Sunteți pe pagina 1din 42

1

1. Cunoasterea, descrierea si intelegerea procedurilor

Scopul acestei etape a aprecierii controlului intern este de a stabili pentru fiecare
domeniu semnificativ care sunt procedurile utilizate în cadrul fiecărui compartiment,
fiecărei funcţii pentru: iniţierea, aprobarea şi controlul tranzacţiilor şi operaţiunilor;
culegerea informaţiilor şi consemnarea lor în documentele justificative; asigurarea
integrităţii patrimoniului şi a gestionării eficiente a acestuia; asigurarea regularităţii şi
sincerităţii sistemului contabil.
Pentru cunoaşterea, înţelegerea şi descrierea procedurilor utilizate în entitate,
auditorul apelează la una sau mai multe tehnici, cum sunt:
a) Interviul sau investigaţia
Constă în obţinerea de informaţii de la persoane bine informate, de conducere şi
de execuţie. Investigaţia se materializează în obţinerea unei descrieri motivate a
procedurilor folosite, într-o manieră informală, fără utilizarea unui suport standard.
Acesta tehnică prezintă avantajul că permite o oarecare supleţe în derularea
conversaţiei şi, ca urmare, interlocutorii se simt mai puţin controlaţi, ei devin mai
cooperanţi, mai volubili. Pe baza acestei tehnici auditorii pot obţine informaţii care nu
pot fi obţinute prin alte modalităţi de lucru.
Totuşi, această tehnică prezintă un inconvenient maior determinat de faptul că
aspectele discutate sunt uneori neconcludente, amstecându-se problemele esenţiale cu
cele neesenţiale şi colaterale, ceea ce face ca sintetizarea procedurilor să fie dificil de
efectuat, necesitând mai multe interviuri cu persoanele implicate. Unele aspecte esenţiale
pot fi omise. Uneori, persoanele intervievate furnizează informaţii eronate, contradictorii
sau incomplete. Această tehnică este recomandabilă numai pentru tranzacţiile sau
operaţiunile cu un grad redus de complexitate.
b) Chestionarele descriptive de control intern şi ghidurile operaţionale
Chestionarele sunt de mai multe tipuri. Pentru descrierea procedurilor, se
recomandă ca ele să fie „deschise". Chestionarele
deschise exclud posibilitatea ca răspunsurile la întrebările auditorului să fie „da"
sau „nu". Întrebările sunt astfel formulate încât să-1 oblige pe interlocutor să formuleze

1
răspunsuri detaliate, care dovedesc dacă acesta cunoaşte sau nu, procedurile folosite în
compartimentul respectiv sau pentru operaţiunea respectivă.
Ghidurile operaţionale se aseamănă cu chestionarele descriptive, dar ele nu iau
forma unor întrebări.
Chestionarele descriptive şi ghidurile operaţionale elimină unele din
inconvenientele discuţiilor libere, ale interviurilor. Aceste chestionare şi ghiduri
limitează posibilitatea ca unele aspecte importante să fie omise. Întrebările se formulează
din timp pe suport de hârtie sau pe un alt suport şi se actualizează în permanenţă pe baza
experienţei acumulate de auditori şi pe baza cunoştinţelor despre entitate, dobândite
anterior. Aceste documente pot fi folosite şi ca suport al interviurilor. Pe baza acestor
chestionare, conducerea cabinetelor de audit urmăreşte calitatea activităţii asistenţilor si
colaboratorilor.
c) Diagramele de circuit
Diagramele de circuit sunt reprezentări grafice ale unor lanţuri de operaţiuni în
care diferite documente, posturi de lucru sau compartimente, decizii, responsabilităţi,
operaţiuni etc. sunt reprezentate prin simboluri legate între ele, în funcţie de organigrama
administrativă a entităţii.
Elaborarea diagramelor de circuit presupune utilizarea unor tablouri de simboluri.
Aceste tabouri au fost elaborate sub diferite forme.
Astfel, Ordinul experţilor contabili din Franţa recomandă folosirea următoarelor
simboluri: (extras)

Aceste diagrame de circuit trebuie să fie cât mai simple. în interiorul unei entităţi
trebuie să se folosească aceleaşi simboluri.

2
Diagramele de circuit pot fi construite după o formă verticală sau orizontală.
Într-o diagramă verticală operaţiunile sunt trecute succesiv.
Astfel,

Diagramele verticale sunt uşor de întocmit, ele prezintă operaţiunile în ordine


cronologică. Delimitarea dintre compartimente se face printr-o linie orizontală. Aceste
diagrame prezintă şi unele inconveniente, cum sunt:
♦ cu ajutorul lor se poate urmări o singură linie de flux informaţional, lipsind o
viziune de ansamblu asupra tuturor operaţiunilor care se efectuează în cadrul unui
compartiment;
♦ nu permit să se analizeze modul de separare a sarcinilor.
Diagramele verticale se utilizează pentru reprezentarea circuitelor simple.
Diagramele orizontale prezintă simultan liniile de flux pentru fiecare document şi
pentru fiecare compartiment.
Astfel

Descrierea Compartimentele implicate


A B C D

Aceste diagrame permit: vizualizarea ansamblului circuitelor informaţionale;


analiza unei operaţiuni sub toate aspectele, prin prisma tuturor compartimentelor
implicate; punerea în evidenţă a punctelor forte şi a punctelor slabe ale separării
sarcinilor şi ale controlului intern. Totodată, aceste diagrame solicită un efort şi o rigoare

3
deosebite pentru elaborarea lor; se elaborează pe suporturi de hârtie de dimensiuni mari.
Diagramele orizontale se utilizează pentru reprezentarea circuitelor complexe.
După ce a obţinut o descriere a procedurilor cu ajutorul tehnicilor de mai sus,
auditorul trebuie să analizeze, cu ajutorul testelor
de conformitate, dacă aceste proceduri sunt bine înţelese şi sunt conforme cu
realitatea.
Testele de conformitate au ca obiectiv obţinerea confirmării asupra faptului că
procedurile descrise au fost bine înţelese şi corespund procedurilor aplicate în bancă.
Testele de conformitate urmăresc numai dacă aceste proceduri există (teoretic),
indiferent de modul în care ele se aplică.
Testele de conformitate se realizează concomitent cu descrierea sistemului
contabil şi a sistemului de control intern. Ele cuprind un număr limitat de tranzacţii şi
operaţiuni. Uneori, este suficient ca pentru verificarea realităţii procedurilor să se testeze
o singură tranzacţie sau operaţiune. Dacă procedurile au mai multe variante, se impune
testarea fiecărei variante.
Testele de conformitate se realizează cu ajutorul unor tehnici specifice, cum sunt:
□ Obţinerea de confirmări verbale de la diferiţi executanţi care utilizează
procedurile respective;
□ Observarea directă a modului cum sunt aplicate procedurile de către per-
soanele implicate în culegerea, prelucrarea şi controlul informaţiilor;
□ Urmărirea existenţei unor probe materiale referitoare la aplicarea
procedurilor contabile sau de control intern. Aceste probe materiale (confirmări) se
concretizează în ştampile, vize, semnături aplicate pe documentele respective, uneori
însoţite de explicaţii suplimentare, cum sunt: verificat, achitat, livrat, înregistrat etc.
Acesta tehnică permite cuprinderea în sondaj a unui număr mare de documente, tranzacţii
şi operaţiuni într-un timp foarte scurt.
□ Efectuarea de teste ulterioare, sub forma testelor de urmărire sau a
jocurilor de încercare asupra unor proceduri de la început şi până la sfârşit, de la iniţerea
tranzacţiilor şi operaţiunilor şi consemnarea lor în documente şi până la întocmirea
situaţiilor financiare.
□ Compararea procedurilor descrise cu ajutorul tehnicilor de mai sus cu

4
manualele de proceduri, normele interne, fişele posturilor, sarcinile de serviciu etc.
elaborate în cadrul entităţii.
Testele de conformitate permit corectarea erorilor de înţelegere din partea
auditorilor, corectarea informaţiilor inexacte sau incomplete culese de la interlocutori,
aprofundarea cunoaşterii procedurilor, în special a punctelor de control introduse în
sistemul auditat.
Cunoaşterea, descrierea şi înţelegerea acestor proceduri trebuie făcută cât mai
rapid posibil, astfel încât să se evite tendinţa de orientare a eforturilor auditorilor asupra
acestei etape descriptive în detrimentul etapei de evaluare critică a acestor proceduri.
Această etapă a evaluării controlului intern se dezvoltă integral când procedurile
sunt analizate pentru prima dată. în exerciţiile următoare, auditorul realizează numai o
aducere la zi a descrierii sistemelor şi procedurilor. Dacă sistemele şi procedurile nu au
fost modificate, se apelează doar la teste de conformitate asupra acestor proceduri.

2. Programul de control al conturilor

5
După parcurgerea lucrărilor legate de „evaluarea controlului intern", după
sintetizarea punctelor forte şi punctelor slabe ale sistemului contabil şi sistemului de
control intern, după stabilirea domeniilor semnificative (a conturilor semnificative şi a
verificărilor semnificative), precum şi a riscurilor asociate acestor domenii, auditorul
colectează elemente probante suficiente şi juste referitoare la exhaustivitatea, realitatea şi
exactitatea conturilor (perioada corectă, evaluarea corectă, imputarea corectă, prezentarea
corectă în situaţiile financiare).
Obiectivul principal al etapei "Controlul conturilor" îl reprezintă procurarea
elementelor probante suficiente şi juste care să îi permită profesionistului contabil să
exprime o opinie motivată asupra modului cum au fost respectate normele legale şi
dispoziţiile conducerii, cum ar fi:
 reglementările de evaluare şi prezentare stabilite prin normele legale şi
profesionale;
 principiile contabilităţii: prudenţa, permanenţa metodei,
 continuitatea activităţii, independenţa exerciţiului, intangibilitatea bilanţului de
deschidere, necompensarea;
 reglementările referitoare la inventariere;
 regulile de organizare a contabilităţii şi de ţinere a registrelor contabile;
 existenţa activelor şi faptul că acestea aparţin băncii;
 pasivele patrimoniale, veniturile şi cheltuielile trebuie să privească banca şi
perioada respectivă.
Aprecierea controlului intern şi controlul conturilor sunt două etape ale auditului
bancar care se pot derula, în practică, fie succesiv fie concomitent, în funcţie de
experienţa auditorilor.
Pentru a asigura şi acestei etape a auditului un caracter organizat, pentru evitarea
suprapunerilor şi repetărilor inutile între etapele auditului şi pentru prevenirea
omisiunilor, controlul conturilor se derulează pe baza unui „Program de control al
conturilor". Acest program se elaborează pe baza informaţiilor culese în etapele
precedente ale auditului.

6
Datorită relaţiei invers proporţionale dintre eficienţa controlului intern şi
întinderea lucrărilor de control al conturilor, nu se poate elabora un program standard de
control al conturilor. Programele de control al conturilor variază între o anumită limită
minimă şi o limită maximă.
Dacă în entitate controlul intern este bine conceput şi funcţionează eficient, scade
riscul de transmitere către contabilitate a unor date eronate sau de înregistrare eronată a
unor tranzacţii şi operaţiuni şi, ca urmare, sporeşte gradul de asigurare a auditorului
referitor la valoarea probantă a contabilităţii, ceea ce impune elaborarea unui program
restrâns de control al conturilor.
În această situaţie, demersurile auditorului se restrâng la analiza soldurilor
conturilor cu ajutorul procedurilor analitice, aceasta deoarece în etapa precedentă s-a
evaluat modul de organizare şi modul de funcţionare a controlului intern asupra rulajelor
conturilor, cu ajutorul testelor de proceduri (teste de conformitate, teste de permanenţă
etc.) Pentru verificarea coerenţei interne între etapele auditului şi pentru confirmarea
concluziilor la care s-a ajuns în urma evaluării controlului intern, procedurile analitice
sunt completate cu teste ale detaliilor unor tranzacţii şi operaţiuni, care se pot extinde şi
asupra rulajelor unor conturi semnificative.
În situaţia în care, în urma parcurgerii etapelor precedente ale auditului, se ajunge
la concluzia că sistemul contabil şi sistemul de control intern prezintă numeroase limite,
există riscul ca informaţiile contabile să nu reflecte imaginea fidelă asupra poziţiei
financiare, performanţei financiare şi fluxurilor de trezorerie, aşa cum prevede Legea
contabilităţii nr.82/1991, modificată pein O.G. nr.6l/2001, art.2. În această situaţie,
auditorul constată că nu se poate sprijini suficient pe controlul intern din entitate şi, ca
urmare, elaborează un program extins de control al conturilor. Acest program extins
prevede un volum mai mare de sondaje care se extind şi asupra rulajelor conturilor,
asupra tranzacţiilor şi altor operaţiuni înregistrate în contabilitate. în acest caz, auditorul
completează testele de control sau de proceduri cu controalele substantive sau
procedurile de fond astfel încât, ţinând seama şi de riscurile de nedetectare, auditorul să
obţină o asigurare rezonabilă asupra reducerii riscului de audit. Aceste sondaje ale
auditului se stabilesc în funcţie de riscurile de anomalii şi punctele slabe depistate cu
ocazia derulării etapelor anterioare ale angajamentului (misiunii) de audit.

7
După cum s-a arătat, probele de audit se obţin printr-o combinare adecvată a
testelor de control şi a procedurilor de fond. Testele de control (denumite şi teste de
proceduri) sunt utilizate cu ocazia evaluării sistemului contabil şi a sistemului de control
intern. Testele de control sunt utilizate de auditor cu scopul de a obţine probe de audit
referitoare la eficacitatea proiectării şi funcţionării sistemului contabil şi a sistemului de
control intern. Procedurile de fond (denumite şi controale substantive) sunt testele
(sondajele) realizate de auditori cu scopul de a obţine probe de audit şi de a detecta
erorile semnificative din situaţiile financiare. Procedurile de fond se realizează, de regulă,
prin intermediul:
• testelor de detaliu ale tranzacţiilor sau ale soldurilor, uneori şi ale
nilajelor, conturilor;
• procedurile analitice.
Programul de control al conturilor se întocmeşte, de regulă, separat de „Planul de
misiune' şi „Sinteza asupra controlului intern", fiind o continuare a acestora. Programul
de control al conturilor cuprinde:
a) Lista controalelor de efectuat, ordonată pe posturi ale bilanţului.
Această listă trebuie să fie suficient de detaliată pentru a se evita
omisiunile şi pentru a se putea stabili cu uşurinţă documentele şi
informaţiile ce urmează a se solicita de la întreprindere;
b) întinderea eşantionului (mărimea sondajului) care se stabileşte în
funcţie de pragul de semnificaţie şi de erorile posibile a se produce care
urmează a fi avute în vedere în această etapă a auditului.
c) Indicarea datei la care urmează să se efectueze controlul. Precizarea
datei are loc pe măsura derulării controlului. Prin aceasta se poate stabili
cronologia lucrărilor de auditare a conturilor şi se poate delimita
răspunderea auditorului pentru operaţiunile care au avut loc până la acea
dată, inclusiv pentru operaţiunile posterioare închiderii exerciţiului;
d) Precizarea referinţei (codului) pentru foaia de lucru în care s-au
consemnat constatările controlului. Foile de lucru sunt documente care
se anexează la programele de control, în ele se înscriu operaţiunile şi
documentele verificate prin sondaj, precum şi constatările reţinute.

8
Pentru a putea fi uşor sistematizate, foile de lucru sunt codificate printr-
o referinţă care are corespondent în documentul de planificare.
e) Numele şi prenumele specialistului contabil care verifică obiectivele
respective. Această coloană se utilizează în cadrul birourilor sau
societăţilor de expertiză care utilizează mai mulţi colaboratori sau
salariaţi.
f) Probleme întâlnite. în această coloană se face o sinteză a rezultatelor
controlului. Această coloană serveşte şi la supervizarea lucrărilor
efectuate, supervizare asigurată de către expertul contabil sau societatea
de expertiză contabilă care a apelat la colaboratori şi asistenţi.
Programul de control a conturilor poate fi întocmit după următorul model:
Obiectivele Mărimea Data Cine Probleme
controlului eşantionului controlului controlează Referinţa întâlnite

9
3. Auditul profilelor utilizatorilor sistemelor informatice din domeniul bancar

Utilizatorii sistemelor informatice trebuie să fie adecvat identificaţi şi angajaţii


care au acces autorizat şi obligatoriu trebuie să-şi realizeze îndatoririle stabilite.
În plus, trebuie să existe şi menţinute accesări şi piste de audit (audit trails)
pentru a reflecta accesul utilizatorului şi modificările realizate la fişierele de date
sensibile (ex. fişierul original al prestatorului de servicii, fişierele originale de
furnizori/clienţi, fişierul original al angajatului, fişiere de ştate de plată):
• Se cere o copie a politicilor de securitate a accesului;
• Se întreabă directorul de IT dacă există o procedură scrisă ca să
controleze adăugările sau modificările la restricţiile de acces ale
utilizatorilor curenţi;
• Se obţin copii ale unor formulare de autorizare a accesului şi se verifică
acurateţea autorizărilor şi accesului (acestea ar trebui sa fie păstrate de
către IT ca o pistă de audit);
• Se întreabă directorul de IT cum este notificat departamentul de IT
atunci când un angajat îşi termină contractul de muncă sau îşi schimbă
responsabilităţile;
• Se întreabă directorul de IT dacă existăutilizatori care au capabilitatea de
supraveghetori sau care au acces nelimitat;
• Cum sunt tranzacţiile sau acţiunile aprobate şi documentate atunci când
au fost iniţiate de aceşti angajaţi:
o se întreabă directorul de IT dacă modificările reţelei sunt
autorizate şi documentate (trebuie săexiste o pistă de audit a
modificărilor echipamentului de reţea);
o se întreabădirectorul de IT dacăetichetele de sistem sunt păstrate;
o existăetichete de acces la sistem care să înregistreze accesul la
calculator sau la reţeaua de comunicare;
o există etichete de tranzacţii/piste de audit pentru a înregistra
adăugările, ştergerile şi modificările realizate datelor;

10
o se întreabă directorul de IT dacă etichetele problemă sunt
păstrate de centrul de date/operaţiuni;
• se întreabă directorul de IT dacă etichetele activităţii sistemului sunt
utilizate pentru a captura utilizarea resurselor de hardware asociate
serverelor, CPU, activităţii de salvare a accesului. Acesta este mijlocul
primar pentru identificarea problemelor de procesare create de către
componente neadecvate sau eşuate;
• Se întrebă directorul de IT care proces/procedură asigură conformitatea
cu contractele de licenţă pentru software;
• Se întreabă directorul de IT dacă accesul în sistemul informatic este
împărţit între utilizatori. Accesul împărţit cât şi parolele trebuie să fie
interzise dacă câţiva utilizatori nu solicită acces doar la interogări de
date/informaţii neconfidenţiale;
• Se întreabădirectorul de IT dacă modemurile sunt ataşate la server (oferă
acces la distanţă);
• Se intervieveazăadministratorii de sistem pentru a se determina dacă li s-
au oferit secţiuni de pregătire referitoare la securitizarea serverelor;
• Se determină dacă există topologie a reţelei;
• Se întreabă directorul de IT dacă este cineva responsabil pentru
contabilizarea tuturor hardware-urile şi softurile din cadrul companiei;
• Se întreabădirectorul de IT cum sunt protejate de viruşi computerele şi
serverele;
• Se determină ce proceduri există pentru a preveni sau detecta prezenţa
unui virus in servere şi se verifică cine este responsabil pentru realizarea
acestor proceduri;
• Sunt încărcate softuri anti-virus pe staţiile de lucru şi cunosc utilizatorii
cum să ruleze programul?
• Se întreabă câţiva utilizatori pentru a se determina dacă cunosc care sunt
paşii ce trebuie urmaţi dacă un virus este detectat sau suspectat pe
calculatorul lor?

11
#2
1. Evaluarea preliminara a procedurilor

După ce a obţinut o descriere şi înţelegere a procedurilor de culegere şi prelucrare


a informaţiilor şi a sistemului de control intern, auditorii analizează fiabilitatea şi
calitatea acestor proceduri. Această evaluare critică se referă la concepţia sistemului
contabil şi a sistemului de control intern, la precizarea punctelor forte şi a punctelor
slabe ale acestor sisteme şi proceduri, urmând ca în etapa următoare să se verifice corecta
lor aplicare (modul lor de funcţionare).
În cadrul acestei a doua etape a evaluării controlului intern se apelează la teste de
proceduri suficient de extinse asupra mediului de control şi asupra procedurilor de
control intern adoptate de entitate. Aceste teste de proceduri furnizează auditorului
elemente probante privind eficacitatea conceperii şi, uneori, a funcţionării sistemului
contabil şi a sistemului de control intern. Testele de proceduri sunt completate cu
intervenţiile auditorului pentru verificarea unor documente, tranzacţii şi operaţiuni,
intervenţii denumite controale substantive sau proceduri de fond. Controalele substantive
se bazează pe proceduri analitice şi teste ale detaliilor din documente, tranzacţii,
operaţiuni, solduri etc. şi scot în evidenţă (detectează) eventualele anomalii sau abateri de
la politicile, procedurile şi regulile stabilite.
Pentru evaluarea preliminară a riscurilor pe care le prezintă sistemul contabil şi
sistemul de control intern din bancă se utilizează mai multe tehnici, cum sunt:
Observarea vizuală a sistemelor şi procedurilor cu scopul de a stabili maniera în
care acestea reacţionează în diferite situaţii. Această tehnică prezintă riscul ca unele
aspecte să fie uitate sau omise.
Chestionare pentru testarea procedurilor controlui intern. Spre deosebire de
chestionarele descriptive folosite pentru descrierea procedurilor, prezentate mai sus, care
sunt „deschise", chestionarele folosite pentru evaluarea preliminară a procedurilor
controlului intern sunt, de regulă, „închise", adică sunt concepute în aşa fel încât
răspunsurile la diferite întrebări să se poată da numai prin „Da" sau „Nu". Răspunsurile

12
afirmative indică punctele forte, faptul că, teoretic, entitatea dispune de măsuri necesare
pentru atingerea obiectivelor controlului intern iar răspunsurile negative scot în evidenţă
punctele slabe, lacunele sistemului de control intern.
Aceste chestionare atenuează parţial inconvenientele observării vizuale,
asigurând abordarea tuturor elementelor esenţiale ale dispozitivului de control intern. în
acelaşi timp, aceste chestionare de control intern prezintă şi unele limite determinate de:
 faptul că, pe baza acestor chestionare, auditorul are tendinţa de a se orienta mai
mult asupra punctelor slabe, neglijând analiza punctelor forte. Această abordare se
dovedeşte insuficientă, deoarece auditorul are obligaţia de a analiza fiecare punct de
control, în vederea evaluării corecte a procedurilor. De fapt, punctele forte teoretice
degajate de această primă analiză, dacă nu sunt însoţite de mijloace corespunzătoare
pentru aplicarea lor în practică, devin în realitate puncte slabe;
 amestecarea întrebărilor referitoare la obiective cu întrebările legate de
mijloace.
□ Fişa punctelor de control. Noţiunile de „obiective" şi „mijloace" sunt comple-
mentare şi, ca urmare, pentru evaluarea preliminară a controlului intern, ele trebuie
cercetate concomitent.
Întocmirea fişei punctelor de control impune:
a) Definirea şi inventarierea obiectivelor
Inventarierea obiectivelor constituie prima etapă a evaluării preliminare. Aceste
obiective sunt structurate în două categorii:
♦ obiective comune tuturor băncilor, indiferent de sectorul de activitate, de
mărimea lor sau de mijloacele folosite pentru tratarea informaţiilor;
♦ obiective specifice fiecărei bănci.
b) Descrierea mijloacelor de care dispune banca pentru atingerea
acestor obiective
După fixarea obiectivelor, auditorii stabilesc care sunt mijloacele aflate la
dispoziţia băncii cu ajutorul cărora se pot atinge aceste obiective. Pentru fiecare obiectiv
auditorul poate constata că:
♦ banca dispune de mai multe mijloace (punctele „Foarte bune"-FB);
♦ banca dispune de un singur mijloc (punctele ,,Forte"-F);

13
♦ banca nu a stabilit care sunt mijloacele necesare pentru atingerea unui
obiectiv, deşi aceste mijloace există (punctele ,,Slabe"-S);
♦ banca nu dispune de nici un mijloc pentru atingerea obiectivului,
controalele fiind imposibil de realizat (punctele „Foarte slabe"-FS).
c) Evaluarea manierei în care obiectivele au fost atinse
Fişa punctelor de control este un document recapitulativ care serveşte la
evaluarea preliminară a controlului intern. Această fişă va fi actualizată ulterior, după
verificarea modului de funcţionare a controlului intern, cu ajutorul testelor de permanenţă
şi a celorlalte tehnici care sunt prezentate mai jos. Pe baza fişei punctelor de control
actualizată şi completată se face şi evaluarea definitivă a pocedurilor.

14
2. Probele de audit

Pentru a putea să-şi exprime opinia sa asupra situaţiilor financiare, auditorul


trebuie să colecteze elementele probante suficiente şi juste care să-i permită să tragă
concluzii rezonabile.
Caracterul suficient se referă la volumul elementelor probante ce trebuie
colectate, la numărul sau valoarea eşantioanelor-care se verifică. Acest caracter suficient
se apreciază de auditor în funcţie de mai multe criterii, cum ar fi:
a) Experienţa dobândită de auditor cu ocazia misiunilor precedente;
b) Tipurile de informaţii disponibile, forma de contabilitate aplicată, modul
de organizare a contabilităţii analitice şi sintetice;
c) Riscurile de erori descoperite cu ocazia cunoaşterii băncii şi planificării
misiunii şi cu ocazia evaluării controlului intern. Importanţa riscului de
inexactitate se determină asa cum s-a arătat, în funcţie de:
 natura operaţiunilor respective (curente, punctuale, excepţionale);
 complexitatea tehnicilor contabile, de evaluare, de calculaţie sau de regularizare;
 variaţia anormală a soldurilor;
 importanţa relativă a elementelor sau operaţiunilor respective (ponderea
soldurilor în bilanţ sau în contul de profit şi pierdere, rulaje importante, regularizări
purtătoare de riscuri mari etc);
 calitatea controlului intern;
 situaţii deosebite care pot influenţa comportamentul conducerii (incapacitatea
de plată, recesiune etc).
După cum s-a arătat, de regulă, auditorul nu verifică toate informaţiile dispo-
nibile, deoarece:
• unele probe se bazează mai mult pe raţionamente logice, decât pe
certitudini;
• probele de audit se bazează pe combinarea şi alegerea diferitelor proceduri şi

15
tehnici.
Caracterul just sau gradul de adecvare a elementelor probante colectate exprimă
calitatea lor, care se apreciază în funcţie de relevanţa şi fiabilitatea acestor probe.
Relevanţa probelor de audit, utilitatea lor pentru fundamentarea opiniei audito-
rului, este influenţată de pertinanţa acestora, se stabileşte prin raportarea lor la fondul
tranzacţiilor şi evenimentelor semnificative. Informaţiile contabile sunt utile auditorilor,
în primul rând, pentru confirmarea tranzacţiilor şi evenimentelor care au avut loc,
inclusiv pentru confirmarea previziunilor anterioare.
În al doilea rând, aceste informaţii îi sunt utile auditorului şi celor şapte categorii
de utilizatori externi pentru previzionarea capacităţii băncii „de a profita de oportunităţi
şi de a reacţiona la situaţii nefavorabile".
Informaţiile referitoare la evoluţia tranzacţiilor şi evenimentelor din trecut sunt
utile pentru previzionarea poziţiei şi performanţei financiare viitoare, precum şi a altor
aspecte, cum sunt: capacitatea băncii de a-şi onora obligaţiile scadente, de a plăti
dividende, de a-şi realiza activele etc.
S-a arătat că asigurarea imaginii fidele este dependentă de regularitatea şi
sinceritatea informaţiilor furnizate de contabilitate. Regularitatea depinde de respectarea
principiilor şi normelor contabile, iar sinceritatea informaţiilor este influenţată atât de
neutralitatea şi bunacredinţă a producătorilor de informaţii, cât şi de integralitatea
(exhaustivitatea) informaţiilor furnizate. Orice omisiune a informaţiilor semnificative
poate să-1 ducă în eroare pe auditor.
Certitudinea auditorului sporeşte dacă elemente probante din surse diferite şi de
naturi diferite sunt concordante între ele. Dacă aceste elemente nu sunt concordante, este
necesar sa se apeleze la proceduri suplimentare de control a conturilor.
Fiabilitatea (siguranţa) elementelor probante colectate este apreciată în funcţie
de: originea lor internă sau externă, natura lor scrisă sau orală, circumstanţele în care s-au
obţinut, astfel:
□ elementele probante externe (confirmări primite de la terţi) sunt mai
fiabile decât cele interne (soldul conturilor de creanţe);
□ elementele probante interne sunt cu atât mai fiabile cu cât în bancă există
un control intern mai riguros;

16
□ elementele probante obţinute personal de auditor sunt mai fiabile decât
cele furnizate de salariaţii băncii;
□ elementele probante materializate în documente sau confirmări scrise sunt
mai fiabile decât afirmaţiile verbale.
□ elementele probante bazate pe informaţii din diferite surse coroborate
între ele prezintă un grad cumulativ de încredere mai mare decât probele de audit
colectate individual.
Dacă probele de audit nu se coroborează între ele, auditorul trebuie să apeleze la
proceduri modificate şi suplimentare pentru reducerea riscului de audit. De asemenea,
dacă auditorul acordă un nivel de încredere redus probelor de audit adunate cu ajutorul
testelor de control (care stau la baza evaluării riscurilor legate de control) şi cu ajutorul
procedurilor de fond, pentru susţinerea sau infirmarea aserţiunilor conducerii privind
situaţiile financiare, se impune colectarea de probe de audit suficiente şi adecvate sau,
dacă acest lucru nu este posibil, exprimarea unei alte opinii decât "fără rezerve".
De regulă, probele de audit se reunesc pentru fiecare aserţiune în mod distinct.
Probele de audit care susţin o aserţiune a conducerii (o declaraţie a conducerii) privind
situaţiile financiare nu pot suplini lipsa probelor de audit pentru o altă aserţiune.
Astfel, existenţa unui activ stabilită prin inventariere nu compensează lipsa probelor
de audit referitoare la evaluare sau proprietatea acestuia.
În acelaşi timp, unele teste de control sau proceduri de fond pot furniza probe de
audit pentru mai multe aserţiuni. De exemplu, atunci când auditonil analizează recuperarea
creanţelor se obţin probe de audit referitoare la existenţa, evaluarea şi apariţia acestor
creanţe, dar nu şi referitoare la solvabilitatea debitorilor.
Pentru fiecare grupă de conturi, pentru fiecare domeniu semnificativ, controlul
conturilor presupune:
a) Determinarea eşantionului ce va fi controlat;
b) Controlul elementelor cuprinse în eşantion: operaţiuni, documente,
registre contabile, perioade de gestiune etc.
Acest control urmăreşte verificarea aserţiunilor conducerii făcute prin situaţiile
financiare şi respectarea normelor legale, a statutului societăţii bancare şi a hotărârilor
conducerii privind modul de reflectare a acestora în contabilitate.

17
c) Analiza rulajelor şi soldurilor conturilor, a corelaţiilor dintre conturi, a
rezultatelor şi a variaţiilor unor indicatori (ratio) precum şi reluarea sau
extinderea unor controale dacă este cazul;
d) Consemnarea rezultatelor în "Foile de lucru" deschise pentru fiecare
obiectiv verificat şi sistematizarea acestora în "Dosarul exerciţiului".
Proceduri pentru obţinerea probelor de audit
Probele de audit pot fi obţinute de auditor cu ajutorul uneia sau mai multor
proceduri cum sunt:
1 -Inspecţia
Inspecţia constă în examinarea registrelor contabile, documentelor justificative
sau a activelor fizice
Inspecţia registrelor contabile şi a documentelor justificative furnizează probe de
audit cu grade diferite de credibilitate, în funcţie de natura şi sursa de informaţii, precum
şi în funcţie de eficacitatea
controlului intern asupra proce- sării acestor informaţii. Din punctul de vedere al
credibilităţii şi fiabilităţii probelor de audit documentare, se deosebesc:
□ Probe de audit documentare create şi deţinute de terţi;
□ Probe de audit documentare elaborate de terţi şi păstrate de entitate
□ Probe de audit documentare create şi păstrate de entitate (statele de plată a
salariilor.)
Inspecţia activelor fizice furnizează probe de audit credibile în ceea ce priveşte
existenţa lor, dar nu în mod necesar şi în ceea ce priveşte proprietatea şi evaluarea lor.
2-Observaţia
Observaţia constă în urmărirea unui proces sau a unei proceduri executate de
către o altă persoană. Astfel, auditorul observă respectarea procedurilor de inventariere
de către personalul entităţii sau observă maniera în care personalul entităţii aplica o
procedură de control care nu lasă urme materiale sub forma unei semnături, unei
ştampile, etc.
3-Investigaţia
Investigaţia constă în obţinerea informaţiilor de la persoane bine informate din
interiorul sau din afara entităţii. Investigaţiile se materializează în cereri de informaţii

18
oficiale, în scris, de la terţe părţi, sau în întrebări orale neoficiale adresate personalului
entităţii.
Răspunsul la investigaţii poate oferi auditorului informaţii pe care nu le deţinea
anterior şi care trebuie verificate prin alte proceduri sau trebuie coroborate cu alte probe
de audit sau care constau în informaţii care se coroborează cu probele de audit deţinute.
4-Confirmarea
Confirmarea constă în răspunsul la o investigaţie care coroborează informaţiile
din registrele contabile sau din documentele justificative.
De exemplu, cu ocazia inventarierii creanţelor auditorul solicită debitorilor să
confirme soldurile conturilor respective.
5-Calculul
Calculul constă în verificarea acurateţei (exactităţii) aritmetice a documentelor
justificative şi a înregistrărilor contabile sau consta în efectuarea de către auditor a unor
calcule independente.
6 - Procedurile analitice
Procedurile analitice constau în analiza indicatorilor şi a tendinţelor semnifica-
tive, inclusiv analiza fluctuaţiilor şi a relaţiilor cu alte informaţii relevante în cazul în
care apar discrepanţe sau care sunt diferite faţă de valorile aşteptate sau previzionate.
Asupra acestor proceduri vom reveni cu ocazia prezentării probelor de audit
aferente unor rubrici speciale din situaţiile financiare.

19
3. Auditul securitatii fizice a sistemului informatic din domeniul bancar

Se determină dacă:
• procedurile de personal şi responsabilităţile abordează terminarea
contractului de muncă, funcţii încrucişate şi pregătiri legate de sisteme;
• controalele legate de securitatea fizică sunt adecvate pentru a preveni
accesul neautorizat în perimetrul centrului informatic;
• controalele de mediu sunt adecvate pentru a minimiza pierderile aferente
hardware/software provocate de incediu sau inundaţie;
• procedurile de backup (înlocuire- salvare) sunt adecvate pentru a
minimiza întreruperile şi pentru a proteja banca împotriva pierderii de
date în eventualitatea unui dezastru.
1. Aspecte organizatorice/proceduri de personal
• Se identifică acele poziţii responsabile pentru menţinerea programelor,
alternanţei sistemului/fişierelor de date şi utilizarea diferitelor sisteme
ale centrului informatic. Dacă este necesar, se verifică fişele de post
scrise pentru fiecare responsabilitate funcţională descrisă în
organigramă;
• Se determină dacă s-au realizat prevederi pentru înlocuirea personalului
din poziţiile cheie;
• Se determină dacă procedurile de terminare sunt adecvate:
a) cardurile de identificare ale angajatului trebuie să fie returnată atunci când el
sau ea a terminat contractul de muncă,
b) parolele care au fost utilizate de angajatul ce-şi termină contractul de
muncătrebuie să fie anulate sau schimbate,
c) cheile angajatului respectiv trebuie să fie returnate şi/sau încuietoarele să fie
schimbate,
d) există o sesiune/procedură de verificare a terminării contractului de muncă?
• Se determină dacă este oferită o pregătire şi supraveghere adecvată
referitoare la sistem acordată angajaţilor ce utilizează sistemul;

20
• Se determină dacă personalul prestatorilor de servicii este supravegheat
în timpul şederii acestuia în centrul informatic;
• Se obţine sau documentează o opinie generală asupra sistemelor
informatice (incluzând resursele de hardware, software, personalul de
întreţinere/design şi utilizatorii) din cadrul centrului informatic;
• Se determină pragul critic general al fiecărui sistem major identificat;
• Pe liniile de reţea se includ în cadrul sistemului de securitate aspecte de
call-back sau câteva alte mijloace de control care săasigure accesul
autorizat?
• Se determină dacă existăproceduri scrise de operare a sistemului (în
special pentru deschiderea şi închiderea calculatorului, menţinerea
fişierelor şi întreţinerea preventivă).
2.Securitatea fizică/controalele mediului
Se determină dacă procedurile şi politicile de securitate fizică sunt adecvate prin
evaluarea controalelor cu ajutorul interviului şi observaţiei. Se utilizează următorii paşi
de audit/întrebări în determinarea adecvării:
• se asigură că există proceduri scrise valabile care previn acordarea de
acces la facilităţile informatice personalului neautorizat,
• se asigură că personalul autorizat este în mod specific definit în
standardele de operare şi/sau proceduri,
• se observă la câteva momente diferite dacădoar persoanele autorizate sunt
în aria de procesare,
• se determină dacă facilităţile din camera calculatoarelor sunt
restricţionate prin utilizarea de chei, cartele magnetice sau alte dispozitive
de securitate automatizate,
• locul unde se află serverele este situat la parter şi există o fereastra de
observaţie?
• locul unde se află serverele se află la subsol?
• există aer condiţionat la parter care preia aer din exterior?

21
• există un acces direct la locaţia serverelor din exterior sau printr-un hol
public?
• sunt păstrate într-o custodie adecvată cheile de la cabinete, camerele cu
echipamente şi dulapurile electrice?
• este centrul informatic protejat împotriva catastrofelor, ex. coliziuni ale
aeronavelor, etc?
Adecvarea sistemelor de protecţie împotriva incendiilor trebuie să fie
determinată prin utilizarea următoarelor aspecte:
• instrucţiuni clare şi adecvate împotriva incendiilor trebuie să fie păstrate
într-un loc strategic;
• alarmă de incendiu şi întrerupătoare de urgenţă pentru curent electric
trebuie să fie clar vizibile şi neobstrucţionate;
• camera calculatoarelor trebuie să aibă un sistem de stingere a incendiilor
care trebuie să fie testat periodic de către reprezentantul service-ului;
• sistemul de detectare a incendiului trebuie sădetecteze fumul, căldura
excesivă sau miros de combustibil;
• detectoarele trebuie să fie localizate în conductele de aer din tavan şi sub
podeaua falsă;
• detectoarele trebuie să fie testate frecvent şi protejate printr-o sursă de
electricitate suplimentară;
• atunci când alarma de incendiu este activată, ea trebuie săsune în afara
camerei cu calculatoare până la staţia de pazăşi la o staţie de pompieri
sau centru de control urgenţe;
• personalul centrului de date trebuie să fie capabil să identifice sonorul
alarmei de incendiu.
Echipamentul de mediu şi controalele trebuie să fie adecvate pentru a proteja
hardwareul împotriva pagubelor. Se utilizează următoarele domenii pentru a se determina
adecvarea:
• ventilaţia şi aerul condiţionat trebuie să fie adecvat pentru a menţine
nivelul de temperaturăadecvat specificat de către producător;

22
• înregistrarea termometrelor şi indicatorilor de umiditate trebuie să fie
localizată aşa încât citirea lor să fie uşor de realizat;
• aceste instrumente trebuie să fie monitorizate periodic de către o
persoană pregătită;
• hardware-ul trebuie închis automat pentru a se proteja de pagube dacă s-
au atins temperaturi neacceptabile;
• echipamentele de calcul trebuie săfie supuse unor inspecţii periodice,
curăţenie şi inspecţie şi trebuie păstrate înregistrări ale acestor activităţi;
• tavanul camerei cu calculatoare trebuie să fie construit adecvat pentru a
preveni intrarea apei;
• trebuie evitată trecerea conductelor şi a aburilor prin tavan;•o scurgere
adecvată trebuie să fie instalată;
• trebuie să fie instalat un sistem de aer condiţionat independent care să fie
dotat cu o sursă de electricitate de rezervă;
• tot timpul, camera cu calculatoare trebuie să fie păstrată curată;
• care este expunerea la inundaţii?
• ar putea ca o ţeavă spartă sau un râu crescut să cauzeze pagube?

23
#3
1. Controlul functionarii procedurilor

După cunoaşterea şi descrierea sistemului contabil şi a sistemului de control


intern şi după evaluarea preliminară a riscurilor de natură organizatorică şi de concepţie
pe care acestea le prezintă, auditorul urmăreşte modul cum funcţionează procedurile
contabile şi de control din entitate.
Controlul modului de funcţionare a procedurilor se derulează pe baza
programelor de control. Aceste programe prevăd teste de control (teste de urmărire)
suficient de extinse. Cu ajutorul acestor teste auditorii stabilesc care sunt procedurile de
control intern pe care se vor putea baza în continuare, reducând propriile controale şi care
sunt riscurile asociate sistemului de control intern. Prin intermediul acestor teste,
auditorii stabilesc care sunt procedurile de control intern (ataşate mediului de control)
aplicate efectiv, fără defecţiuni si pe întreaga perioadă (teste de permanenţă) şi care sunt
riscurile legate de funcţionarea controlului intern (teste relevatoare sau de detectare).
Controlul modului de funcţionare a procedurilor de control intern se poate realiza
cu ajutorul mai multor tehnici sau programe, cum sunt:
• Programe standard. Aceste programe prevăd obiective şi mijloace
generale, comune tuturor băncilor. Ele nu cuprind controale specifice
anumitor entităţi. Programele standard fac obiectul unor ghiduri practice de
audit intern, care vor fi elaborate de către Corpul Experţilor Contabili şi a
Contabililor Autorizaţi din România.
• Programe elaborate în funcţie de mijloace. Aceste
• programe inventariază mijloacele de control disponibile în entitatea
respectivă, fără să cuprindă şi obiectivele care trebuie atinse. Ca urmare, pot

24
fi omise unele obiective care sunt semnificative pentru bancaauditată.
• Programe prin „puncte de control". Aceste programe cuprind pentru
fiecare obiectiv (făcându-se trimitere la „fişa punctelor de control"):
controalele care trebuie efectuate, calendarul controalelor şi referirea la „foaia
de lucru".
Pe baza acestor programe prin „puncte de control" auditorii efectuează două
categorii de teste.
a) Teste de permanenţă. Se referă numai la punctele „Foarte bune" şi „Forte" din
fişa punctelor de control, întocmite cu ocazia evaluării preliminare. Aceste teste urmăresc
dacă punctele de control sunt efective şi funcţionează în permanenţă.
Aceste teste sunt cunoscute şi sub denumirea „controale de prevenire" sau
controale de coerenţă şi corelaţii.
Spre deosebire de testele de conformitate care cuprind un număr redus de
documente, tranzacţii şi operaţiuni şi care urmăresc înţelegerea corectă a procedurilor,
testele de permanenţă sunt folosite de auditori pentru colectarea elementelor probante
necesare în vederea obţinerii unei asigurări rezonabile referitoare la funcţionarea fără
deficienţe a punctelor de control, motiv pentru care ele se extind asupra unui număr mare
de documente, tranzacţii şi operaţiuni. Mărimea eşantioanelor se stabileşte de fiecare
auditor, în funcţie de circumstanţe. Aceste eşantioane sunt mai mari dacă entitatea a
prevăzut un singur mijloc pentru atingerea unui obiectiv (punctele forte) decât în situaţia
în care entitatea dispune de mai multe mijloace care concură la realizarea unui obiectiv.
Controlul funcţionării unicului mijloc de control intern este mai important decât controlul
referitor la mai multe mijloace care privesc acelaşi obiectiv, controlul punctelor forte este
mai necesar decât controlul punctelor foarte bune.
Testele de permanenţă se pot efectua de auditor în timpul derulării operaţiunilor,
înainte de a se trece la operaţiunile următoare şi, de regulă, înainte de înregistrarea în
contabilitate.
b) Testele relevatoare (de detectare) se referă la punctele slabe şi foarte slabe care
rezultă dintr-o defectuoasă concepere a procedurilor de control intern.
Teoretic, aceste teste sunt inutile, punctele slabe există, deoarece entitatea nu a
prevăzut nici un mijloc pentru atingerea obiectivelor.

25
Totuşi, auditorul trebuie să dea dovadă de scepticism profesional, să se teamă de
eventualele anomalii (erori sau fraude). El trebuie să detecteze aceste fapte relevatoare şi
să le înscrie în raportul său, fără să cuantifice influenţa lor asupra situaţiei entităţii.
Testele de permanenţă şi testele relevatoare se pot baza şi pe sondaje statistice de
diferite tipuri.

2. Definirea si evaluarea sistemului de contabilitate bancara

Bazându-se pe cunoaşterea generală a băncii, a domeniilor şi sistemelor


semnificative, precum şi a riscurilor pe care aceasta le prezintă, auditorii interni şi
externi, pentru atingerea obiectivelor misiunii lor, trebuie să facă o evaluare a sistemului
contabil şi sistemului de control intern din entitate. Cu ocazia acestei evaluări, auditorii
caută răspunsuri la următoarele întrebări:
□ Care sunt procedurile instituite în întreprindere în vederea asigurării unui
control intern eficace? în ce măsură auditorii se pot sprijini pe aceste proceduri?
□ Care sunt riscurile de erori sau de fraude, de angajare sau efectuare ale
unor tranzacţii şi operaţiuni nelegale, neeconomicoase, neeficiente, nee-ficace,
neoportune sau nereale?
□ Care sunt riscurile de consemnare în documente şi de reflectare în
contabilitate şi în situaţiile financiare ale unor informaţii neconforme ?
În funcţie de concluziile la care ajunge în urma analizei sistemului contabil şi a
procedurilor de control intern şi a riscurilor pe care acestea le prezintă, auditorii îşi
planifică activitatea şi îşi orientează eforturile ulterioare.
În general, procedurile se referă la cerinţele privind realizarea unor operaţiuni şi
tranzacţii sau ale unor sarcini, precum şi la modul de completare, autorizare şi aprobare,
circuitul, prelucrarea, controlul şi înregistrarea în contabilitate a documentelor justificative.
Sistemul contabi poate fi definit ca ansamblul şi succesiunea de proceduri, de
documente şi de registre (fişiere) dintr-o întreprindere care permite prelucrarea
informaţiilor referitoare la tranzacţii şi operaţiuni în scopul înregistrării lor în conturi.
Sistemul contabil identifică, grupează (asamblează), analizează, calculează,

26
înregistrează, sintetizează şi raportează informaţiile referitoare la tranzacţii şi alte
evenimente (S400/6; N40/3).
Auditorul trebuie să obţină o înţelegere suficientă a sistemului contabil pentru a
putea identifica:
 principalele categorii de tranzacţii şi operaţiuni din cadrul entităţii;
 care sunt procedurile de iniţiere şi aprobare ale acestor tranzacţii şi operaţiuni;
 care sunt documentele justificative, înregistrările semnificative şi conturile care
se reunesc în situaţiile financiare;
 cum este organizat ciclul de prelucrare a datelor de la iniţierea tranzacţiilor şi altor
evenimente semnificative şi până la includerea lor în situaţiile financiare.
Sistemul contabil elaborat în baza Legii contabilităţii nr.82/1991 (republicată) şi a
Regulamentului de aplicare a acesteia este compus din:
 Planul de conturi general;
 Normele metodologice de utilizare a conturilor;
 Monografia principalelor înregistrări contabile aferente operaţiunilor
economice;
 Registrele de contabilitate împreună cu normele de utilizare a acestora;
 Conturile anuale: bilanţul, contul de profit şi pierdere, anexa şi normele
metodologice de întocmire a acestora.
În ceea ce priveşte contabilitatea societăţilor bancare, aceasta este întocmită în
conformitate cu Legea contabilităţii nr. 82/1991 şi Ordinul Ministrului Finanţelor şi
Guvernatorului BNR nr. 1418/344 din 01.08.1997 privind aprobarea Planului de conturi
pentru societăţile bancare şi a normelor de utilizare a acestuia.
În conformitate cu prevederile legale, societăţile bancare au obligaţia să
asigure, în condiţiile legii:
1. Întocmirea documentelor justificative pentru orice operaţiune care afectează
patrimoniul băncii;
2. Înregistrarea în contabilitate a operaţiunilor patrimoniale;
3. Inventarierea patrimoniului băncii;
4. Controlul asupra operaţiunilor efectuate;

27
5. Furnizarea , publicarea şi păstrarea informaţiilor cu privire la situaţia
patrimoniului şi rezultatele obţinute de bancă.
Registrul jurnal, registrul inventar şi cartea mare împreună cu documentele
justificative, precum şi bilanţul contabil constituie documentele contabile oficiale pentru
exercitarea controlului asupra operaţiunilor patrimoniale efectuate şi pot fi admise ca
probă în justiţie.
Planul de conturi utilizat de bănci şi normele aferente cuprind simbolurile
conturilor necesare înregistrării în contabilitatea unităţii a operaţiunilor patrimoniale ce pot
avea loc, conţinutul şi funcţiile fiecărui cont, monografia contabilă a principalelor
operaţiuni, precum şi criteriile de dezvoltare în analitic a conturilor sintetice.
Sistemul contabil prevede conducerea contabilităţii în partidă dublă, având
obligaţia asigurării:
1. Înregistrării cronologice şi sistematice în contabilitate a tutuor operaţiunilor
patrimoniale, în conturi corespondente, prin debitarea unora şi creditarea în
contrapartidă a altora;
2. Stabilirii totalului sumelor debitoare şi creditoare, şi a soldului fiecărui cont;
3. Întocmirea balanţei de verificare lunare;
4. Inventarierii cel puţin o dată pe an, a activelor patrimoniale.
În consecinţă, auditorul trebuie să cunoască sistemul contabil al băncii şi planul
de conturi pe care aceasta îl utilizează pentru a înţelege:
 Principalele operaţiuni bilanţiere şi extrabilanţiere, sursele de informare în
legătură cu acestea, precum şi reflectarea lor în evidenţa contabilă şi în situaţiile
financiare de sinteză;
 Modul de organizare şi conducere a contabilităţii, de aplicare a planului de conturi
şi de întocmire a documentelor financiare de sinteză.
Prin verificările efectuate, auditorul trebuie să stabilească modul în care:
• Operaţiunile băncii s-au desfăşurat în concordanţă cu reglementările legale,
hotărârile şi normele interne avizate/aprobate de Comitetul de Direcţie/Consiliul de
Administraţie;
• Toate tranzacţiile au fost înregistrate, în mod cronologic, în conturile
corespunzătoare;

28
• Este asigurată protecţia datelor din sistemele informatice, a comunicaţiilor intra şi
interbancare;
• Se realizează stocarea şi păstrarea informaţiei financiar-contabile;
• Este efectuată inventarierea elementelor patrimoniale şi punerea de acord a
înregistrărilor din contabilitate cu realităţile rezultate în urma inventarierii;
• Este asigurată respectarea legalităţii, conformităţilor şi continuităţii reflectării
operaţiunilor patrimoniale în conturile contabile şi situaţiile financiare de sinteză.
În baza articolului 59 din Legea bancară nr. 58/1998, bilanţul contabil al băncilor nu
este considerat ca având valabilitatea legală de către autorităţile în drept fără ca bilanţul,
contul de profit şi pierdere şi anexa să fi fost verificate şi semnate pentru certificare de
către cenzorii băncii.
Persoanele care efectuează verificarea şi certificarea bilanţurilor contabile trebuie să
înscrie în rapoartele pe care le înaintează direcţiilor generale ale finanţelor publice şi
controlului financiar de stat judeţene următoarele elemente:
 Nume şi prenumele sau după caz, denumirea societăţii de expertiză contabilă care
efectuează verificarea şi certificarea bilanţurilor contabile;
 Calitatea în baza căreia se fac verificarea şi certificarea bilanţului contabil: expert
contabil sau contabil autorizat cu studii superioare;
 Semnătura şi parafa
Bilanţul contabil, alcătuit din bilanţ, contul de profit şi pierdere, anexa şi raportul
de gestiune (raportul administratorilor), se depune şi la Divizia/Departamentul general(ă)
de supraveghere a societăţilor bancare din cadrul BNR, la termenul stabilit (15 aprilie),
împreună cu o copie a codului fiscal, procesul-verbal al Adunării Generale a Acţionarilor,
o copie a balanţei de verificare a conturilor sintetice, raporul cenzorilor.
În conformitate cu prevederile articolului 62 din Legea bancară nr 58/1998,
fiecare bancă are obligaţia să publice bilanţul contabil, după aprobarea lui de către
Adunearea Generală a Acţionarilor, împreună cu opinia auditorului independent asupra
acestuia.
Un exemplar al raportului anual întocmit de auditorul independent se depune de
către fiecare bancă, până cel târziu la data de 31 mai a anului următor, la
Decizia/Departamentul general(ă) de supraveghere a societăţilor bancare din cadrul BNR.

29
Raportul auditorului trebuie să cuprindă opinia sa din care să rezulte dacă
situaţiile financiare prezintă o imagine fidelă a condiţiei băncii, referirii în ceea ce
priveşte practicile şi procedurile controlului intern şi ale cenzorilor, precum şi
recomandările făcute băncii pentru remedierea eventualelor practici şi proceduri
necorespunzătoare.
Analiza la bilanţ este deosebit de importantă în ceea ce priveşte stabilirea modului
de întocmire a documentelor financiar-contabile, ea permiţând cunoaşterea metodelor
contabile utilizate la :
 Evaluarea elementelor patrimoniale;
 Calculul amortizărilor şi provizioanelor;
 Determinarea şi clasificarea angajamentelor financiare;
 Înregistrarea în evidenţele contabile a modificărilor capitalului;
 Stabilirea şi înregistrarea diferenţelor de conversie;
 Înregistrarea veniturilor şi cheltuielilor şi analiza profitabilităţii societăţii
bancare.
Pentru a-şi exprima opinia în legatură cu sistemul contabil şi capacitatea acestuia
de a reflecta o imagine fidelă, clară şi completă cu privire la patrimoniu, situaţia
financiară şi rezultatele exerciţiului înscrise în conturile anuale, auditorul trebuie să aibă
acces nelimitat la documente şi proceduri, la structurile financiar-contabile şi la operatori,
până la nivelul administratorilor şi al preşedintelui băncii.
În cazul în care există anumite limite de acces, acestea trebuie aduse la cunoştinţa
auditorului în scris, de către managementul societăţii bancare, pentru a fi excluse din
misiunea de audit.
Prin acţiunile desfăşurate, auditorul trebuie să răspundă următoarele
cerinţe/problematici privind:
 Organizarea şi conducerea lucrărilor de stabilire a situaţiei patrimoniului şi a
bilanţului de închidere a exerciţiului;
 Respectarea metodelor şi procedurilor de închidere a conturilor şi sintezei
corespunzătoare a informaţiilor preluate din evidenţa contabilă;
 Organizarea periodică a inventarierii patrimoniului şi valorificarea
corespunzătoare a rezultatelor acesteia;

30
 Realizarea strategiilor şi opţiunilor de gestionare a patrimoniului;
 Modul de efectuare a controlului intern, modalitatea de stabilire a
responsabilităţilor la nivelul societăţilor bancare, precum şi modul de soluţionare
a deficienţelor constatate;
 Modul de respectare a deciziilor conducerii societăţii bancare;
 Asigurarea permanentă a protecţiei valorilor patrimoniale.
În urma analizei corespunzătoare a activităţii desfăşurate de societatea bancară şi
a obţinerii de răspunsuri concludente asupra problemelor contabile mai sus prezentate,
auditorul trebuie să continue cu evaluarea obiectivelor, procedurilor, documentelor şi
modului de valorificare a concluziilor de către management.
Activitatea asupra căreia trebuie să-ţi orienteze atenţia auditorul este foarte vastă
fapt pentru care acesta trebuie să decidă asupra căror domenii, activităţii şi obiective îşi
va concentra preocupările.
Auditorul trebuie să evalueze riscul care poate apărea în prelucrarea informaţiilor
selecţionate:
 Riscul de eşantionare (Auditorul trebuie să corespundă la întrebarea: au fost
reţinute pentru control toate operaţiunile semnificative?)
 Operaţiunile înregistrate în contabilitate sunt reale şi concrete, conforme cu
reglementările în domeniu:
Procedurile utilizate de auditor pentru valorificarea constatărilor controlului intern
trebuie să ţină seama de :
 Mărimea şi gradul de complexitate a activităţii băncii pe care o auditează;
 Pragurile de semnificaţie pe care şi le-a stabilit la diferite activităţi, produse şi
servicii ale băncii;
 Conţinutul şi importanţa problemelor cuprinse în documentele controlului intern,
nivelul măsurilor propuse şi însuşite de management.
Înaintea redactării raportului final, aprecierile personale pe care auditorul şi le-a
conturat sunt examinate împreună cu managerii diferitelor structuri, departamente şi
filiale

31
3. Auditul securitatii tranzactiilor in domeniul bancar

Se identifică toate tranzacţiile din cadrul fiecărui subsistem (incluzând acelea


generate automat de către calculator).
1. Controalele introducerii
Controalele introducerii asigură că tranzacţiile sunt introduse şi acceptate de
către calculator, procesate doar o dată, fără duplicate şi erorile în câmpurile de date
financiare şi nefinanciare sunt identificate, separate de tranzacţiile valide, corectate în
timp util, şi returnate procesării primare.
• Cum sunt iniţiate tranzacţiile?
• Cum este tranzacţia autorizată (semnătura manuală, semnătura
electronică, autorizarea accesului la ecran, etc)?
• Cine introduce datele sursă?
• Sunt aceste persoane separate de acelea care reconciliază rezultatele
procesării?
• Cum sunt datele sursă introduse în aplicaţie?
• După ce datele sursă sunt introduse în aplicaţie, sunt ele marcate cu
verificat sau semnate într-un fel care să
• indice că au fost introduse, reducând riscul duplicării accidentale sau
reutilizarea documentului?
• Există o separare de îndatoriri adecvată pentru cei autorizaţi să
actualizeze datele?
• Cum sunt controlate documentele de date sursă pentru completitudine şi
acurateţe?
• Există o perioadă de păstrare pentru datele sursă?

32
Se identifică controalele existente care asigură completitudinea şi acurateţea
introducerii:
• Dacă controalele introducerii include utilizarea de totaluri de control,
sunt comparate totalurile generate de calculator cu totalurile stabilite
independent?
• Ce rapoarte obţin utilizatorii pentru a verifica şi monitoriza operarea
aplicaţiei (totaluri de control, sumarizări, numărarea erorilor, rapoarte de
excepţii, etc)?
• Se determină cum sunt evitate sau identificate tranzacţiile duplicat?
• Se determină dacăşi cum sunt datele primite de la alte aplicaţii validate
pentru completitudine şi acurateţe.

2. Controalele de procesare
Controalele de procesare asigură că tranzacţiile sunt acceptate de către
calculator, procesate cu o logică validă, trecându-se prin toate fazele procesării şi
actualizate în fişierele de date corecte.
• se identifică controalele existente pentru asigurarea
• se documentează procedurile de reconciliere ale utilizatorului final care
faciliteazăcompletitudinea şi acurateţea procesării;
• ce rapoarte obţin utilizatorii pentru a verifica şi monitoriza operarea
aplicaţiei?
• se descrie cum se verifică totalurile de control;
• se descrie orice comparare a rezultatelor acţiunilor la cele anterioare
pentru verificări rezonabile;
• cum verifică utilizatorii actualizările fişierelor contra autorizaţiilor?
• se determină dacă procedurile de reconciliere speciale trebuie săfie
aplicate la sfârşitul lunii, anului fiscal, etc.
3. Corectarea erorii
• Se determină impactul pe care datele şi erorile de procesare le au asupra
procesării;

33
• Se determină dacăerorile sunt separate într-un fişier suspensiv;
• Se determină dacă acest fişier este cumulativ sau nu;
• Se verifică rapoartele de erori pentru a determina dacă sunt de mărime
rezonabilă;
• Se determină cum sunt corectate erorile;
• Se determină dacă tranzacţiile corectate sunt autorizate;
• Se verifică dacă tranzacţiile corectate sunt reintroduse în procesarea
principală fie la punctul iniţial de introducere fie printr-un proces de
corectare a erorii speciale;
• Se determină dacă procesul de corectare a erorii înlocuieşte articolele
din fişierul suspensiv;
• Se determină promptitudinea corectării erorii;
• Se identifică cum monitorizează utilizatorii finali erorile rămase şi
desfăşoară în timp util investigaţiile suplimentare;
• Există o separare adecvată a sarcinilor (custodie, autorizare, înregistrare
şi reconciliere periodică) pentru cei autorizaţi să actualizeze datele?
• Se determină dacă toate reconcilierile şi procedurile de corecţie a
erorilor sunt documentate în documentele utilizatorului final;
• Există un raport de excepţii generat pentru tranzacţiile eronate de mult
timp nerezolvate?
4. Controalele rezultatului
Controalele rezultatului asigură că datele rezultatului sunt raportate în manieră
corectă, vizibilă/disponibilădoar personalului autorizat, adecvat reţinute sau distruse,
supuse procesării necesare pistelor de audit şi dacă sunt eronate, separate de tranzacţiile
valide, corectate şi reintroduse în procesarea principală.
• se identifică dacă rezultatul este distribuit;
• se determină dacă distribuirea reduce expunerile la vizualizarea
neautorizată a informaţiilor sensibile fie prin implicarea imprimantelor
de la locaţia utilizatorului final fie prin utilizarea listelor de verificare a
distribuirii rezultatului;

34
• cum asigură organizaţia ca rapoartele şi fişierele să fie distribuite la
utilizatorii finali corespunzători;
• cine primeşte rapoartele de rezultat? Sunt ele separate de acelea de
desfăşurare a introducerii?
• cum verifică utilizatorul final cătoate rapoartele au fost primite şi că
toate paginile rapoartelor au fost incluse?
• includ rapoartele de rezultat următoarele informaţii de identificare:
o titlul raportului,
o numele/numărul programului de procesare,
o a fost produsă data şi ora raportului,
o perioada acoperită.
• Cum evidenţiază utilizatorul final primirea rapoartelor şi fişierelor (liste
de verificare, semnăturile,etc)?
• Există o separare adecvată a sarcinilor?
• Cum sunt identificate şi distribuite rapoartele confidenţiale?
• Se identifică toate formularele speciale utilizate în procesare şi raportare.
Se determină dacă formularele sensibile sunt protejate;
• Sunt oamenii responsabili cu protecţia documentelor sensibile diferiţi de
cei care păstrează înregistrările contabile respective?
• Există proceduri speciale de generare a rapoartelor sensibile?
5. Documentele utilizatorului final
Documentele utilizatorului sunt sursele primare de informare pentru tot
personalul responsabil pentru utilizarea zilnică a aplicaţiei.
• există documente ale utilizatorului final ce explică iniţierea adecvată a
documentului sursă, autorizaţia, colectarea de date, pregătirea
introducerii, administrarea rapoartelor, corectarea erorii şi păstrarea
rapoartelor/datelor?
• sunt păstrate documentele sursă în aşa fel încât datele pierdute sau
distruse în timpul procesării ulterioare pot fi recreate?
• Fiecare tip de document sursăare o perioadă specifică de păstrare?

35
6. Autorizarea
Controalele de autorizare asigură că toate informaţiile şi datele introduse sau
utilizate în procesare sunt autorizate de către conducere şi reprezentanţii evenimentului
care de fapt are loc.
• Dacă tranzacţiile sunt autorizate manual, ce controale asigură cănu are
loc nici o modificare neautorizată după autorizare, ci înainte de stabilirea
controalelor de introducere?
• Se determină dacă nivelul conducerii corespunzător autorizează
activitatea;
• Dacă autorizarea tranzacţiei este facilitată de către restricţii de acces
logic, se selectează un eşantion de reguli de acces la introducerea şi
actualizarea tranzacţiilor şi se verifică persoana adecvată care are aceste
capacităţi;
• Se identifică orice depăşire permisă sau trecere pe lângă validarea
datelor şi se editează verificările;
• Se determinăcine poate face depăşiri şi se verifică dacă acele persoane
sunt în poziţia de conducere care trebuie să aibă această autoritate;
• Sunt înregistrate automat toate depăşirile aşa încât aceste acţiuni să
poată fi ulterior analizate pentru acurateţe.

7. Separarea îndatoririlor
• Sunt separate îndatoririle astfel încât nici o persoană sănu realizeze mai
mult de una dintre următoarele operaţii:
o autorizarea tranzacţiei
o iniţierea tranzacţiilor
o introducerea tranzacţiei
o distribuirea rezultatului?
• Sunt corectate tranzacţiile respinse necauzate de introducerea de erori de
către utilizatorul care a iniţiat tranzacţia?

36
• Are utilizatorul final responsabilitatea ultimă pentru completitudinea şi
acurateţea tuturor datelor aplicaţiei?

#4.
1. Evaluarea definitiva si analiza punctelor slabe

Fişa „punctelor de control" întocmită cu ocazia evaluării preliminare a procedurilor


de control intern se completează în funcţie de concluziile la care s-a ajuns în urma
controlului modului de funcţionare a sistemului şi, pe această baza, se face o evaluare
definitivă asupra modului de concepere şi a modului de funcţionare a procedurilor.
Analiza punctelor slabe (S) stabileşte două categorii de anomalii:
1.puncte slabe datorate concepţiei stabilite în urma analizei preliminare
2.puncte slabe datorate funcţionării procedurilor
Auditul trebuie să analizeze cauzele eventualelor anomalii (erori intenţionate,
accidentale, fraude), forma lor (erori aritmetice, de transcriere, omisiuni, duble
înregistrări) şi consecinţele lor.
Dacă în urma acestei evaluări definitive, auditorii ajung la concluzia că în bancă
există un sistem contabil şi un sistem de control intern corect concepute şi care
funcţionează cu eficacitate, atunci ei îşi vor reduce procedurile de fond (controalele
substantive) aplicate cu ocazia verificării conturilor.
În situaţia în care, pe baza acestei evaluări definitive, se constată că, controlul
intern din bancă este nesatisfacător, auditorul va urmări reducerea riscurilor de control şi
a riscurilor de nedetectare şi, în funcţie de această analiză, va modifica programul de
audit, prin extinderea procedurilor de fond astfel încât să se reducă riscurile de audit.

37
Concluziile auditorilor referitoare la organizarea şi funcţionarea sistemului
contabil şi a sistemului de control intern sunt sintetizate în cadrul unui document inclus
în dosarul permanent. Această sinteză este revăzută în fiecare exerciţiu.
După parcurgerea tuturor etapelor evaluării controlului intern, auditorul poate
întocmi un raport separat către conducere asupra diligentelor întreprinse şi asupra
constatărilor făcute.
Raportul asupra evaluării controlului intern are menirea de a informa conducerea
entităţii asupra slăbiciunilor sistemului contabil şi a sistemului de control intern şi de a
contribui la luarea unor măsuri organizatorice şi metodologice în vederea creşterii
eficacităţii acestor sisteme.
Acest raport trebuie astfel structurat, încât conducerea să aibă posibilitatea să
cunoască rapid concluziile la care au ajuns auditorii. De regulă, raportul asupra aprecierii
controlului intern cuprinde două părţi:
□ O parte introductivă şi de sinteză în care se prezintă testele de proceduri şi
controalele substantive efectuate de auditori, în vederea descrierii, verificării modului de
funcţionare a sistemului contabil şi a sistemului de control intern din bancă. În această
parte a raportului se sintetizează punctele slabe datorate conceperii defectuoase a
sistemelor şi" punctele slabe datorate neajunsurilor constatate în funcţionarea sistemelor,
facându-se propuneri pentru sporirea eficacităţii acestor sisteme.
□ Conţinutul detaliat al raportului este structurat pe domenii semnificative
şi pe criterii ale auditului. în această parte a raportului, problemele şi punctele slabe
(pentru fiecare domeniu semnificativ şi criteriu al auditului) sunt prezentate în ordinea
importanţei lor, făcându-se recomandările necesare, se reiau sfaturile date cu ocazia
misiunilor precedente cărora conducerea nu le-a acordat suficientă atenţie, se evaluează,
dacă este posibil, riscurile de eroare sau de fraudă la care este supusă banca şi care pot
influenţa opinia auditorului asupra situaţiilor financiare anuale.

38
2. Evaluarea sistemelor de control bancar intern de catre autoritatile de
supraveghere
Deşi consiliul de administraţie şi conducerea băncii poartă responsabilitatea
dezvoltării şi menţinerii unui sistem de control intern eficient, autorităţile de
supraveghere trebuie săevalueze adecvarea sistemului de control intern al unei bănci în
funcţie de profilul de risc al acesteia şi atenţia dată de către conducerea băncilor
problemelor semnalate de sistemul de control intern.
Evaluarea realizată de autoritatea de supraveghere trebuie să se refere nu numai
la întreg sistemul de control intern, dar şi la controlul exercitat în anumite zone de
activitate cu risc ridicat, cum ar fi zone caracterizate printr-o profitabilitate neobişnuită,
creştere rapidă, noi produse bancare sau zone depărtate fizic faţă de sediul central.
Totodată, o atenţie deosebită trebuie acordatăzonelor care în trecut au fost
asociate cu deficienţe ale sistemului de control intern şi cu pierderi determinate de aceste
deficienţe. Autoritatea de supraveghere trebuie să urmăreascăşi modificările care au avut
loc în activitatea băncii şi modul în care acestea ar fi trebuit să reflecte sau au avut
impact asupra sistemului de control intern. Astfel de modificări se referă la schimbări în
mediul bancar şi economic, angajarea de personal nou, sisteme informaţionale noi,
activităţi sau domenii ce înregistrează o creştere rapidă, introducerea de noi tehnologii, de
noi produse, restructurări sau reorganizări, expansiunea operaţiunilor în străinătate.
Pentru a evalua calitatea controlului intern, autorităţile de supraveghere pot avea
mai multe abordări. Astfel, acestea pot evalua activitatea departamentului de audit intern

39
al băncii, pe baza analizei documentelor produse, a metodologiei folosite pentru a
identifica, măsura, monitoriza şi controla riscul.
În cazul în care calitatea activităţii departamentului de audit intern este
satisfăcătoare, autoritatea de supraveghere poate utiliza rapoartele auditorilor interni ca
bază pentru identificarea problemelor de control ale băncii sau pentru a identifica ariile
cu risc potenţial pe care auditorii interni nu le-au evaluat recent.
Unele autorităţi de supraveghere folosesc procesul de autoevaluare prin care
conducerea băncii analizează procedurile de control pe fiecare activitate în parte şi
certifică faptul că acestea sunt adecvate. Alţi supraveghetori pot solicita auditarea externă
periodică a anumitor domenii, pentru anumite scopuri.
În final, autorităţile de supraveghere pot combina modalităţile descrise mai
înainte cu propriile lor evaluări şi examinări, la faţa locului, a controlului intern.
Evaluările la faţa locului includ atât o evaluare a activităţilor, cât şi testarea la nivel de
tranzacţie pentru a obţine o verificare independentă a proceselor de control intern ale
băncii. Testarea la nivel de tranzacţii are în vedere adecvarea şi respectarea politicilor,
procedurilor şi limitelor interne, acurateţea şi conţinutul rapoartelor către conducere şi a
situaţiilor financiare, eficacitatea procedurilor de control.
Pentru a evalua eficacitatea celor cinci elemente ale controlului intern dintr-o
bancă, autoritatea de supraveghere trebuie să: -identifice obiectivele controlului intern
care sunt relevante pentru profilul băncii (creditarea, investiţiile, contabilitatea etc);
-evalueze eficacitatea elementelor controlului intern nu numai prin aprecierea politicilor
şi procedurilor, dar şi a documentaţiei, prin discuţii cu personalul (pentru a aprecia
mediul de lucru) şi prin testarea tranzacţiilor; -discute periodic deficienţele identificate şi
recomandările făcute pentru remediere cu consiliul de administraţie şi cu conducerea
băncii; -aprecieze măsurile corective luate şi dacăau fost luate la timp.
Acolo unde legislaţia permite, autorităţile de supraveghere pot înlocui astfel de
inspecţii la faţa locului cu analizarea rapoartelor produse de către auditorii externi la
solicitarea lor. În aceste cazuri, auditorii externi trebuie să evalueze activitatea băncii şi
să testeze tranzacţiile, aşa cu s-a specificat mai sus, în cadrul unor angajamente de audit,
iar supraveghetorii trebuie să evalueze calitatea auditului extern.

40
Indiferent de abordarea folosită, autorităţile de supraveghere trebuie săia în
considerare observaţiile şi recomandările făcute de auditorii externi cu privire la
eficacitatea controlului intern şi săaprecieze modul în care consiliul de administraţie a
răspuns la ceste observaţii şi recomandări.

3. Auditul controalelor aplicatiilor in domeniul bancar


Utilizatorii-finali
• Se determinămijloacele primare de introducere şi procesare de date;
• Se determină dacă organizaţia practicădreptul de proprietate asupra
datelor. Dacă da, se identificăşi intervieveazăproprietarul datelor pentru
a se determina dacă a înţeles rolul şi responsabilităţile sale;
• Se intervievează un eşantion de directori - utilizatori finali pentru a se
determina atitudinile conducerii-utilizatoare finală cu privire la calitatea
şi efectivitatea sistemului;
• Se determinăde la conducerea-utilizatoare finală ce înţeleg ei că
reprezintă riscurile, expunerile şi limitările asociate cu sistemul;
• Se determină numărul de utilizatori finali ce lucrează cu sistemul,
locaţiile lor şi responsabilităţile asociate sistemului. Se obţine o
organigramă pentru aceste poziţii şi oameni.
• Se determină dacă această aplicaţie generează date pentru agenţii legale
sau reglementare;
• Se evalueazăcalitatea documentelor utilizatorului final;
• Se identifică programele de pregătire disponibile pentru utilizatorii
finali. Se evaluează această pregătire pentru a se determina dacă este
adecvată, actualăşi disponibilăpentru oamenii noi;

41
• Se determină dacă activitatea utilizatorului final este adecvat
supervizată.
Interfaţele sistemului
• se determină ce alte aplicaţii interferează (manual sau electronic) cu
această aplicaţie;
• se determină cum verifică sau asigură utilizatorul final că interfaţele
furnizează date complete, adecvate şi autorizate.
Administrarea fişierelor
• se determină perioadele de păstrare pentru diferitele fişiere de date ale
aplicaţiilor cheie;
• se evaluează dacă perioadele de păstrare satisfac raportarea către
conducere, raportarea către autorităţile fiscale şi cerinţele interne de
contabilitate;
• Se determină dacă utilizatorul final, conducerea şi proprietarii de date
sunt conştienţi de perioadele de
• păstrare ale diferitelor fişiere de date ale aplicaţiilor cheie şi dacăaceşti
directori sunt satisfăcuţi cu durata de păstrare.

42