n camera serverelor, riscuri de nivel mediu:
nu exist cartele de acces sau registre n camera serverelor, distrugerea fizic a cablurilor.
Verificarea securizrii reelei de calculatoare
1. Politica de securitate a reelei, riscuri de nivel ridicat:
inexistena unei politici de securitate a reelei de calculatoare la nivelul instituiei, neinstalarea unui
firewall adecvat ntre propria reea de calculatoare i toate celelalte legturi externe, sistemul de
securitate al reelei nu genereaz un raport zilnic, instituia nu dispune de o diagram logic a
infrastructurii firewall.
2. Limitarea accesului n reea, riscuri de nivel mediu:
neimplementarea procedurilor n vederea limitrii accesului la calculatoare dup terminarea orelor
de program, accesul neautorizat al personalului la serverul de reea, informaiile pot fi furate sau
distruse, persoane neautorizate pot accesa sau manipula datele de pe server, instalarea de ctre
programatori, cu bun tiin, a unor programe inadecvate.
3. Configurarea reelei de calculatoare, risc de nivel ridicat:
schimbrile de configurare ale reelei nu sunt testate sau aprobate n prealabil.
4. Protecia datelor n reea, riscuri de nivel ridicat:
neutilizarea unor mijloace de protecie a datelor transmise din propria reea ctre alte reele,
neverificarea accesului la distan prin punctul de control firewall, software programat s distrug
sistemul sau anumite date.
5. Zona demiltarizat (DML),riscuri de nivel mediu:
neevaluarea gazdelor din cadrul zonei demilitarizate n scopul stabilirii adecvrii acestora, punctele
de control firewall pot s nu previn atacurile Java i ActiveX.
6. Protecia echipamentului de reea, risc de nivel mediu:
echipamentul de reea nu este protejat mpotriva factorilor de mediu cum ar fi cderile de tensiune,
inundaii, umiditate.

7. Recuperarea datelor n caz de dezastru, risc de nivel ridicat:


inexistena unui plan de recuperare a datelor n caz de dezastru.
Verificarea situaiei faptice i scriptice a licenelor IT
1. Evidena licenelor IT, riscuri de nivel mediu:
nu este inut evidena situaiei scriptice a licenelor IT, nu este inut evidena situaiei faptice a
licenelor IT, unele licene nu au documente de provenien.
2. Atribuii n gestioanrea licenelor IT, risc de nivel mediu:
nu este numit o persoan cu responsabiliti n urmrirea i gestionarea licenelor IT.
Analiza dosarului pentru fiecare staie de lucru
1. Evidena softului instalat pe fiecare staie de lucru, riscuri de nivel mediu:
pentru fiecare calculator nu s-antocmit un dosar cu privire la soft-ul instalat pe acesta, posibilitatea
utilizrii unor programe software fr licen.
2. Raportri periodice privind situaia soft-ului pe staiile de lucru, risc de nivel mediu:
nentocmirea unor rapoarte periodice cu privire la situaia staiilor de lucru i a softului autorizat.
Verificarea existenei politicii de e-mail
1. Politica de e-mail la nivelul instituiei, riscuri de nivel mediu:
inexistena unei politici de e-mail adecvat la nivelul instituiei, politica de e-mail nu este integrat
politicii Internet.
2. Coninutul politicii de e-mail, riscuri de nivel mediu:
comunicaiile de e-mail nu sunt folosite doar pentru a servi scopurile instituiei, inexistena unor
limitri n ceea ce privete primirea-transmiterea unui fiier ataat unui mesaj, pentru mesajele
stocate, log-urile nu sunt protejate mpotriva accesului neautorizat.
Verificarea politicii de e-mail din punct de vedere al redactrii, comunicrii i
implementrii
1. Redactarea politicii de e-mail, riscuri de nivel mediu:
politica de e-mail nu este redactat clar, concis, nu este uor de citit i neles de ctre personalul
instituiei, politica de e-mail nu a fost redactat cu implicarea unor compartimente de specialitate.
2. Comunicarea politicii de e-mail, risc de nivel mediu:
personalului instituiei nu i-au fost comunicate prevederile politicii de e-mail.
Ierarhizarea riscurilor selectate, realizat prin documentul Tabelul puncte tari i puncte slabe a
contribuit la identificarea a 20 riscuri, ataate unor obiecte auditabile, care au fost evaluate ca fiind
puncte slabe, iar 2 riscuri au fost identificate ca fiind puncte tari. n stabilirea punctelor tari i a
celor slabe auditorii au avut n vedere cele trei clase de risc identificate n etapa de analiz a
riscurilor, respectiv au asociat riscului mic puncte tari iar riscului mediu i mare un punct slab.
Evaluarea ierarhizrii obiectelor auditabile n documentul Tematica n detaliu a misiunii de audit

intern, au fost preluate obiectivele i obiectele auditabile, considerate ca fiind puncte slabe, ocazie
cu care au fost renumerotate, i ulterior stabilit corespondena cu paragrafele din raportul de audit
intern.
3.1.4 Elaborarea programului misiunii de audit public intern
Tematica n detaliu cuprinde totalitatea domeniilor/obiectelor de auditat selectate, este semnat de
eful compartimentului de audit public intern i adus la cunotina principalilor responsabili ai
structurii auditate n cadrul edinei de deschidere. n baza tematicii detaliate se ntocmete
programul de audit public intern care este un document intern de lucru al compartimentului de audit
public intern. Acesta cuprinde pe fiecare obiectiv din tematica detaliat aciunile concrete de
efectuat necesare atingerii obiectivului, precum i repartizarea acestora pe fiecare auditor intern.
Scopul programului de audit public intern este de a asigura eful compartimentului de audit public
intern c au fost luate n considerare toate aspectele referitoare la obiectivele misiunii de audit
public intern i asigur repartizarea sarcinilor i planificarea activitilor, de ctre supervizor. n
baza programului de audit public intern se ntocmete programul preliminar al interveniilor la faa
locului. Acesta prezint n mod detaliat lucrrile pe care auditorii interni i propun s le efectueze,
respectiv studiile, cuantificrile, testele, validarea acestora cu materiale probante i perioadele n
care se realizeaz aceste verificri la faa locului.
3.1.5 Deschiderea interveniei la faa locului
edina de deschidere a interveniei la faa locului se deruleaz la Departamentul IT, cu
participarea auditorilor interni i a personalului Departamentului IT.
n cadrul edinei de deschidere a fost prezentat auditorul intern, domeniul auditabil i obiectivele
de auditat. De asemenea au fost prezentate activitile care urmeaz a fi auditate, fiind stabilite
termenele de raportare de ctre auditorul intern, a stadiului de verificare, termene care au fost
cuprinse n Programul misiunii de audit public intern. S-a acceptat calendarul ntlnirilor dintre
auditorul intern i cei auditai, astfel ca cei auditai s poat oferii documentele i informaiile
solicitate de auditorul intern n termenele stabilite. Recomandrile formulate ca urmare a
eventualelor disfuncionaliti constatate vor fi discutate i analizate cu structura auditat, inclusiv
calendarul implementrii i persoanele rspunztoare cu implementarea recomandrilor.
3.2.1. Colectarea dovezilor i utilizarea instrumentelor aplicabile
Scopul acestei proceduri l reprezint efectuarea testrilor stabilite prin programul de audit
aprobat i obinerea de probe, dovezi suficiente i relevante pentru formularea constatrilor,
concluziilor i recomandrilor. Colectarea dovezilor s-a fcut pornind de la Programul interveniei
la faa locului unde au fost planificate i elaborate listele de verificare i testrile care vor fi
efectuate. Pe baza acestor testri i avnd n vedere rezultatele obinute s-a trecut la ntocmirea

Fielor de identificare i analiz a problemelor i a Formularelor de constatare i raportare a


iregularitilor. Auditorii interni au avut n vedere i Tabloul de prezentare a circuitului auditului
care ofer informaii utile n colectarea dovezilor.
Principalele tehnici de audit public intern folosite, au fost:
Verificarea, care asigur validarea, confirmarea, concordana cu legile i regulamentele intrne,
precum i eficacitatea controalelor interne. Aceast tehnic a fost realizat prin:
- comparaie pentru anumite tranzacii curente care sunt puse n coresponden cu tranzacii
trecute sau similare, cu legi sau regulamente sau cu alte criterii rezonabile;
- examinare pentru detectarea unor erori n completarea documentelor sau pentru examinarea
vulnerabilitilor unor sisteme;
- garantare pentru verificarea realitii anumitor tranzacii prin examinarea documentelor
nregistrate, de la articolul nregistrat ctre documentele justificative;
- urmrire pentru a vedea dac toate tranzaciile reale au fost nregistrate.
Observarea fizic, pe baza creia se poate forma o prere proprie privind modul de ntocmire a
documentelor.
Interviul care ofer posibilitatea lmuririi unor aspecte legate de organizarea i desfurarea
activitilor.
Analiza care const n descompunerea unei structuri n elemente, care pot fi izolate, identificate,
cuantificate, i msurate distinct.
Principalele instrumente de audit intern folosite, au fost:
Chestionarele - care cuprind ntrebri pe care le formuleaz auditorii interni.
a) chestionarul de luare la cunotin (CLC) - care conin ntrebri referitoare la locul pe care l
ocup Departamentul IT n structura din care face parte, organizarea intern, funcionarea acestuia;
b) chestionarul de control intern (CCI) - ghideaz auditorii interni n activitatea de identificare
obiectiv a disfunciilor i cauzelor reale ale acestor disfuncii;
c) chestionarul-list de verificare (CLV) este utilizat pentru stabilirea condiiilor pe care trebuie s
le ndeplineasc fiecare domeniu auditabil. Cuprind un set de ntrebri standard privind obiectivele
definite, responsabilitile, metodele i mijloacele financiare, tehnice i de informare, precum i
resursele umane existente.
Pe parcursul desfurrii misiunii de audit, pentru a culege probe ct mai relevante i suficiente
auditorii au desfurat dou categorii de teste:
a) teste de conformitate, pentru verificarea conformitii controlului intern cu politicile, normele
interne stabilite de managmentul instituiei;
b) teste de fond, pentru a verifica integritatea datelor i altor informaii de sistem.
Avnd n vedere obiectivele controlului intern, care se pot rezuma n asigurarea validitii,

exhaustivitii, acurateei i confidenialitii resurselor informaionale din cadrul instituiei,


auditorul, prin intermediul testelor de conformitate, a verificat existena i eficiena controlului
intern. Prin aceste teste, auditorul a urmrit conformitatea controlului intern existent n cadrul
instituiei cu politicile i procedurile managmentului, ct i consecvena de aplicare a acestui
control.
n mod practic, exist o relaie direct proporional ntre nivelul controlului intern i volumul
testelor de fond ce sunt necesare a fi desfurate.

Datorit rezultatelor testelor de conformitate

care confer prezena unui control intern eficient, auditorul a aplicat un numr minim de teste de
fond.
n urma testelor de conformitate, s-au identificat patru categorii de mecanisme de control intern:
- controlul restrictiv ce are ca efect reducerea probabilitii unui atac deliberat;
- controlul preventiv ce protejeaz vulnerabilitile cunoscute sau presupuse i reduc impactul
unui atac reuit;
- controlul corectiv ce reduce efectul unui atac prin supravegherea corectitudinii i integritii
datelor;
- controlul detectiv ce descoper atacuri iniiate sau n desfurare i alarmeaz sistemul
corespunztor.

AMENINAR
E

CONTROL
RESTRICTI
V

CONTROL
CORECTIV

MINIMIZEAZCREEAZ
ATAC

EXPLOATEAZ
CONTROL
DETECTIV

VULNERABILITATE
A

DESCOPER

DECLANEAZ
IMPACT

PROTEJEAZ

REZULT N

CONTROL
PREVENTIV

REDUCE

Figura nr.1 Controalele accesului n sistem

DESCRETE

n urma procedurii de colectare a dovezilor s-au identificat anumite probleme i s-a trecut la
ntocmirea Fielor de identificare i analiz a problemelor.
Fia de identificare i analiz a problemei, nr.1
Problema: Stocarea necorespunztoare a backup-urilor.
Constatri: Nu a fost asigurat o locaie astfel nct backup-urile s fie corect jurnalizate i stocate.
Cauze: Nu exist un spaiu amenajat corespunztor, precum nici o persoan desemnat cu pstrarea
n bune condiii a backup-urilor.
Consecine: Posibilitatea deteriorrii anumitor copii de siguran, astfel nct n cazul cderii
sistemului ca urmare a unor cauze hardware sau software, s fie imposibil refacerea acestui sistem.
Recomandri: Alocarea unei camere, amenajat corespunztor, n vederea gestionrii corecte a
backup-urilor.
Fia de identificare i analiz a problemei, nr.2
Problema: Neaprobarea cercetrii i monitorizrii informaiilor electronice.
Constatri: Nu s-a emis un Odin/Decizie/Act intern care s specifice care sunt persoanele cu
atribuii de cercetare i monitorizare a informaiilor electronice, precum i persoane cu atribuii de a
intercepta, revizui sau divulga coninutul mesajelor trimise sau primite de personalul instituiei prin
e-mail.
Cauze: Inexistena unor procedure formalizate la nivelul instituiei cu privire la manipularea
informaiilor n format electronic. Aceste procedure formalizate trebuie s fie puse n coresponden
cu politica de e-mail.
Consecine: Posibilitatea interceptrii, accesrii sau divulgrii coninutului unor informaii
electronice de ctre personal neautorizat.
Recomandri: Stabilirea prin Ordin/Decizie/Act intern a unei persoane din cadrul Departamentului
IT, cu atribuii de monitorizare i, dac este cazul, de cercetare a informaiilor electronice
transmise/primite de ctre personalul instituiei prin e-mail. Aceast persoan trebuie s asigure
condiiile de confidenialitate i integritate a datelor i informaiilor pe care le monitorizeaz.
Fia de identificare i analiz a problemei, nr.3
Problema: Neformalizarea unei politici de e-mail la nivelul instituiei.
Constatri: La nivelul instituiei nu a fost stabilit o politic de e-mail care s ndeplineasc
urmtoarele condiii: s fie scris clar, concis, astfel nct s poat fi uor de citi i de neles;
redactarea s se fac cu implicarea personalului IT, a resurselor umane sau altor structure
funcionale; s fie aprobat semnat de conducere; s fie distribuit un plan care s prevad un
instructaj cu privire la riscurile la care se supun angajaii dac nu urmeaz punctele transmise prin
politica n cauz; s fie actualizat permanent.

Cauze: Departamentul IT nu dispune de suficient personal care s se ocupe de redactarea i


actualizarea permanent a politicii de e-mail.
Consecine: Grad sczut de asigurare a integritii i confidenialitii datelor i informaiilor
transmise sau primite de utilizatori n format electronic, prin e-mail.
Recomandri: Desemnarea unui grup de lucru cu atribuii de redactare, comunicare i implementare
a politicii de e-mail la nivelul insituiei.
3.2.2. edina de nchidere
n edina de nchidere a fost prezentat ctre Departamentul IT obiectivele care au fost supuse
auditrii. Constatrile efectuate

au fost discutate

pentru fiecare obiectiv auditat i au fost

prezentate dovezile care susin aceste constatri. S-a insistat asupra consecinelor posibile n cazul
n care aspectele constatate nu vor fi soluionate. Au fost prezentate prii auditate recomandrile
care urmeaz a fi implementate pentru eliminarea deficienelor. Auditorii interni consider c
deficienele constate n misiunea de audit public intern efectuat pot fi eliminate prin
implementarea recomandrilor formulate. Ca finalitate a edinei s-a ntocmit Minuta edinei
de nchidere.
3.3.1.Elaborarea proiectului de Raport de audit public intern
La sfritul misiunii de audit public intern, auditoria interni au elaborate un proiect de raport de
audit public intern, care reflect cadrul general, obiectivele, constatrile, concluzile i
recomandrile.
n urma verificrilor s-au constatat urmtoarele:
1. Obiectivul de audit: Reeaua de calculatoare
Constatri cu caracter negativ: Nu a fost asigurat o locaie astfel nct backup-urile s fie corect
jurnalizate i stocate.
Consecine: posibilitatea deteriorrii anumitor copii de siguran, astfel nct n cazul cderii
sistemului ca urmare a unor cauze hardware sau software, s fie imposibil refacerea acestui sistem.
Recomandri: Alocarea unei camere, amenajat corespunztor, n vederea gestionrii corecte a
backup-urilor.
2. Obiectivul de audit: Logistica IT
Constatri cu caracter pozitiv: Reeaua intern a Instituiei este bazat pe o structur de switch-uri
3COM Gigabit Switch 5, avnd o serie de faciliti care confer securitate sporit, optimizeaz
traficul n reea i ofer, de asemenea redundan.
Switch-urile pot fi configurate de la distan prin interfa Web, fiecare din ele avnd un IP static.
Conectarea se face pe baz de user i parol; mai exist dou conturi, unul de supervizare unde se
fac doar setri de parametri care nu implic securitatea, respectiv un user unde se poate vizualiza

configuraia switch-ului.
Echipamentele IT sunt corect ntreinute , fiind totodat plasate i protejate pentru a se preveni
riscul distrugerii accidentale.
3. Obiectivul de audit: Gestiunea licenelor IT
Constatri cu caracter pozitiv:

La nivelul Departamentului IT exist o eviden a situaiei

scriptice a licenelor IT. De asemenea, pentru licenele utilizate exist documente de provenien.
Pentru fiecare staie de lucru a fost ncheiat un proces-verbal cu privire la soft-ul instalat pe fiecare
calculator, astfel nct toate programele instalate s fie autorizate.
Constatri cu caracter negativ: Nu s-a emis un Odin/Decizie/Act intern care s specifice care sunt
persoanele cu atribuii de cercetare i monitorizare a informaiilor electronice, precum i persoane
cu atribuii de a intercepta, revizui sau divulga coninutul mesajelor trimise sau primite de
personalul instituiei prin e-mail.
La nivelul instituiei nu a fost stabilit o politic de e-mail care s ndeplineasc urmtoarele
condiii: s fie scris clar, concis, astfel nct s poat fi uor de citi i de neles; redactarea s se
fac cu implicarea personalului IT, a resurselor umane sau altor structure funcionale; s fie aprobat
semnat de conducere; s fie distribuit un plan care s prevad un instructaj cu privire la riscurile la
care se supun angajaii dac nu urmeaz punctele transmise prin politica n cauz; s fie actualizat
permanent.
Cauze: Inexistena unor proceduri formalizate la nivelul instituiei cu privire la manipularea
informaiilor n format electronic. Aceste proceduri formalizate trebuie s fie puse n coresponden
cu politica de e-mail.
Departamentul IT nu dispune de suficient personal care s se ocupe de redactarea i actualizarea
permanent a politicii de e-mail.
Consecine: Posibilitatea interceptrii, accesrii sau divulgrii coninutului unor informaii
electronice de ctre personal neautorizat.
Grad sczut de asigurare a integritii i confidenialitii datelor i informaiilor transmise sau
primite de utilizatori n format electronic, prin e-mail.
Recomandri: Stabilirea prin Ordin/Decizie/Act intern a unei persoane din cadrul Departamentului
IT, cu atribuii de monitorizare i, dac este cazul, de cercetare a informaiilor electronice
transmise/primite de ctre personalul instituiei prin e-mail. Aceast persoan trebuie s asigure
condiiile de confidenialitate i integritate a datelor i informaiilor pe care le monitorizeaz.
Desemnarea unui grup de lucru cu atribuii de redactare, comunicare i implementare a politicii de
e-mail la nivelul insituiei.
Avnd n vedere constatrile din Raportul de audit public intern, concluziile sunt urmtoarele:
Exceptnd obiectivele de audit pentru care au fost formulate recomandri, n cadrul instituiei se

respect i se realizeaz un control adecvat referitor la Logistica IT, Gestiunea licenelor IT.
Deficienele menionate n Raportul de audit public intern pot fi nlturate prin implementarea
recomandrilor formulate de auditorul intern.
Proiectul de Raport de audit public intern se transmite la Departamentul IT, iar acesta va trimite n
maxim 15 zile, punctual su de vedere care va fi analizat de auditorii interni.
3.3.2. Reuniunea de conciliere
Scopul reuniunii de conciliere este de a discuta eliminarea eventualelor divergene existente
privind constatrile i recomandrile formulate de ctre auditorii interni n Proiectul raportului de
audit public intern, precum i stabilirea unui plan de aciune i a calendarului de implementare a
recomandrilor.
Dup aprobarea recomandrilor cuprinse n raportul de audit public intern finalizat, acestea devin
obligatorii i vor fi comunicate Departamentului IT. Aprobarea recomandrilor va fi realizat de ctre
directorul Instituiei.
3.3.3. Difuzarea Raportului de audit public inter (Raport final)
eful compartimentului de audit public intern transmite Raportul de audit public intern mpreun
cu rezultatele concilierii i punctual de vedere al structurii auditate, conductorului entitii publice
Tiberiu Tudoran, pentru analiz i avizare. Dup avizare, Raportul de audit public intern va fi
comunicat Departamentului IT.
n cazul n care exist recomandri care nu au fost avizate de conductorul entitii publice,
auditorii interni transmit la organul ierarhic superior sau la UCAAPI, o informare, mpreun cu o
documentaie de susinere.
3.3.4. Urmrirea recomandrilor
Obiectivul acestei etape este asigurarea c recomandrile menionate n Raportul de audit intern
sunt aplicate ntocmai, n termenele stabilite, n mod eficace i conducerea a evaluat riscul de
neaplicare a acestor recomandri.
Urmrirea recomandrilor este un proces prin care se constat caracterul adecvat, eficacitatea i
oportunitatea aciunilor ntreprinse de ctre conducerea entitii auditate pe baza recomandrilor din
Raportul de audit intern. Procedura de urmrire a recomandrilor presupune ntocmirea
documentului Fia de urmrire a recomandrilor pe baza planului de aciune i a calendarului de
implementare.
Concluzii
Cadrul metodologic asociat unei misiuni de audit urmrete,obinerea unei nelegeri a cerinelor
organizaiei, identificarea controalelor existente, precum i evaluarea conformitii controlului
intern, i identificarea riscurilor.
Principiile auditului sunt construite n jurul celor patru premise. n general, un astfel de proces

implic, ntro prim etap, documentarea activitilor pentru a evidenia obiectivele controlului,
intervievarea managementului i a personalului Departamentului IT cu scopul de a nelege cu
adevrat cerinele organizaiei. Ulterior se urmrete identificarea controalelor existente i analiza
msurilor de control implementate n cadrul organizaiei; auditorul trebuie s se asigure c
documentaia procesului exist i s evalueze distribuia, responsabilitatea i disponibilitatea ei.
Evaluarea conformitii controlului intern este etapa n care auditorul trebuie s se asigure c
msurile de control stabilite sunt n conformitate cu standardele n vigoare i regulamentele interne,
fapt ce-l va determina s obin probe pe diferite eantioane. Finalitatea etapei este redat de
aplicarea testelor de detaliu i procedurilor analitice, tocmai pentru a asigura auditorului
certitudinea c precesele IT sunt adecvate.
Identificarea riscurilor importante ale sistemului informatic, presupune o analiz a slbiciunilor
de control i vulnerabilitilor sistemului n vederea aprecierii actualului sau potenialului impact. n
acest sens, auditorul va analiza tehnici analitice i/sau consult surse alternative n acord cu
obiectivul auditului.
Controlul intern ntrun sistem informaional este menit s promoveze att eficacitatea exploatrii
ct i fiabilitatea sistemului. Azitzi, ntrun mediu informatizat, verificarea i aprecierea acestui
control, la nivelul unei organizaii, reprezint cheia care i confer auditorului ncrederea asupra
datelor ce urmeaz a fi auditate. Verificarea integritii datelor este o etap premergtoare
ndeplinirii obiectivelor unei misiuni de audit, deoarece auditorii trebuie s se asigure c rezultatele
din rapoartele finale sunt bazate pe date complete, precise i fiabile.
ntrebarea care se ridic ns, este: Cum poate un auditor s evalueze completitudinea, acurateea
i integritatea datelor furnizate de managementul unei entiti, pentru asigurarea reuitei misiunii de
audit??
Elementele de fraud i eroare cu ajutorul calculatorului nu sunt puine.
Totui, muli auditori nu contientizeaz necesitatea realizrii unui control al sistemului informatic
i nu percep aceast testare a validitii i autenticitii datelor ca fiind direct legat de obiectivele
unei misiuni de audit financiar.
n general, controlul intern ntrun sistem informaional vizeaz un control general care afecteaz
mediul activitilor informatizate i controlul aplicaiilor existente n sistem.
Din punct de vedere al practicii auditului, nu exist ns o distincie ntre cele dou tipuri de
control pentru c n realitate ele se completeaz reciproc i, mpreun, dau o imagine complet i
corect asupra sistemului informaional.
Cheia n domeniul auditului este de a recunoate c auditul poate avea i o mai mare valoare dac
analizeaz aspecte dincolo de problemele financiare tradiionale i se focalizeaz asupra unor
puncte de interes pentru un public mai larg. Muli auditori consider astzi c metodologia de audit

care era potrivit n era industrial s-ar putea s nu fie suficient de dezvoltat pentru era
informaional, cnd activele sunt intangibile, comerul este electronic, pieele sunt globale i ritmul
schimbrii este din ce n ce mai accelerat.
Ce valori trebuie s ofere auditorii? Trebuie oare s ofere o abordare tradiional a analizelor
periodice ce vizeaz datele istorice, a datelor bazate pe cost sau a situaiilor financiare?
Oare este necesar o abordare bazat pe date n continu schimbare, bazate pe valoare i pe
emiterea de informaii ct mai cuprinztoare?
Oricum auditori viitorului ce vor lucra n comer i industrie vor avea oportunitatea de a deveni o
resurs cheie n organizaiile lor. Pentru a avea succes n noile ncercri ei trebuie s-i diversifice
cunotinele de baz dincolo de analiza financiar tradiional ctre noi domenii precum tehnologia
informaiei, msurarea performanelor nefinanciare i managementul general.
Dezvoltrile comerului electronic aduc o mare provocare sistemelor tradiionale de afaceri i
contabililor care le deservesc. Internetul joac un rol din ce n ce mai important n rspndirea
informaiei financiare i de afaceri. Aceasta modific graniele internaionale ale informaiei i
genereaz ateptri asupra raportrii la timp de informaii actualizate, fapt ce determin ca opinia
de audit s fie dat mai degrab asupra sistemului informatic existent n cadrul entitii, dect
asupra datelor din situaile financiare.
Instituiile publice sunt n permanen confruntate cu mbuntirea performanelor lor . Funcia
de audit intern ofer, din acest punct de vedere, sigurana rezonabil c operaiunile desfurate,
deciziile luate sunt sub controli c n acset fel, contribuie la realizarea obiectivelor entitii.
Auditul intern ajut instituia s i ating obiectivele evalund procesele sale de management al
riscurilor, de control i de conducere. Auditorii interni pot prin consiliere permanent, s ajute
instituia s identifice, s evalueze i s implementeze un dispozitiv de management al riscurilor i
de control care s permit stpnirea acestor riscuri.
Misiunile de audit scot n eviden anomaliile i punctele slabe semnifcative din cadrul
proceselor ce se desfoar la nivelul instituiei, astfel nct s poat fi remediate sau atenuate
consecinele acestora.
Prin mprtirea cunotinelor, auditul public intern permite schiarea perspectivelor i contribuie
la progress.
n loc de ncheiereDac Dumnezeu mi-ar mai da o bucic de via A da valoare
lucrurilor mrunte, dar nu pentru ce valoreaz ele, ci mai curnd pentru ceea ce ele semnific ..;
de-abia acum neleg c pentru fiecare minut n care nchidem ochii pierdem aizeci de secunde de
lumin. A merge n timp ce alii ar sta pe loc, a rmne treaz n timp ce toi ceilali ar dormi. A
asculta n timp ce alii ar vorbi.

Gabriela Garcia Marquez

Doamne, ct respect pentru lumina minii, care este informaia. i cum s nu fie protejat pe

msur?15
Victoria este un vrf al curajului i la captul acestuia se afl libertatea care vine odat cu
contiina faptului c nicio putere pmnteasc nu te poate nfrnge.
Tria de caracter este unicul lucru fr de care nu poi tri i doar curajul convingerilor proprii
este cel care face posibil schimbarea.

BIBLIOGRAFIE
1. Ionela-Corina Chersan (coordonator), Control i Audit Intern, Editura Universitii Al.I.Cuza
Iai, 2008
2. Crciun, t., Auditul financiar i auditul intern, Editura Economic, Bucureti, 2004
3. Crciun, t., Auditul intern, evaluare, consiliere, Editura Economic , Bucureti, 2006
4. Flavia Stoian, Ana Morariu, Suciu Gh., Audit intern i Guvernan Coorporativ, Editura
Universitar, Bucureti, 2008
5. Alvin, A.Arens, James K.Loebbecke, Audit o abordare integrat, Ediia a 8-a, Editura ARC,
2006
6. Mare, G., Cristiana Costinescu, Niculae, D.C., Pitulice, M.G., Practica auditului intern, Editura
Contaplus, Bucureti, 2007
7. Roman Aureliana-Geta, Roman, C., Tabr, V., Control financiar i audit public, Editura
Economic, Bucureti, 2007
8. Dobroeanu, L., Dobroeanu, C.L., Audit concepte i practice, Editura Economic, Bucuresti,
2002
9. Ghi, M., Mare, V., Auditul performanei publice, Editura CECCAR, Bucureti, 2002
10. Munteanu, V., Control i audit financiar-contabil, Editura Lumina Lex, Bucureti, 2003
11. Boulescu, M., Brnea, C., Ispir, O., Control financiar intern i audit intern la entitile publice,
Editura Economic, Bucureti, 2004
12. Chiu, A., Pitulice, M., Pitulice, A., Studii de caz privind auditul public intern, Editura
15

Oprea Dumitru, Protecia i securitatea sistemelor informaionale, Editura Universitii


Al.I.Cuza, Iai, 2006, p.,7

CECCAR, Bucureti, 2005


13. Morariu, A., Stoian Flavia, Auditul intern- o funcie cu multiple valene, Revista Romn de
Statistic, nr.3/2007
14. Renard, J., Teoria i practica auditului intern, Ediia a patra, Bucureti, 2002
15. Daniela-Neonil Mardiros, Scorescu, F.I., Contabilitate public, Editura Ion Ionescu de la
Brad Iai, 2007
16. Nicolae Florina, Dasclu Doina, Auditul intern n instituiile publice, Editura Economic,
Bucureti, 2006
17. Gabriela Meni, Oprea, D., Dumitriu, F., Analiza sistemelor informaionale, Editura
Universitii Al.I.Cuza, Iai, 2005
18. Oprea, D., Protecia i securitatea sistemelor informatice, Editura Universitii Al.I.Cuza,
Iai, 2006
19. Nstase, P., Stanciu, V., Dana Boldeanu, Auditul i controlul sistemelor informaionale, Editura
Economic, Bucureti, 2007
20. Oprea, D., Munteanu, A., Rusu Daniela, Probleme actuale ale securitii n sistemele
informaionale pentru afaceri, Editura Polirom, Iai, 2003
21. Horomnea, E., Dorina Budugan, Tabr, N., Bazele contabilitii, Editura Sedcom Libris, Iai,
2006
22.***Legea nr. 672 din 19.12.2002, privind auditul public intern, MO nr.953 din 24.12.2002
23.***Ordinul ministrului finanelor publice nr.423/2004 pentru modificarea i completarea
Normelor generale privind exercitarea activitii de audit public intern aprobate prin OMFP nr.
38/2003
24.***Norme profesionale ale auditului intern, Minsterul Finanelor Publice i Institutul Auditorilor
Interni (IFACI)