Lucrare Dizartatie Auditul Intern La Institutiile Publice

.........
PREZENTAREA GENERAL A INSTITUIEI.....4

1.1. Scurt istoric al instituiei...4
1.2. Structura organizatoric i
funcional5
1.3. Cadrul normativ care reglementeaz activitatea
instituiei...8
CADRUL GENERAL AL AUDITULUI INTERN..9

2.1. Definiia, rolul i obiectivele auditului intern.
...9
2.2. Aspecte legale i organizatorice privind auditul
intern.5
2.3. Domeniul de aplicare i caracteristicile auditului
intern.19
DERULAREA UNEI MISIUNI DE AUDIT....23

3.1. Pregtirea misiunii de audit audit public
intern.24
3.1.1. Iniierea
auditului...................................................................................................................24
3.1.2. Colectarea i prelucrarea informaiilor.
..25
3.1.3. Analiza riscurilor........28
3.1.4. Elaborarea programului misiunii de audit public
intern.........................................................32
3.1.5. Deschiderea interveniei la faa
locului..................................................................................33
3.2. Desfurarea propiu-zis a
auditului......................................................................................33
3.2.1. Colectarea dovezilor i utilizarea instrumentelor
aplicabile...................................................33
3.2.2. edina de
nchidere...............................................................................................................35
3.3.
Raportarea........................................................................................................................
.......35
3.3.1. Elaborarea proiectului de Raport de audit public
intern........................................................35
3.3.2. Reuniunea de
conciliere.........................................................................................................37
3.3.3. Difuzarea Raportului de audit public intern (Raport final)
...37
3.3.4. Urmrirea recomandrilor..37
CONCLUZII..38
BIBLIOGRAFIE....40
Lucrul cel mai important nu este numrul de idei adunate n mintea ta,ci legtura care
le unete.
TITU MAIORESCU
INTRODUCERE
ntro economie global i bazat pe cunotine, n care informaia reprezint al
doilea factor important dup resursele umane, auditul i controlul sistemelor
informaionale devine din ce n ce mai important, ca urmare a impactului competitive
pe care l are tehnologia informaiei asupra mediului de afaceri. Mediul economic,
tehnologia, se afl n continu schimbare. Ceea ce a fost valabil ieri, poate fi depit
mine. n consecin, meninerea echilibrului necesit permanente aciuni corective.
Auditorul viitorului se va confrunta i n multe cazuri deja se confrunt, cu

competiia agenilor fiscali, consultanilor de afaceri, contabililor necalificai, analitilor
financiari i a diverilor ali consultani. De aceea auditorii trebuie s se axeze pe
punctele lor tari tradiionale, precum independena i grija pentru interesul public, prin
migrarea ctre activiti cu o valoare adugat nalt, urmrind s-i dezvolte
cunotinele printr-o perfecionare continu. Orice profesie, i cea de auditor, are
drept caracteristic fundamental acceptarea responsabilitii acesteia fa de public.
Interesul public reprezint binele comunitii de indivizi i instituii pe care o
deservete un auditor profesionist.
Funcia de auditor intern are o apariie relativ recent n viaa unei ntreprinderi
sau instituii. Apariia auditorilor interni a fost generat de criza economic din anul
1929 din S.U.A., care n perioada crizei au cptat cunotine necesare, i au fost
folosii i n continuare.
Dei ei au lrgit puin cte puin domeniul de aplicare, funcia de audit intern este nc
la primii ei pai, astfel c doar ncepnd cu anii 80 originalitatea i particularitile
auditului intern se contureaz cu adevrat.
Se poate spune, Auditorul intern nu este cineva care face lucrurile, ci este cineva
care privete cum sunt fcute aceste lucruri.
Potrivit legislaiei actuale privind auditul public intern, definete la art.2, activitatea
de audit intern ca fiind activitatea funcional independent i obiectiv, care d
asigurri i consiliere conducerii pentru buna administrare a veniturilor i cheltuielilor
publice, perfecionnd activitile entitii publice; ajut entitatea public s i
ndeplineasc obiectivele printr-o abordare sistematic i metodic, care evalueaz i
mbuntete eficiena i eficacitatea sistemului de conducere bazat pe gestiunea
riscului, a controlului i a proceselor de administrare 1.
Aceast definiie stabilete cteva trsturi caracteristice auditului public intern,
care se pot enuna astfel:
a) Auditul public intern este o activitate desfurat n cadrul entitilor publice2.
Fiind o activitate desfurat la nivelul sectorului administraie public, aceasta este
reglementat pe baza legilor i normelor elaborate de Ministerul Finanelor
Publice. Normele elaborate au caracter general, fiecare sector de activitate avnd
obligaia s-i elaboreze norme proprii n funcie de specificul activitii.
b) Auditul public intern este o activitate independent. Activitatea de audit
trebuie s fie independent, iar auditorii interni trebuie s fie obiectivi n realizarea
sarcinilor lor. Aceste trsturi reies din standardele elaborate de I.I.A. i se refer la
independena organizaional (auditorul intern raporteaz la cel mai nalt nivel de
conducere al entitii). Aceast activitate este asigurat de persoane care au calitatea
de angajai ai instituiei la care efectueaz auditul, ns pentru a li se asigura
independena, acetia sunt organizai la nivelul unui serviciu funcional aflat n
subordinea direct a conductorului instituiei publice, iar angajarea sau destituirea
acestor persoane se face numai cu acordul efului compartimentului de audit de la
instituia superioar sau aflat n coordonare.
c) Auditul public intern este o activitate obiectiv. Obiectivitatea acestei activiti
decurge din faptul c auditorul este o persoan cu un nalt grad de pregtire
profesional i calitatea de auditor i confer un grad sporit de independen fa de
conducerea instituiei. n sprijinul obiectivitii activitii vine i Norma de audit
nr.1120- Obiectivitatea individual, care arat c auditorii interni trebuie s aib o
atitudine imparial lipsit de prejudeci i s evite conflictele de interese 3.
Auditorii interni trebuie s evite s evalueze anumite operaiuni de care au fost
responsabili n trecut. Obiectivitatea unui auditor este considerat a fi afectat atunci
cnd acesta realizeaz o misiune de asigurare pentru o activitate pentru care a fost
responsabil n cursul anului precedent.
d) Auditul public intern d asigurri i consiliere conducerii pentru buna
administrare a veniturilor i cheltuielilor publice. Aceast trstur decurge din
faptul c auditorii interni dau dovad de obiectivitate profesional, colectnd,
evalund i comunicnd informaii legate de activitatea sau procesul examinat.
1
***Legea nr. 672/2002 privind auditul public intern, publicat n Monitorul Oficial nr. 953 din 24.12.2002, art. 1 i 2.
2
***Entitile publice cuprind autoritile publice, instituiile publice, companiile/societile naionale, regiile autonome, societile
comerciale la care statul sau o unitate administrativ-teritorial este acionar majoritar.
3
***Norme profesionale ale auditului intern, Ministerul Finanelor Publice i Institut de lAudit Interne (IFACI)
Activitatea de audit intern are ca scop principal informarea managerului n vederea
administrrii mai eficiente a activitii entitii. Auditorul are un rol de consiliere,
acesta informnd responsabilii departamentelor i conductorul unitii de deficienele
constatate n diversele activiti auditate n scopul corectrii acestor deficiene. Deci
auditorul intern are rolul de a consilia, a asista sau a recomanda i n nici un caz de a
folosi msuri coercitive n vederea remedierii deficienelor. Nu trebuie s confundm
auditul public intern, care este o funcie a conducerii, cu sistemul de control
intern, care este un proces prin care conducerea controleaz cum se ndeplinesc
obiectivele stabilite.
Auditul public intern este o funcie a conducerii la nivelurile unde este organizat, iar
sistemul de control intern este un proces prin care conducerea instituiei publice
respective controleaz modul cum se ndeplinesc obiectivele stabilite. Sistemul de
control intern constituie obiectiv de analiz i evaluare pentru auditul public intern la
toate nivelurile.
Obiectivele serviciului de audit public intern, aa cum sunt reglementate n
4
lege sunt:a) asigurarea obiectiv i consilierea destinate s mbunteasc sistemele
i activitile entitii publice;b) sprijinirea ndeplinirii obiectivelor entitii publice
printr-o abordare sistematic i metodic prin care se evalueaz i se mbuntete
eficacitatea sistemului de conducere bazat pe gestiunea riscului, a controlului i a
proceselor administrrii.
Printr-o abordare mai larg, obiectivele serviciului de audit public intern se pot
definii astfel:
- ajut entitate public prin opiniile i recomandrile auditorilor interni;
- asigur o mai bun gestionare a riscurilor;
- asigur o mai bun administrare i pstrare a patrimoniului;
- asigur o mai bun monitorizare a conformitii activitii entitii publice cu
regulile i procedurile existente;
- asigur o eviden contabil i un management informatic fiabil i corect;
- mbuntesc calitatea managementului, a controlului i auditului intern;
- mbuntesc eficiena i eficacitate operaiunilor.
Pentru realizarea obiectivelor trebuie s se asigure un echilibru ntre sarcini,
competene, responsabiliti i s se defineasc proceduri.
Procedurile reprezint paii ce trebuie urmai i cuprind algoritmul pentru realizarea
sarcinilor, exercitarea competenelor, existena activitilor de control n punctele
cheie i angajarea responsabilitilor.
Pe baza procedurilor, se monitorizeaz existena i funcionalitatea controlului
intern, ceea ce ne va da posibilitatea s constatm dac: este integrat n sistemul de
management al fiecrei componente structurale a entitii publice; intr n grija
personalului de la toate nivelurile; ofer o asigurare rezonabil atingerii obiectivelor,
ncepnd cu cele individuale i terminnd cu cele generale.
n practic, exist dou categorii de proceduri:
- procedurile generale date de cadrul normativ, respectiv de legi, norme
metodologice, precizri/instruciuni, elaborate de entitatea public, n vederea
organizrii aplicrii unor reglementri de rang superior, aprobate de conductorul
entitii publice sau chiar de guvern;
- proceduri specifice pentru fiecare activitate a entitii publice sub forma
metodologilor de lucru, care trebuie s fie:
4
***Legea nr. 672/2002, privind auditul public intern, publicat n Monitorul Oficial nr. 953 din 24.12.2002, art. 3.
a) scrise i formalizate pe suport de hrtie i/sau electronic, care s conin pe
fluxurilor operaiilor, activiti de control, responsabiliti, modele de documente cu
exemplificri, respectiv formalizate, cunotinele individuale i colective care trebuie
stocate i puse n ordinea care s corespund scopurilor entitii publice i aprobate
de management;
b) simple i specifice, pentru ca executanii s le poat utiliza, cu respectarea
cadrului normativ, pentru fiecare domeniu al entitii publice;
c) completate i actualizate n mod permanent, n funcie de evoluia reglementrilor
i practicii n materie;
d) aduse la cunotina executanilor pentru a fi discutate, nsuite i aplicabile n
mod uniform.
Potrivit organigramei Ministerului Agriculturii, Alimentaiei i Pdurilor aprobat prin
Hotrrea Guvernului5, Direcia Audit Public Intern a fost conceput ca o structur
distinct i independent subordonat nemijlocit ministrului, ceea ce corespunde
prevederilor legii6.
n sfera de activitate a auditului public intern organizat i exercitat la nivelul
Ministerului Agriculturii, Alimentaiei i Pdurilor sunt incluse toate direciile din
minister i instituiile publice subordonate.
Auditul public intern nu este responsabil de nici o activitate sau procedur care va
face ulterior obiectul de activitate al auditului public intern. n acelai timp, membrii
direciei de audit public intern nu contribuie sub nici o form la elaborarea unui act
normativ, operaiuni sau proceduri care ulterior vor fi auditate, nu se implic n nici o
activitate intern a vreunei instituii publice subordonate Ministerului Agriculturii,
Alimentaiei i Pdurilor. Pentru aciunile lor ntreprinse cu bun-credin n exerciiul
atribuiilor i n limita acestora, auditorii publici interni nu pot fi sancionai sau trecui
n alt funcie. Acestea reprezint condiii minime pentru asigurarea independenei
auditului public intern.
Obiectivele misiunii de audit public intern sunt:
- asigurarea conformitii procedurilor i operaiunilor cu normele juridice auditul
de regularitate;
- evaluarea rezultatelor privind obiectivele urmrite i examinarea impactului efectiv
auditul de performan;
De remarcat este faptul c, nsi construcia i execuia bugetului de stat
consolidat, se bazeaz, n prezent ntro msur semnificativ, pe metoda numit
buget pe programe, care const n alocarea unor sume de bani (alocaii bugetare)
pentru un proiect/program concret, cuantificate cu ajutorul indicatorilor de
performan.
Obiectivul general al unui audit este acela de a furniza asigurarea c procedurile
examinate sunt complete i ntocmite cu acuratee, iar operaiile s-au efectuat n
conformitate cu legile i reglementrile relevante n vigoare.
Identificarea obiectelor auditabile se realizeaz n 3 faze:
- detalierea fiecrei activiti n operaii succesive descriind procesul de la realizarea
acestei activiti pn la nregistrarea ei (circuitul auditului);
- definirea pentru fiecare operaiune n parte a condiiilor pe care trebuie s le
ndeplineasc din punct de vedere al controalelor specifice i al riscurilor aferente (ce
5
*** prin anex la H.G. nr. 362/2002 privind organizarea i funcionarea Ministerului Agriculturii, Alimentaiei i Pdurilor.
6
*** Legea nr. 672/2002 privind auditul public intern, publicat n Monitorul Oficial nr.953/24.12.2002, art.10, alin.1.
trebuie evitat);
- determinarea modalitilor de funcionare necesare pentru ca entitatea s ating
obiectivul i s
n definirea tipurilor de audit public intern se arat:
a) auditul de sistem reprezint o evaluare de profunzime a sistemelor de
conducere i control intern, cu scopul de a stabili dac acestea funcioneaz economic,
eficace i eficient pentru identificarea deficienelor i formularea de recomandri
pentru corectarea acestora;
b) auditul performanei examineaz dac criteriile stabilite pentru implementarea
obiectivelor i sarcinilor entitii publice sunt corecte pentru evaluarea rezultatelor i
apreciaz dac rezultatele sunt conforme cu obiectivele;
c) auditul de regularitate reprezint examinarea aciunilor asupra efectelor
financiare pe seama fondurilor publice sau a patrimoniului public, sub aspectul
respectrii ansamblului principiilor, regulilor procedurale i metodologice care le sunt
aplicabile.
Standardele INTOSAI stabilesc c auditul performanei este: a) auditul
economicitii activitilor administrative n raport cu principiile i practicile unui
management performant; b) auditul eficienei utilizrii resurselor umane, financiare, a
altor resurse, incluznd examinarea sistemelor informaionale, a modului de msurare
i urmrire a indicatorilor de performan, precum i a procedurilor urmate de
entitatea auditat pentru remedierea deficienelor identificate; c) auditul eficacitii
performanei referitoare la ndeplinirea obiectivelor entitii auditate i auditul
impactului efectiv al activitii entitii n comparaie cu impactul planificat al acesteia.
Se consider c un audit al performanei este un audit al economicitii, eficienei i

eficacitii, o combinaie a dou dintre acestea sau poate fi un audit complet ce
nglobeaz toate cele trei componente. Auditul performanei analizeaz dac banii
publici au fost bine cheltuii, examinndu-se n principal msurile ntreprinse de
entitile auditate cu privire la respectarea principiilor economicitii, eficienei i
eficacitii. Acest tip de audit solicit adesea auditorului examinarea rezultatelor din
punct de vedere al celor 3E, folosind raionamentul su profesional.
Msurarea performanei rezultatelor n raport cu obiectivele propuse n concordan cu
cei 3E constituie o necesitate pentru managerii de la toate nivelele.
ntrebrile de baz la care ncearc s rspund auditul performanei sunt: - s-a
lucrat n mod corect? s-a fcut ceea ce trebuia? La prima ntrebare auditorul
urmrete s cunoasc dac executivul a respectat reglementrile i cerinele
strategiei stabilite sau opereaz n concordan cu buna practic n domeniu. Sfera de
examinare a auditorilor se extinde dac se continu cu a doua ntrebare, respectiv
dac s-a fcut ceea ce trebuia sau altfel spus, dac au fost ntreprinse msurile
stabilite. Auditorul performanei poate de fapt, s constate c una din msurile alese,
este ineficient. Auditorul verific dac un angajament public este n totalitate fezabil,
ns va trebui totui s fie precaut i s nu-i depeasc mandatul i obiectivele
stabilite prin extinderea procedurilor de examinare n zona politicului.
n realizarea auditului eficacitii unei activiti, entiti, auditorul, prin examinrile
sale, ncearc s gseasc rspunsuri la urmtoarele ntrebri:
- sunt atinse obiectivele de politic managerial cu mijloacele utilizate, respectiv
sunt obinute rezultatele programate?
- mijloacele utilizate i rezultatele obinute sunt compatibile cu obiectivele politicii
manageriale?
- reprezint impactul programat un rezultat direct al politicii manageriale i nu unul
datorat altor circumstane?
Pentru a aprecia msura n care obiectivele au fost atinse, ntrebrile auditorului
trebuie s fie formulate ntro manier care s permit obinerea de rspunsuri utile
realizrii unei evaluri ct mai pertinente.
Auditul de regularitate sau de conformitate, const n examinarea aciunilor
asupra efectelor financiare pe seama fondurilor publice sau a patrimoniului public, sub
aspectul respectrii ansamblului principiilor, regulilor procedurale i metodologice,
conform normelor legale. Auditul de regularitate compar regula cu realitatea, ceea ce
ar trebui s fie cu ceea ce este, pe baza unui sistem de referine. Regularitatea se
observ n raport cu regulile interne ale entitii, iar conformitatea se stabilete n
raport cu dispoziiile legale i reglementate. n ambele cazuri se compar realitatea cu
sistemul de referin propus.
Auditul de regularitate parcurge urmtoarea filier:
- informarea cu privire la ceea ce ar trebui s fie;
- semnalarea dezechilibrelor, a aplicaiilor care nu s-au efectuat, a interpretrilor
greite a dispoziiilor stabilite;
- analiza cauzelor i consecinelor;
- recomandarea a ceea ce trebuie fcut pentru ca pe viitor s fie aplicate regulile;
- raportarea rezultatelor celui auditat.
Auditul de sistem prezint o evaluare de profunzime a sistemelor de conducere
i control intern, cu scopul de a stabili dac acestea funcioneaz economic, eficace i
eficient, pentru identificarea deficienelor i formularea de recomandri pentru
corectarea acestora. Aflat pe treapta superioar a evoluiei auditului intern, auditul de
sistem reprezint o confruntare ntre politicile i strategiile entitii pentru verificarea
coerenei globale a sistemului.
Auditul de sistem fiind un audit care vizeaz analiza riscurilor prezint urmtoarele
caracteristici:
- este potrivit entitilor care au atins un nivel foarte matur al gestionrii riscurilor;
- este ceea ce se dorete i n Romnia;
- nu este principalul punct de interes al actualei legi a auditului intern;
- preia un risc major deja identificat;
- auditeaz ct de bine este gestionat acest risc de ctre organizaie;
Activitatea de audit intern se desfoar pe baza unui cadru metodologic general

care a fost elaborat n conformitate cu standardele de audit intern i buna practic
internaional recunoscut n domeniu. Acesta cuprinde: normele aplicabile
compartimentului de audit intern i auditorilor interni (normele de calificare i
normelor de funcionare) i prezint n detaliu sistemul derulrii misiunilor de audit
intern, astfel nct auditorii s aib la dispoziie un ndrumar complet pentru
activitatea desfurat. Pe baza acestui cadru metodologic general, entitile din
sistemul public i-au dezvoltat propriile metodologii de audit intern dup care i
desfoar activitatea, necesitate derivat din caracterul de independen
profesional a auditorilor interni n exercitarea funciei. De asemenea, pentru
auditarea corespunztoare a fondurilor europene trebuie elaborate norme specifice, ca
cerin a trecerii la utilizarea fondurilor n sistem descentralizat.
Pregtirea unui plan de sarcini de audit este vital, ca faz n procesul de auditare.
Auditarea implic colectarea i analizarea unor informaii suficiente spre a se ajunge la
concluzii vitale. Resursele disponibile pentru acest proces sunt totdeauna limitate.
Elaborarea planului de auditare este motorul necesar spre a reconcilia activitatea de
controale ce trebuie efectuate, cu resursele disponibile pentru ndeplinirea lor. Un bun
plan de audit este unul care, implementat n mod adecvat, prezint probabilitatea
maxim de ndeplinire a obiectivului auditrii, respectndu-se resursele disponibile i
cu o minim alocare de resurse pentru acele sarcini din plan care se dovedesc, pe
parcurs, ca fiind necesare.
Pregtirea unui plan de sarcini de audit trebuie s ia n considerare riscul i
materialitatea, bazat pe nelegerea structurii organizaionale a instituiei sau
domeniului auditat, a programelor i activitilor sale precum i a mediului informatic
n care funcioneaz acesta. Planul trebuie s stabileasc cum i cnd va avea loc
controlul i ct de multe informaii necesare pentru auditare sunt obinute pentru a
fundamenta concluziile i recomandrile n urma auditului.
Un plan de audit trebuie s cuprind urmtoarele elemente 7:
1. Cadrul legal de efectuare al auditrii;
2. Scurt descriere a activitii, programului sau a organizaiei auditate, incluznd i
rezultatele auditrilor din anii precedeni, precum i impactul acestora;
3. Motivele pentru care se face auditul;
4. Factorii care influeneaz procesul de audit, mai ales restriciile de resurse
materiale;
5. Evaluarea riscurilor;
6. Obiectivele auditului, anvergura sa i modul abordrii (praguri de resurse alocate,
sistemele ce trebuie evaluate i testate, metodologii planificate spre a se utiliza,
strategii de eantionare, dimensiunea anticipat a eantionului);
7. Resurse necesare: auditorii utilizai, experi din exterior, cerine privind
deplasrile, bugetele alocate;
8. Preul care va fi cerut pentru efectuarea auditului (dac este cazul);
9. Responsabiliti pentru instituia de audit;
10. Datele pentru efectuarea diferitelor etape ale auditului, incluznd i data
prevzut pentru proiectul de raport final;
11. Forma raportului final de control, coninutul su, i beneficiarii acestuia;
Pe parcursul fazei de planificare a sarcinilor auditului, auditorul principal trebuie s
se asigure c obine urmtoarele rezultate, pe care le transmite celor n drept s le
tie:
- auditorul principal trebuie s fac cunoscut cadrul legal i temeiul legal care st la
baza controlului, i s transmit modificrile legislaiei n vigoare;
- s obin ct se poate de multe informaii spre a nelege modul de funcionare a
domeniului, organizaiei sau activitii care constituie obiectul auditrii;
- s stabileasc canalele potrivite de contact, informare i relaii cu organizaia
controlat.
Auditul intern este o activitate planificat. n aceast etap auditorii i definesc
planul de activitate viitor, att cel strategic ct i cel anual, focaliznd domeniile n
care se pot manifesta riscuri semnificative care pot limita sau chiar mpiedica entitatea
public s-i ating obiectivele programate.
Auditul public intern are urmtoare organizare:
- Comitetul pentru Auditul Public Intern (CAPI)
7
Ana Morariu, Gheorghe Suciu, Flavia Stoian, Audit intern i Guvernan Coorporativ, Editura Universitar, Bucureti,2008,
pp.128-129
- Unitatea Central de Armonizare pentru Auditul Public Intern (UCAAPI)
- compartimentele de audit public intern din entitile publice 8.
Compartimentul de audit public intern se organizeaz astfel:
- conductorul instituiei publice are obligaia instituirii cadrului organizatoric i
funcional necesar desfurrii activitii de audit public intern;
- la instituiile publice mici, care nu sunt subordonate altor entiti publice, auditul
public intern se limiteaz la auditul de regularitate i se efectueaz de
compartimentele de audit public intern ale Ministerului Finanelor Publice;
- conductorul entitii publice subordonate poate stabili i menine un
compartiment funcional de audit public intern, cu acordul entitii publice de la nivelul
ierarhic imediat superior, iar dac acest compartiment nu se nfiineaz, auditul
entitii respective se efectueaz de compartimentul de audit public intern al entitii
publice de la nivelul ierarhic imediat superior 9.
Compartimentul de audit public intern se constituie n subordinea direct a
conducerii unitii. Prin atribuiile sale, el nu trebuie s fie implicat n elaborarea
procedurilor de control intern i n desfurarea activitilor supuse auditului public
intern10.
Compartimentul de audit public intern au urmtoarele atribuii:
- elaboreaz norme metodologice specifice entitii publice n care i desfoar
activitatea, cu avizul UCAAPI sau organului ierarhic superior, n cazul entitilor publice
subordonate;
- elaboreaz proiectul planului anual de audit public intern;
- efectueaz activiti de audit public intern pentru a evalua dac sistemele de
management financiar i control ale entitii publice sunt transparente i sunt
conforme cu normele de legalitate, regularitate, economicitate, eficien i eficacitate;
- informeaz UCAAPI despre recomandrile nensuite de conductorul entitii

publice auditate, precum i despre consecinele acestora;
- raporteaz periodic asupra constatrilor, concluziilor i recomandrilor rezultate din
activitile de audit;
- elaboreaz raportul anual al activitii de audit public intern;
- n cazul identificrii unor nereguli sau posibile prejudicii, raporteaz imediat
conductorului entitii publice i structurii de control intern abilitate 11.
Domeniile auditate cuprind n mare msur funciile suport (procesul bugetar,

financiar-contabilitate, achiziii publice, resurse umane, juridic, informatic) i mai
puin funciile specifice ale entitilor publice. Auditul public intern se exercit asupra
tuturor activitilor desfurate ntro entitate public, inclusiv asupra activitilor
entitilor subordonate, cu privire la formarea i utilizarea fondurilor publice , precum
i la administrarea patrimoniului public.
Indiferent de tipul de audit pe care-l desfoar, auditorii publici trebuie s
reuneasc n dosarul de lucru documente suficiente i cu valoare probatorie, mai ales
8
Legea nr.672/2002 privind auditul public intern, publicat n Monitorul Oficial nr. 953/24.12.2002, art.4
9
Legea nr.672/2002 privind auditul public intern, publicat n Monitorul Oficial nr. 953/2002, art.9
10
Legea nr.672/2002 privind auditul public intern, publicat n Monitorul Oficial nr. 953/2002, art.10
11
I.G.ara, M.Bucurean, Auditul public intern, n revista Controlul economic financiar nr. 6/2004, pp. 28-30.
n ceea ce privete baza planificrii documentelor auditate, activitatea desfurat i
constatrile auditorului12.
Compartimentul de audit public intern auditeaz, cel puin o dat la trei ani, avnd
urmtoarele obiective, fr a se limita la acestea:
- angajamentele bugetare i legale din care deriv direct sau indirect obligaii de
plat, inclusiv din fondurile comunitare;
- plile asumate prin angajamente bugetare i legale, inclusiv din fondurile
comunitare;
- vnzarea, gajarea concesionarea sau nchirierea de bunuri din domeniul privat al
statului ori al unitilor administrativ-teritoriale;
- concesionarea sau nchirierea de bunuri din domeniul public al statului ori al
unitilor administrativ-teritoriale;
- constituirea veniturilor publice, respectiv modul de autorizare i stabilire a titlurilor
de crean, precum i a facilitilor acordate la ncasarea acestora;
- alocarea creditelor bugetare;
- sistemul contabil i fiabilitatea acestuia;
- sistemul de luare a deciziilor;
- sistemul de conducere i control, precum i riscurile asociate unor astfel de
sisteme;
- sistemele informatice13.
Proiectul planului de audit public intern se elaboreaz de compartimentul de audit
public intern, pe baza evalurii riscului asociat diferitelor structuri, activiti,
programe/proiecte sau operaiuni, precum i prin preluarea sugestiilor conductorului
entitii publice, prin consultare cu entitile publice ierarhic superioare, innd seama
de recomandrile Curii de Conturi. Conductorul entitii publice aprob anual
proiectul planului de audit public intern.
Planul de audit cuprinde urmtoarele elemente:- scopul misiunii de audit;-

obiectivele misiunii de audit; - identificarea activitii sau operaiunii supuse auditului
intern;- identificarea unitii la care se va desfura aciuni de auditare;- durata
aciunii de auditare;- perioada supus auditrii;- numrul de auditori antrenai n
aciunea de auditare;- precizarea elementelor ce presupun utilizarea unor cunotine
de specialitate;- numrul de auditori care urmeaz s fie atrai n aciunile de audit
intern din cadrul structurilor deconcentrate;
La baza activitii de certificare a situailor financiare stau urmtoarele principii:
- exhaustivitatea toate operaiunile care privesc entitatea public sunt nregistrate

n contabilitate pe baza documentelor justificative;
- realitatea toate informaiile prezentate prin conturile anuale trebuie s poat fi
justificate i certificate;
- corecta nregistrare n contabilitate i corecta prezentare n conturile anuale a
operaiunilor.
Raportul privind certificarea situaiilor financiare se caracterizeaz prin faptul c:
- cuprinde o prezentare sintetic a modului de efectuare, a materialelor,
documentelor i a actelor examinate, a tehnicilor, metodelor i a procedurilor utilizate;
- se ntocmete n trei exemplare: unul nsoete situaiile financiare, al doilea

rmne la auditor, iar al treilea rmne la cel auditat.
eful compartimentului de audit public intern este responsabil cu supervizarea
tuturor etapelor de desfurare a misiunii de audit public intern. Auditorii interni
prezint efului structurii de audit public intern sau persoanei desemnate,
documentele din dosarul permanent al misiunii de audit public intern, pentru
12
M. Ghi, E. Vasile, M. Popescu, Documenia auditului, n revista Control economic financiar nr. 6/2004, pp. 31-32.
13
Legea nr.672/2002, privind auditul public intern, publicat n Monitorul Oficial nr. 953/2002, art.13 i 14.
supervizare.
Scopul aciunii exercitate de ctre supervizor este de a asigura c obiectivele
misiunii de audit public intern au fost atinse n condiii de calitate, astfel:
a) ofer instruciunile necesare derulrii misiunii de audit intern;
b) verific executarea corect a programului misiunii de audit;
c) verific existena elementelor probante;
d) verific dac redactarea raportului de audit public intern, att cel intermediar ct
i cel final, este exact, clar, concis, i se efectueaz in termenele fixate.
eful compartimentului de audit public intern trebuie s elaboreze Programul de
asigurare i mbuntire a calitii prin respectarea normelor metodologice generale
i specifice a Codului etic al auditorului intern, a Standardelor internaionale de audit
intern i a bunei practici internaionale specific auditorilor interni.
Programul de asigurare i mbuntire a calitii nseamn o evaluare permanent
i calitativ a misiunilor de audit intern. Pentru apreciera modului de realizare a
obiectivelor activitii de audit intern, periodic se efectueaz o serie de evaluri
interne i externe, cum ar fi:
- autoevaluarea realizat n compartimentele de audit intern;
- evaluarea realizat de structurile de audit din entitile ierarhic superioare pentru
unitile din subordine;
- evalurile realizate de ctre UCAAPI pentru entitile administraiei publice
centrale i de ctre structurile de audit intern ale direciilor finanelor publice judeene
pentru entitile administraiei publice locale;
- evalurile externe realizate de Curtea de Conturi a Romniei, Comisia European i
alte organisme abilitate.
Etapele de derulare a misiunii de audit presupune parcurgerea urmtoarelor etape:

pregtirea misiunii (iniierea auditului); intervenia la faa locului (desfurarea
misiunii); raportul de audit (ncheierea misiunii); urmrirea recomandrilor.
Etapele, procedurile i documentele aferente fiecrei proceduri pot fi sintetizate astfel:
Pregtirea misiunii presupune urmtoarele activiti/operaiuni:

Iniierea auditului se realizeaz prin elaborarea: ordinului de serviciu, declaraiei de
independen, i notificarea privind declanarea misiunii de audit public intern.
Colectarea i prelucarea informaiilor preliminare se realizeaz cu ajutorul testelor i a
tabloului aspectelor pozitive i negative posibile.
Prin analiza aspectelor pozitive i negative se urmreete identifcarea obiectelor
auditabile, definite sub aspectele caracteristicilor specifice i ale riscurilor asociate.
n baza programului de audit public intern se ntocmete programul preliminar al
interveniilor la faa locului. Acesta prezint n mod detaliat lucrrile pe care auditorii
i propun s le efectueze.
edina de deschidere se deruleaz la unitatea auditat, cu pariciparea auditorilor
interni i a personalului entitii auditate i aspectele importante discutate sunt
consemnate n minuta edinei de deschidere.
Intervenia la faa locului presupune urmtoarele:
Colectarea dovezilor i utilizarea instrumentelor aplicabile este etapa elaborrii listelor
de verificare, chestionare i teste.
n urma colectrii dovezilor se trece la analiza i prelucrarea informaiilor colectate pe
baza crora se emite Fia de identificare i analiz a problemei i n cazul existenei
unor iregulariti se ntocmete Formularul de constatare i raportare a iregularitilor.
nainte de ntocmirea proiectului raportului de audit public intern auditorii efectueaz

revizuirea, pentru a se asigura c documentele de lucru sunt pregtite n mod
corespunztor.
edina de nchidere are drept scop prezentarea opiniei auditorilor interni, a
recomandrilor finale i a calendarului de implementare a recomandrilor i intocmirea
minutei edinei de nchidere.
Raportul de evaluare presupune urmtoarele:
Elaborarea raportului de audit privind obiectivul misiunii, presupune ntocmirea
raportului de audit public intern.
Transmiterea proiectului raportului de audit intern privind obiectivele misiunii se
transmite la structura auditat prin adres de transmitere.
n cadrul reuniunii de conciliere se analizeaz constatrile i concluziile n vederea
acceptrii recomandrilor formulate, ntocmindu-se minuta reuniunii de conciliere.
- finalizarea raportului de audit intern privind obiectivul misiunii; document

elaborat: raportul de audit( forma final).
- difuzarea raportului de audit intern; documente elaborate: nota de prezentare a
raportului spre aprobare, nota de transmitere.
- arhivarea raportului i documentelor misiunii; documente elaborate: dosarele
misiunii de audit intern.
- supervizarea misiunii presupune asigurarea c obiectivele misiunii de audit public
intern au fost atinse n condiii de calitate; document elaborat: lista de supervizare a
documentelor.
Urmrirea documentelor presupune urmrirea stadiului implementrii
recomandrilor, etap n care se ntocmete, fia de urmrire a recomandrilor.
Studiul de caz ales se refer la o misiune de audit privind sistemele informatice la:
Direcia Agricol i Dezvoltare Rural Neam.
Instituia public are organizat, conform Legii nr.672/2002 privind auditul public intern
i Normele Generale privind exercitarea activitii de audit public intern aprobat prin
O.M.F. nr. 38/2003, un compartiment de audit format din dou persoane, ec. Crciun
Didina i Liviu Bumbu, ef compartiment. De menionat este faptul c, n practic,
pentru asigurarea supervizrii n bune condiii a misiunii de audit intern,
compartimentul de audit trebuie s fie compus din minim trei persoane, una din
acestea ndeplinind funcia de supervizor.
Avnd n vedere faptul c Direcia Agricol i Dezvoltare Rural Neam nc nu are
definitivat un manual de proceduri interne cu referire la activitile IT, c legislaia n
domeniul sistemelor IT nu exist, auditorii au elaborat chestionarele list de verificare
i testele de control privind evaluarea eficienei i eficacitii controalelor interne n
ceea ce privete operaiunile IT, pe baza criteriilor stabilite n standardul ISO 17799,
precum i prin consultarea standardelor internaionale n domeniu.
Operaiunile supuse auditrii au fost detaliate pe subactiviti n chestionarele list
de verificare, n scopul de a aprecia ct mai riguros riscul asociat fiecrei operaiuni
(activiti).
n vederea realizrii misiunii de audit cu tema:Evaluarea modului de organizare i
desfurare a activitii n domeniul IT, n cadrul instituiilor subordonate ministerului
din planul de audit aprobat de conducerea Ministerului Agriculturii i Dezvoltrii Rurale
pentru anul 2008, au fost transmise n anex obiectivele obligatorii, obiective
comunicate de U.C.A.A.P.I. sub a crui coordonare se desfoar aceast misiune.
Un exemplar din raportul de audit elaborat, avizat de ctre conductorul entitii

publice n cauz, va fi naintat la M.A.D.R. Direcia de audit la termenul fixat;
Pe baza rapoartelor de audit primite, Direcia de Audit din M.A.D.R. va ntocmi o
sintez care va fi naintat la U.C.A.A.P.I.;
Dup avizarea rapoartelor de audit, la nivelul entitii publice cuprinse n evaluare,
se va ntocmi programul de aciune n vederea implementrii recomandrilor cuprinse
n rapoarte; Un exemplar din program va fi naintat la Direcia de
Audit din M.A.D.R.
n funcie de termenele de implemetare a recomandrilor Direcia de Audit din
M.A.D.R. va transmite la U.C.A.A.P.I. informri privind modul de implementare a
recomandrilor i rezultatelor obinute14.
2.1.1. Iniierea auditului

Ordinul de serviciu a fost ntocmit i semnat de eful Compartimentului de Audit
Public Intern, pe baza planului anual de audit public intern, pentru anul 2008, aprobat
de ctre directorul instituiei Tiberiu Tudoran, n conformitatea cu prevederile Legii nr.
672/2002 privind auditul public intern i ale Normelor Generale privind exercitarea
activitii de audit public intern, aprobate prin Ordinul ministrului finanelor publice nr.
423/2004. n ordinul de serviciu s-a menionat c se va efectua o misiune de audit
intern privind sistemele informatice la Departamentul IT n perioada 30.03-31.05.2008.
Scopul misiunii este de a da asigurri c aplicarea msurilor pentru sistemele

informatice este n conformitate cu cadrul legal i normativ, iar obiectivele se refer la:
Logistica IT, reeaua de calculatoare, gestiunea adreselor de e-mail,

gestiunea licenelor IT. (menionez c obiectivele din cadrul entitii, au fost mult
mai numeroase, dar avnd n vedere spaiul foarte restrns de care dispun, am
selectat pe cele mai importante, din punctul meu de vedere.) n cadrul misiunii se va
efectua un audit de sistem i de regularitate. Echipa de audit public intern este format
din auditorii Crciun Didina i Liviu Bumbu. Ordinul de serviciu a fost semnat de eful
cmpartimentului audit intern Liviu Bumbu.
Declaraia de independen a fost dat de fiecare auditor intern la nceputul
misiunii de audit. Codul privind conduita etic a auditorului intern reprezint un
ansamblu de principii i reguli de conduit care trebuie s guverneze activitatea
auditorilor interni. Scopul Codului privind conduita etic a auditorului intern este de a
promova cultura etic n viziunea global a profesiei de auditor intern. Codul privind
conduita etic a auditorului intern cuprinde regulile pe care auditorii interni trebuie s
le respecte. n exercitarea atribuiilor lor, auditorii interni trebuie s respecte n primul
rnd principiul independenei.
Reglementrile privind independena, sunt n general, fundamentate pe trei principii
de baz, a cror nclcare va afecta independena auditorului:
- un auditor nu poate avea o funcie de managment;
- un auditor nu poate audita propria sa activitate;
- un auditor nu poate avea rol de aprtor al clientului su.
Notificarea privind declanarea misiunii de audit public intern a fost emis, cu 15
zile nainte de declanarea misiunii de audit public intern, n conformitate cu Planul de
audit intern pe anul 2008. n aceast notificare au fost aduse la cunotina efului
compartimentului c se va efectua o misiune de audit intern cu tema Sistemele
informatice la Departamentul IT.
Auditul va examina responsabilitile asumate de ctre Departamentul IT i va
determina dac acesta i ndeplinete obligaiile n mod eficient i efectiv.
n notificare s-a propus ca n edina de deschidere, stabilit de comun acord, s se
discute despre diverse aspecte ale misiunii de audit, care vor cuprinde: prezentarea
auditorilor, prezentarea principalelor obiective ale misiunii de audit, programul
interveniei la faa locului, scopul misiunii de audit intern i alte aspecte, considerate
importante.
Pentru o mai bun nelegere a activitii, s-a cerut punerea la dispoziia auditorilor,
urmtoarea documentaie: legile i reglementrile ce se aplic activitilor din
entitatea public, organigrama Compartimentelor cu care sunt n colaborare, aceste
activiti, fiele posturilor, toate procedurile scrise care descriu sarcinile ce trebuie
realizate pe linia sistemelor informatice, un exemplar al rapoartelor, notelor, dosarelor
anterioare care se refer la aceast tem. Pentru nenelegeri sau ntrebri privind
14
*** Surs, Ministerul Agriculturii i Dezvoltrii Rurale, Direcia Pentru Agricultur i Dezvoltare
Rural Neam
aceast aciune, persoana de contact a fost numit doamna ec. Crciun Didina auditor
din cadrul compartimentului de audit intern. Notificarea a fost semnat de eful
compartimentului Liviu Bumbu.
2.1.2. Colectarea i prelucrarea informaiilor
n etapa de colectare auditorii au colectat informaii cu caracter general despre
Departamentul IT, i s-a urmrit ca aceste informaii s fie pertinente i utile n
vederea atingerii urmtoarelor scopuri:
a) identificarea principalelor elemente ale contextului instituional n care
Departamentul IT i desfoar activitatea;
b) cunoaterea organizrii Departamentului IT, a tehnicilor sale de lucru i a
diferitelor nivele de administrare, conform organigramei;
c) identificarea punctelor cheie ale funcionrii Departamentului IT i ale sistemelor
sale de control, pentru evaluarea prealabil a punctelor tari i slabe;
d) identificarea i evaluarea riscurilor cu inciden semnificativ;
e) identificarea informaiilor probante necesare pentru atingerea obiectivelor misiunii
auditului public intern i selecionrii tehnicilor de investigare adecvate.
Personalul de conducere i din Departamentul IT a oferit documentele i
informaiile solicitate, n termenele stabilite, precum i tot sprijinul necesar
desfurrii n bune condiii a misiunii de audit public intern.
n etepa de prelucare a informaiilor s-a analizat urmtoarele aspecte:
a) regulamentele de organizare i funcioanre, organigrama, fie ale
posturilor,circuitul documentelor al Departamentului IT;
b) cadrul normativ ce reglementeaz Departamentul IT;
c) factori susceptibili de a mpiedica buna desfurare a misiunii de audit public
intern;
d) rezultatele controalelor precedente;
e) informaiile externe referitoare la activitatea Departamentului IT.
Pentru colectarea i prelucrarea informaiilor s-a ales varianta Chestionarul de
luare la cunotin care cuprinde ntrebri formulate de auditori, i rspunsurile sunt
date de conducerea entitii publice.
ntrebrile sunt foarte numeroase i pentru o bun nelegere a acestei misiuni de
audit voi alege pe cele care au o relevan semnificativ pentru fundamentarea unor
concluzii ct mai reale i exprimarea unei opinii pertinente. Principala condiie a
acestui volum semnificativ de documente este validitatea informaiei pe care o coine.
Auditorul nu lucreaz plecnd de la ipoteze, ci se bazeaz pe certitudini astfel nct
informaiile culese s fie fiabile, relevante i utile, iar constatrile fcute s fie
justificate i, n consecin, incontestabile. Caracterul just al elementelor probante se
aprecieaz n funcie de relevana i fiabilitatea lor. n unele situaii, auditorul se
sprijin pe elemnete probante care nu sunt concludente prin ele nsele, dar care
contribuie la definitivarea concluziilor. Certitudinea auditorului sporete n cazul n care
elementele probante din surse diferite sunt concordante ntre ele.
ntrebri formulate i rspunsurile date:
Exist organigrama Departamentului IT? Da.
Exist proceduri scrise care definesc activitate fiecrui compartiment n parte? Nu.
Exist un grafic de relaii privind circuitul documentelor la nivelul Departamentului IT?
Da.(Incomplet).
Exist la nivelul instituiei o politic sau o strategie n domeniul IT? Nu.
Exist un inventar al riscurilor relevante pentru instituie n ceea ce privete
tehnologia informaiei? Nu.
Conducerea instituiei este preocupat de IT? Da. La nivelul conducerii instituiei au
fost fcute demersuri, astfel nct, n cadrul strategiei eleborate la nivelul instituiei s
fie precizate distinct obiectivele IT.
Conducerea este ntiinat permanent despre riscurile la care este supus instituia n
domeniul IT? Nu.
Care sunt pricipalele activiti desfurate de Departamentul IT din cadrul instituiei?
- fundamenteaz strategia de dezvoltare a sistemului informatic al instituiei i o
propune spre aprobare conducerii;
- proiecteaz, n colaborare cu celelalte compartimente, conceptul sistemului
informatic al instituiei n corelare cu sistemul informaional i cu metodologiile i
procedurile aprobate;
- asigur dezvoltarea i exploatarea infrastructurii sistemului informatic al instituiei;
- stabilete necesarul de software i de aplicaii informatice n vederea asigurrii

funcionalitii sistemului informatic i a sistemului de conducere a instituiei;
- acord asisten i consulta de specialitate tuturor compartimentelor din cadrul
structurii de organizare;
- colaboreaz la perfecionarea personalului din cadrul tuturor compartimentelor
instituiei n domeniul IT i al utilizrii computerului i a tehnicilor informatice;
- asigur pstrarea securitii datelor i sigurana, din acest punct de vedere, a
sistemului informatic;
- urmrete evoluia tehnologiei informaiei pe plan intern i internaional i propune
achiziionarea de licene pentru toate produsele program care s fie utilizate n cadrul
sistemului informatic al instituiei;
- asigur ntreinerea aplicaiilor i a echipamentelor din componena sistemului
informatic;
- ntocmete necesarul periodic de materiale consumabile pentru tehnica de calcul i
celelalte echipamente de birotic;
- asigur funcionarea reelei Internet i gestioneaz serviciul de pot electronic;
- asigur ntreinerea reelei informatice a instituiei;

- proiecteaz i gestioneaz baza de date a instituiei;
Care este varianta utilizat pentru transferul n siguran al mesajelor: criptarea
mesajului sau criptarea canalului de comunicaie? Se utilizeaz o combinare a celor
dou moduri de criptare.
Care este tipul de reea utilizat n cadrul instituiei? Exist o combinaie ntre reea
inel i reea stea.
Exist posibilitatea de a planifica i monitoriza performana IT? Nu. Nu exist proceduri
n acest sens.
Este descris structura switch-uri-lor n reeaua intern a instituiei? Da.
Sunt descrise sistemele de operare i modul cum se fac update-urile de securitate?
Da.
Fiabilitatea elementelor probante colectate este apreciat n funcie de originea lor
intern sau extern, de natura lor scris sau oral i de circumstanele n care s-au
obinut, astfel:
- probele de audit din surse externe sunt mai credibile dect cele obinute din cadrul
organizaiei;
- probele de audit obinute din cadrul organizaie sunt mai credibile atunci cnd
controlul intern este de ncredere;
- probele de audit obinute direct de auditor sunt mai credibile dect cele obinute
din cadrul organizaiei;
- probele de audit sub form de documente scrise sunt mai credibile dect
declaraiile orale. Determinante pentru evaluarea relevanei probelor sunt i:
- independena celui care furnizeaz probele;

- calificarea indivizilor care furnizeaz informaiile;
- obiectivitatea probelor;
- vrstaprobelor.
Probele culese n misiunea de audit au fost variate, iar tehnicile folosite n procesul
de culegere a probelor au fost:
- verificarea structurilor organizatorice ale sistemului informatic. O structur
organizatric trebuie s asigure o separare a funciilor incompatibile;
- verificarea politicilor interne i procedurilor de lucru;
- verificarea standardelor ce vizeaz domeniul IT;
- verificarea documentaiei sistemului informatic, i anume: documentaia de
dezvoltare a sistemului informatic, specificaiile de proiectare i cerinele funcionale,
documentele operaionale, fiierele de tip jurnal i fiierele de tip istoric a modificrii
programelor surs, manualele utilizatorilor, manualele de operare, documentele
relative la securitate, rapoartele de asigurare a calitii;
- intervievarea personalului din departamentul IT;
- observarea performanei sistemului i a utilizatorilor si.
2.1.3. Analiza riscurilor
Dei tehnologiile informaionale pot amelioara controlul intern al unei companii, ele
pot, de asemenea, afecta riscul general de control al companiei. Numeroase riscuri
asociate sistemelor manuale snt diminuate i, n numeroase cazuri, chiar eliminate.
Totui apar noi riscuri specifice mediilor de IT, iar acestea pot conduce la pierderi
substaniale dac sunt ignorate. De exemplu, imposibilitatea de a recupera informaii
importante din cauza unui blocaj al sistemului informatizat sau utilizarea de informaii
incorecte din cauza unor erori de prelucrare generate de aceste tehnologii ar putea
paraliza o organizaie.
Analiza riscurilor este etapa major n procesul de audit public intern, care are drept
scopuri: identificarea pericolelor din departamentul IT, dac controalele interne sau
procedurile Departamentului IT pot preveni, elimina sau minimiza pericolele, precum i
evaluarea controlului intern al Departamentului IT. De asemenea, analiza riscurilor
reprezint un punct de pornire n elaborarea punctelor tari i a punctelor slabe.
Auditorii interni trebuie s integreze n procesul de identificare i evaluare a riscurilor
semnificative i pe cele depistate n cursul altor misiuni.
Lista centralizatoare a obiectelor auditabile, definite sub aspectele caracteristicilor
specifice i ale riscurilor asociate, constituie suportul analizei riscurilor. Astfel s-au
definit urmtoarele obiecte auditabile: (Din numeroasele obiecte auditate n misiunea
de audit am selectat cteva, eseniale, - din cauza spaiului limitat de care dispun).
Obiectiv
1. Logistica IT
Obiecte auditabile
1.1 Configurare switch-uri:- securizarea fizic a componentelor critice, - protejarea i
etichetarea cablurilor de reea, - protecia camerei serverelor, - configurare
echipamente IT i aplicai .
1.2 Verificarea modului de asigurare a conectivitii: - asigurarea i ntreinerea
echipamentelor fizice, - securizarea echipamentelor fizice, - accesul n camera
serverelor.
Obiectiv
2. Reeaua de calculatoare
Obiecte auditabile
2.1. Verificarea securizrii reelei de calculatoare: - politica de securitate a reelei, -
limitarea accesului n reea, - configurarea reelei de calculatoare, - protecia datelor n
reea, - zona demilitarizat (DML), - protecia echipamentului de reea, - recuperarea
datelor n caz de dezastru. Obiectiv
3. Gestiunea licenelor IT
Obiecte auditabile
3.1. Verificarea situaiei faptice i scriptice a licenelor IT: - evidena licenelor IT, -
atribuii n gestionarea licenelor IT.
3.2. Analiza dosarului pentru fiecarea staie de lucru: - evidena softului instalat pe
fiecare staie de lucru, - raportri periodice privind situaia soft-ului pe staiile de lucru.
Obiectiv
4. Gestiunea adreselor de e-mail
4.1. verificarea existenei politicii de e-mail: - politica de e-mail la nivel de instituie, -
coninutul politicii de e-mail.
4.2. verificarea politicii de e-mail din punct de vedere al redactrii, comunicrii i
implementrii: - redactarea politicii de e-mail, - comunicarea politicii de e-mail.
Aprecierea unui risc are la baz dou estimri:
- mrimea/nivelul pierderii care poate s rezulte ca urmare a producerii riscului;
- probabilitatea ca riscul s revin.

Efectuarea analizei riscurilor s-a efectuat prin parcurgerea urmtorilor pai:
a) identificarea activitilor auditabile, respectiv a obiectelor auditabile. S-au analizat
i interdependenele existente ntre acestea, fixndu-se perimetrul de analiz;
b) identificarea ameninrilor, riscurilor inerente posibile, asociate acestor activiti,

prin determinarea impactului financiar al acestora;
c) stabilirea criteriilor de analiz a riscului.
d) stabilirea nivelului riscului pentru fiecare criteriu, prin utilizarea unei scri de valori
de valori pe trei niveluri.
e) stabilirea punctajului total al criteriului utilizat. S-a atribuit un factor de greutate i
un nivel de risc fiecrui criteriu. Produsul acestor doi factori d punctajul pentru
criteriul respectiv, iar suma punctajelor pentru o anumit acitivitate auditabil
conduce la determinarea punctajului total al riscului activitii respective. Formula
utilizat pentru obinerea punctajului total este:
T=P(i)xN(i),
unde:
P(i)= ponderea riscului pentru fiecare criteriu;
N(i)= nivelul riscurilor pentru fiecare criteriu utilizat;
f) clasarea riscurilor, pe baza punctajelor totale obinute anterior, n: risc mic, risc
mediu, risc mare.
g) ierarhizarea activitilor ce urmeaz a fi auditate, respectiv elaborarea tabelului
puncte tari i puncte slabe. Tabelul permite ierarhizarea riscurilor n scopul orientrii
activitii de audit public intern, respectiv stabilirea tematicii n detaliu.
Msurarea riscurilor depinde de probabilitatea de apariie a riscului i de gravitatea
consecinelor evenimentului. Pentru realizarea msurii riscurilor s-a utilizat drept
instrument de msurare criteriile de apreciere.
- Aprecierea controlului intern s-a fcut pe baza unei analize a calitii controlului
intern al entitii, pe trei niveluri: control intern corespunztor - nivel 1, control intern
insuficient nivel 2, control intern cu lipsuri grave nivel 3.
- Msurarea gravitii consecinelor evenimentului (nivelul impactului), reprezint
efectele riscului n cazul producerii sale i s-a exprimat pe o scar valoric pe trei
niveluri: impact slab nivel 1, impact mediu nivel 2, impact important nivel 3.
- Vulnerabilitatea s-a exprimat pe trei niveluri: vulnerabilitate redus nivel 1,
vulnerabilitate medie nivel 2, vulnerabilitate mare nivel 3.
n urma aprecierilor, auditorii au stabilit faptul c ponderea criteriilor de
analiz a riscului este urmtoarea:
- aprecierea controlului intern 40%;
- aprecierea cantitativ (impact financiar) 26%;
- aprecierea calitativ (vulnerabilitate) 34%.
n acest context, dac mediul de control intern din cadrul organizaiei este unul
format, puternic, acest lucru conduce la obinerea de ctre auditori a unei asigurri de
40% privind acest mediu. Totodat n cadrul acestui mediu de control puternic,
auditorii pot obine o asigurare de 26% respectiv 34% privind impactul operaiilor
financiare i vulnerabilitatea entitii.
n urma calculrii punctajelor totale au rezultat urmatoarele clase de risc cu
punctajele aferente:
- risc mic (N1) punctaj 1.0 - 1.5
- risc mediu (N2) punctaj 1.6 2.0
- risc mare (N3) punctaj 2.0 2.5
Tabelul nr.1- Nivelul riscurilor
Factori de Ponderea Nivelul de apreciere a riscului (Ni)

risc (Fi) factorilor
de risc (Pi) N1 N2 N3
Aprecierea P1- 40% Exist Exist proceduri, Nu exist

controlului proceduri i sunt cunoscute, proceduri
intern F1 se aplic dar nu se aplic
Aprecierea P2- 26% Impact Impact financiar Impact

cantitativ financiar slab mediu financiar
F2 important
Aprecierea P3- 34% Vulnerabilit Vulnerabilitate Vulnerabilit
calitativ F3 ate redus medie ate mare
Aceste clase de risc i intervale de punctaj aferente fiecrei clase de risc au fost
stabilite de auditori, iar obiectele auditabile care au obinut un scor mai mare sau egal
cu 2 vor face obiectul ateniei auditorilor. Ponderea atribuit pentru fiecare factor de
risc a fost stabilit n funcie de importana acestuia pentru activitatea auditat i
nsumate trebuie s fie obligatoriu 100. Punctajul total al riscului se realizeaz prin
nmulirea, pe fiecare risc identificat, a nivelului i ponderilor factorilor de risc i
nsumarea acestora.
Atribuirea notelor la criteriile avute n vedere la analiza riscului, s-a realizat de ctre
auditorul intern, pe baza judecii profesionale i a experienei acestuia.
Punctele tari i punctele slabe sunt exprimate calitativ i cantitativ n funcie de
rezultatele ateptate i de condiiile de obinere a acestora.
Riscurile asociate obiectivelor, activitiilor i nivelul impactului au fost stabilite
astfel, cu ajutorul documentului Tabelul puncte tari i puncte slabe.
Configurare switch-uri
1. Securizarea fizic a componentelor critice, riscuri de nivel mediu:
proceduri neadecvate cu privire la echipamentele i suporturile de date scoase din uz,
pstrarea neadecvat a componentelor critice.
2. Protejarea i etichetarea cablurilor de reea, risc de nivel sczut:
cablurile de reea nu sunt protejate corespunztor sau sunt neetichetate.
3. Protecia camerei serverelor, risc de nivel mediu:
n camera serverelor nu sunt n funciune sisteme de prevenire a incendiilor, aer
condiionat.
4. Configurarea echipamentelor IT i aplicaiilor, riscuri de nivel mediu:
configuraiile echipamentelor IT i ale aplicaiilor nu sunt meninute n mod formal n
alte locaii dect sistemele, structura switch-urilor nu confer securitate sporit.
5. Asigurarea i ntreinerea echipamentelor fizice, risc de nivel sczut.
nu toate componentele critice sunt securizate fizic.
6. Securizarea echipamentelor fizice, riscuri de nivel mediu:
echipamente care nu sunt corect ntreinute, echipamente neprotejate pentru a
preveni riscul distrugerii accidentale.
7. Accesul n camera serverelor, riscuri de nivel mediu:
nu exist cartele de acces sau registre n camera serverelor, distrugerea fizic a
cablurilor.
Verificarea securizrii reelei de calculatoare
1. Politica de securitate a reelei, riscuri de nivel ridicat:
inexistena unei politici de securitate a reelei de calculatoare la nivelul instituiei,
neinstalarea unui firewall adecvat ntre propria reea de calculatoare i toate celelalte
legturi externe, sistemul de securitate al reelei nu genereaz un raport zilnic,
instituia nu dispune de o diagram logic a infrastructurii firewall.
2. Limitarea accesului n reea, riscuri de nivel mediu:
neimplementarea procedurilor n vederea limitrii accesului la calculatoare dup
terminarea orelor de program, accesul neautorizat al personalului la serverul de reea,
informaiile pot fi furate sau distruse, persoane neautorizate pot accesa sau manipula
datele de pe server, instalarea de ctre programatori, cu bun tiin, a unor
programe inadecvate.
3. Configurarea reelei de calculatoare, risc de nivel ridicat:
schimbrile de configurare ale reelei nu sunt testate sau aprobate n prealabil.
4. Protecia datelor n reea, riscuri de nivel ridicat:

neutilizarea unor mijloace de protecie a datelor transmise din propria reea ctre alte
reele, neverificarea accesului la distan prin punctul de control firewall, software
programat s distrug sistemul sau anumite date.
5. Zona demiltarizat (DML),riscuri de nivel mediu:
neevaluarea gazdelor din cadrul zonei demilitarizate n scopul stabilirii adecvrii
acestora, punctele de control firewall pot s nu previn atacurile Java i ActiveX.
6. Protecia echipamentului de reea, risc de nivel mediu:
echipamentul de reea nu este protejat mpotriva factorilor de mediu cum ar fi cderile
de tensiune, inundaii, umiditate.
7. Recuperarea datelor n caz de dezastru, risc de nivel ridicat:
inexistena unui plan de recuperare a datelor n caz de dezastru.
Verificarea situaiei faptice i scriptice a licenelor IT
1. Evidena licenelor IT, riscuri de nivel mediu:
nu este inut evidena situaiei scriptice a licenelor IT, nu este inut evidena
situaiei faptice a licenelor IT, unele licene nu au documente de provenien.
2. Atribuii n gestioanrea licenelor IT, risc de nivel mediu:
nu este numit o persoan cu responsabiliti n urmrirea i gestionarea licenelor IT.
Analiza dosarului pentru fiecare staie de lucru

1. Evidena softului instalat pe fiecare staie de lucru, riscuri de nivel mediu:
pentru fiecare calculator nu s-antocmit un dosar cu privire la soft-ul instalat pe acesta,
posibilitatea utilizrii unor programe software fr licen.
2. Raportri periodice privind situaia soft-ului pe staiile de lucru, risc de nivel
mediu: nentocmirea unor rapoarte periodice cu privire la situaia staiilor de lucru i a
softului autorizat.
Verificarea existenei politicii de e-mail
1. Politica de e-mail la nivelul instituiei, riscuri de nivel mediu:
inexistena unei politici de e-mail adecvat la nivelul instituiei, politica de e-mail nu
este integrat politicii Internet.
2. Coninutul politicii de e-mail, riscuri de nivel mediu:
comunicaiile de e-mail nu sunt folosite doar pentru a servi scopurile instituiei,
inexistena unor limitri n ceea ce privete primirea-transmiterea unui fiier ataat
unui mesaj, pentru mesajele stocate, log-urile nu sunt protejate mpotriva accesului
neautorizat.
Verificarea politicii de e-mail din punct de vedere al redactrii, comunicrii
i implementrii
1. Redactarea politicii de e-mail, riscuri de nivel mediu:
politica de e-mail nu este redactat clar, concis, nu este uor de citit i neles de ctre
personalul instituiei, politica de e-mail nu a fost redactat cu implicarea unor
compartimente de specialitate.
2. Comunicarea politicii de e-mail, risc de nivel mediu:
personalului instituiei nu i-au fost comunicate prevederile politicii de e-mail.
Ierarhizarea riscurilor selectate, realizat prin documentul Tabelul puncte tari i
puncte slabe a contribuit la identificarea a 20 riscuri, ataate unor obiecte auditabile,
care au fost evaluate ca fiind puncte slabe, iar 2 riscuri au fost identificate ca fiind
puncte tari. n stabilirea punctelor tari i a celor slabe auditorii au avut n vedere cele
trei clase de risc identificate n etapa de analiz a riscurilor, respectiv au asociat
riscului mic puncte tari iar riscului mediu i mare un punct slab.
Evaluarea ierarhizrii obiectelor auditabile n documentul Tematica n detaliu a
misiunii de audit intern, au fost preluate obiectivele i obiectele auditabile, considerate
ca fiind puncte slabe, ocazie cu care au fost renumerotate, i ulterior stabilit
corespondena cu paragrafele din raportul de audit intern.
2.1.4 Elaborarea programului misiunii de audit public intern
Tematica n detaliu cuprinde totalitatea domeniilor/obiectelor de auditat selectate,
este semnat de eful compartimentului de audit public intern i adus la cunotina
principalilor responsabili ai structurii auditate n cadrul edinei de deschidere. n baza
tematicii detaliate se ntocmete programul de audit public intern care este un
document intern de lucru al compartimentului de audit public intern. Acesta cuprinde
pe fiecare obiectiv din tematica detaliat aciunile concrete de efectuat necesare
atingerii obiectivului, precum i repartizarea acestora pe fiecare auditor intern.
Scopul programului de audit public intern este de a asigura eful compartimentului de
audit public intern c au fost luate n considerare toate aspectele referitoare la
obiectivele misiunii de audit public intern i asigur repartizarea sarcinilor i
planificarea activitilor, de ctre supervizor. n baza programului de audit public intern
se ntocmete programul preliminar al interveniilor la faa locului. Acesta prezint n
mod detaliat lucrrile pe care auditorii interni i propun s le efectueze, respectiv
studiile, cuantificrile, testele, validarea acestora cu materiale probante i perioadele
n care se realizeaz aceste verificri la faa locului.
2.1.5 Deschiderea interveniei la faa locului
edina de deschidere a interveniei la faa locului se deruleaz la Departamentul
IT, cu participarea auditorilor interni i a personalului Departamentului IT.
n cadrul edinei de deschidere a fost prezentat auditorul intern, domeniul auditabil i
obiectivele de auditat. De asemenea au fost prezentate activitile care urmeaz a fi
auditate, fiind stabilite termenele de raportare de ctre auditorul intern, a stadiului de
verificare, termene care au fost cuprinse n Programul misiunii de audit public intern.
S-a acceptat calendarul ntlnirilor dintre auditorul intern i cei auditai, astfel ca cei
auditai s poat oferii documentele i informaiile solicitate de auditorul intern n
termenele stabilite. Recomandrile formulate ca urmare a eventualelor
disfuncionaliti constatate vor fi discutate i analizate cu structura auditat, inclusiv
calendarul implementrii i persoanele rspunztoare cu implementarea
recomandrilor.
2.2.1. Colectarea dovezilor i utilizarea instrumentelor aplicabile

Scopul acestei proceduri l reprezint efectuarea testrilor stabilite prin programul
de audit aprobat i obinerea de probe, dovezi suficiente i relevante pentru
formularea constatrilor, concluziilor i recomandrilor. Colectarea dovezilor s-a fcut
pornind de la Programul interveniei la faa locului unde au fost planificate i
elaborate listele de verificare i testrile care vor fi efectuate. Pe baza acestor testri
i avnd n vedere rezultatele obinute s-a trecut la ntocmirea Fielor de identificare
i analiz a problemelor i a Formularelor de constatare i raportare a
iregularitilor. Auditorii interni au avut n vedere i Tabloul de prezentare a
circuitului auditului care ofer informaii utile n colectarea dovezilor.
Principalele tehnici de audit public intern folosite, au fost:
Verificarea, care asigur validarea, confirmarea, concordana cu legile i
regulamentele intrne, precum i eficacitatea controalelor interne. Aceast tehnic a
fost realizat prin:
- comparaie pentru anumite tranzacii curente care sunt puse n coresponden cu
tranzacii trecute sau similare, cu legi sau regulamente sau cu alte criterii rezonabile;
- examinare pentru detectarea unor erori n completarea documentelor sau pentru

examinarea vulnerabilitilor unor sisteme;
- garantare pentru verificarea realitii anumitor tranzacii prin examinarea
documentelor nregistrate, de la articolul nregistrat ctre documentele justificative;
- urmrire pentru a vedea dac toate tranzaciile reale au fost nregistrate.
Observarea fizic, pe baza creia se poate forma o prere proprie privind modul de
ntocmire a documentelor.
Interviul care ofer posibilitatea lmuririi unor aspecte legate de organizarea i
desfurarea activitilor.
Analiza care const n descompunerea unei structuri n elemente, care pot fi izolate,
identificate, cuantificate, i msurate distinct.
Principalele instrumente de audit intern folosite, au fost:
Chestionarele - care cuprind ntrebri pe care le formuleaz auditorii interni.
a) chestionarul de luare la cunotin (CLC) - care conin ntrebri referitoare la locul
pe care l ocup Departamentul IT n structura din care face parte, organizarea intern,
funcionarea acestuia;
b) chestionarul de control intern (CCI) - ghideaz auditorii interni n activitatea de
identificare obiectiv a disfunciilor i cauzelor reale ale acestor disfuncii;
c) chestionarul-list de verificare (CLV) este utilizat pentru stabilirea condiiilor pe
care trebuie s le ndeplineasc fiecare domeniu auditabil. Cuprind un set de ntrebri
standard privind obiectivele definite, responsabilitile, metodele i mijloacele
financiare, tehnice i de informare, precum i resursele umane existente.
Pe parcursul desfurrii misiunii de audit, pentru a culege probe ct mai relevante
i suficiente auditorii au desfurat dou categorii de teste:
a) teste de conformitate, pentru verificarea conformitii controlului intern cu politicile,
normele interne stabilite de managmentul instituiei;
b) teste de fond, pentru a verifica integritatea datelor i altor informaii de sistem.
Avnd n vedere obiectivele controlului intern, care se pot rezuma n asigurarea
validitii, exhaustivitii, acurateei i confidenialitii resurselor informaionale din
cadrul instituiei, auditorul, prin intermediul testelor de conformitate, a verificat
existena i eficiena controlului intern. Prin aceste teste, auditorul a urmrit
conformitatea controlului intern existent n cadrul instituiei cu politicile i procedurile
managmentului, ct i consecvena de aplicare a acestui control.
n mod practic, exist o relaie direct proporional ntre nivelul controlului intern i
volumul testelor de fond ce sunt necesare a fi desfurate. Datorit rezultatelor
testelor de conformitate care confer prezena unui control intern eficient, auditorul a
aplicat un numr minim de teste de fond.
n urma testelor de conformitate, s-au identificat patru categorii de mecanisme de
control intern: - controlul restrictiv ce are ca efect reducerea probabilitii unui
atac deliberat;
- controlul preventiv ce protejeaz vulnerabilitile cunoscute sau presupuse i reduc
impactul unui atac reuit;
- controlul corectiv ce reduce efectul unui atac prin supravegherea corectitudinii i
integritii datelor;
- controlul detectiv ce descoper atacuri iniiate sau n desfurare i alarmeaz
sistemul corespunztor.
AMENINAR
CONTROL E
RESTRICTI CONTROL
MINIMIZEAZ V CREEAZ CORECTIV
EXPLOATEAZ
DESCOPER
CONTROL
DETECTIV ATAC
DECLANEAZ
PROTEJEAZ REZULT N DESCRETE VULNERABILITATE
CONTROL A
PREVENTIV
IMPACT
REDUCE
Figura nr.1 Controalele accesului n sistem
n urma procedurii de colectare a dovezilor s-au identificat anumite probleme i s-a

trecut la ntocmirea Fielor de identificare i analiz a problemelor.
Fia de identificare i analiz a problemei, nr.1
Problema: Stocarea necorespunztoare a backup-urilor.
Constatri: Nu a fost asigurat o locaie astfel nct backup-urile s fie corect
jurnalizate i stocate.
Cauze: Nu exist un spaiu amenajat corespunztor, precum nici o persoan
desemnat cu pstrarea n bune condiii a backup-urilor.
Consecine: Posibilitatea deteriorrii anumitor copii de siguran, astfel nct n cazul
cderii sistemului ca urmare a unor cauze hardware sau software, s fie imposibil
refacerea acestui sistem.
Recomandri: Alocarea unei camere, amenajat corespunztor, n vederea gestionrii
corecte a backup-urilor.
Problema: Neaprobarea cercetrii i monitorizrii informaiilor electronice.
Constatri: Nu s-a emis un Odin/Decizie/Act intern care s specifice care sunt
persoanele cu atribuii de cercetare i monitorizare a informaiilor electronice, precum
i persoane cu atribuii de a intercepta, revizui sau divulga coninutul mesajelor
trimise sau primite de personalul instituiei prin e-mail.
Cauze: Inexistena unor procedure formalizate la nivelul instituiei cu privire la
manipularea informaiilor n format electronic. Aceste procedure formalizate trebuie s
fie puse n coresponden cu politica de e-mail.
Consecine: Posibilitatea interceptrii, accesrii sau divulgrii coninutului unor
informaii electronice de ctre personal neautorizat.
Recomandri: Stabilirea prin Ordin/Decizie/Act intern a unei persoane din cadrul
Departamentului IT, cu atribuii de monitorizare i, dac este cazul, de cercetare a
informaiilor electronice transmise/primite de ctre personalul instituiei prin e-mail.
Aceast persoan trebuie s asigure condiiile de confidenialitate i integritate a
datelor i informaiilor pe care le monitorizeaz.
Problema: Neformalizarea unei politici de e-mail la nivelul instituiei.
Constatri: La nivelul instituiei nu a fost stabilit o politic de e-mail care s
ndeplineasc urmtoarele condiii: s fie scris clar, concis, astfel nct s poat fi
uor de citi i de neles; redactarea s se fac cu implicarea personalului IT, a
resurselor umane sau altor structure funcionale; s fie aprobat semnat de conducere;
s fie distribuit un plan care s prevad un instructaj cu privire la riscurile la care se
supun angajaii dac nu urmeaz punctele transmise prin politica n cauz; s fie
actualizat permanent.
Cauze: Departamentul IT nu dispune de suficient personal care s se ocupe de
redactarea i actualizarea permanent a politicii de e-mail.
Consecine: Grad sczut de asigurare a integritii i confidenialitii datelor i
informaiilor transmise sau primite de utilizatori n format electronic, prin e-mail.
Recomandri: Desemnarea unui grup de lucru cu atribuii de redactare, comunicare i
implementare a politicii de e-mail la nivelul insituiei.
2.2.2. edina de nchidere
n edina de nchidere a fost prezentat ctre Departamentul IT obiectivele care
au fost supuse auditrii. Constatrile efectuate au fost discutate pentru fiecare
obiectiv auditat i au fost prezentate dovezile care susin aceste constatri. S-a
insistat asupra consecinelor posibile n cazul n care aspectele constatate nu vor fi
soluionate. Au fost prezentate prii auditate recomandrile care urmeaz a fi
implementate pentru eliminarea deficienelor. Auditorii interni consider c
deficienele constate n misiunea de audit public intern efectuat pot fi eliminate prin
implementarea recomandrilor formulate. Ca finalitate a edinei s-a ntocmit
Minuta edinei de nchidere.
2.3.1.Elaborarea proiectului de Raport de audit public intern

La sfritul misiunii de audit public intern, auditoria interni au elaborate un proiect
de raport de audit public intern, care reflect cadrul general, obiectivele, constatrile,
concluzile i recomandrile.
n urma verificrilor s-au constatat urmtoarele:
1. Obiectivul de audit: Reeaua de calculatoare
Constatri cu caracter negativ: Nu a fost asigurat o locaie astfel nct backup-
urile s fie corect jurnalizate i stocate.
Consecine: posibilitatea deteriorrii anumitor copii de siguran, astfel nct n cazul
cderii sistemului ca urmare a unor cauze hardware sau software, s fie imposibil
refacerea acestui sistem.
Recomandri: Alocarea unei camere, amenajat corespunztor, n vederea gestionrii
corecte a backup-urilor.
2. Obiectivul de audit: Logistica IT
Constatri cu caracter pozitiv: Reeaua intern a Instituiei este bazat pe o
structur de switch-uri 3COM Gigabit Switch 5, avnd o serie de faciliti care confer
securitate sporit, optimizeaz traficul n reea i ofer, de asemenea redundan.
Switch-urile pot fi configurate de la distan prin interfa Web, fiecare din ele avnd
un IP static. Conectarea se face pe baz de user i parol; mai exist dou conturi,
unul de supervizare unde se fac doar setri de parametri care nu implic securitatea,
respectiv un user unde se poate vizualiza configuraia switch-ului.
Echipamentele IT sunt corect ntreinute , fiind totodat plasate i protejate pentru a
se preveni riscul distrugerii accidentale.
3. Obiectivul de audit: Gestiunea licenelor IT
Constatri cu caracter pozitiv: La nivelul Departamentului IT exist o eviden a
situaiei scriptice a licenelor IT. De asemenea, pentru licenele utilizate exist
documente de provenien.
Pentru fiecare staie de lucru a fost ncheiat un proces-verbal cu privire la soft-ul
instalat pe fiecare calculator, astfel nct toate programele instalate s fie autorizate.
Constatri cu caracter negativ: Nu s-a emis un Odin/Decizie/Act intern care s

specifice care sunt persoanele cu atribuii de cercetare i monitorizare a informaiilor
electronice, precum i persoane cu atribuii de a intercepta, revizui sau divulga
coninutul mesajelor trimise sau primite de personalul instituiei prin e-mail.
La nivelul instituiei nu a fost stabilit o politic de e-mail care s ndeplineasc
urmtoarele condiii: s fie scris clar, concis, astfel nct s poat fi uor de citi i de
neles; redactarea s se fac cu implicarea personalului IT, a resurselor umane sau
altor structure funcionale; s fie aprobat semnat de conducere; s fie distribuit un
plan care s prevad un instructaj cu privire la riscurile la care se supun angajaii dac
nu urmeaz punctele transmise prin politica n cauz; s fie actualizat permanent.
Cauze: Inexistena unor proceduri formalizate la nivelul instituiei cu privire la
manipularea informaiilor n format electronic. Aceste proceduri formalizate trebuie s
fie puse n coresponden cu politica de e-mail.
Departamentul IT nu dispune de suficient personal care s se ocupe de redactarea i
actualizarea permanent a politicii de e-mail.
Consecine: Posibilitatea interceptrii, accesrii sau divulgrii coninutului unor
informaii electronice de ctre personal neautorizat.
Grad sczut de asigurare a integritii i confidenialitii datelor i informaiilor
transmise sau primite de utilizatori n format electronic, prin e-mail.
Recomandri: Stabilirea prin Ordin/Decizie/Act intern a unei persoane din cadrul
Departamentului IT, cu atribuii de monitorizare i, dac este cazul, de cercetare a
informaiilor electronice transmise/primite de ctre personalul instituiei prin e-mail.
Aceast persoan trebuie s asigure condiiile de confidenialitate i integritate a
datelor i informaiilor pe care le monitorizeaz.
Desemnarea unui grup de lucru cu atribuii de redactare, comunicare i implementare
a politicii de e-mail la nivelul insituiei.
Avnd n vedere constatrile din Raportul de audit public intern, concluziile sunt
urmtoarele:
Exceptnd obiectivele de audit pentru care au fost formulate recomandri, n cadrul
instituiei se respect i se realizeaz un control adecvat referitor la Logistica IT,
Gestiunea licenelor IT.
Deficienele menionate n Raportul de audit public intern pot fi nlturate prin
implementarea recomandrilor formulate de auditorul intern.
Proiectul de Raport de audit public intern se transmite la Departamentul IT, iar acesta
va trimite n maxim 15 zile, punctual su de vedere care va fi analizat de auditorii
interni.
2.3.2. Reuniunea de conciliere
Scopul reuniunii de conciliere este de a discuta eliminarea eventualelor divergene
existente privind constatrile i recomandrile formulate de ctre auditorii interni n
Proiectul raportului de audit public intern, precum i stabilirea unui plan de aciune i a
calendarului de implementare a recomandrilor.
Dup aprobarea recomandrilor cuprinse n raportul de audit public intern finalizat,
acestea devin obligatorii i vor fi comunicate Departamentului IT. Aprobarea
recomandrilor va fi realizat de ctre directorul Instituiei.
2.3.3. Difuzarea Raportului de audit public inter (Raport final)
eful compartimentului de audit public intern transmite Raportul de audit public
intern mpreun cu rezultatele concilierii i punctual de vedere al structurii auditate,
conductorului entitii publice Tiberiu Tudoran, pentru analiz i avizare. Dup
avizare, Raportul de audit public intern va fi comunicat Departamentului IT.
n cazul n care exist recomandri care nu au fost avizate de conductorul entitii
publice, auditorii interni transmit la organul ierarhic superior sau la UCAAPI, o
informare, mpreun cu o documentaie de susinere.
22.3.4. Urmrirea recomandrilor
Obiectivul acestei etape este asigurarea c recomandrile menionate n Raportul
de audit intern sunt aplicate ntocmai, n termenele stabilite, n mod eficace i
conducerea a evaluat riscul de neaplicare a acestor recomandri.
Urmrirea recomandrilor este un proces prin care se constat caracterul adecvat,
eficacitatea i oportunitatea aciunilor ntreprinse de ctre conducerea entitii
auditate pe baza recomandrilor din Raportul de audit intern. Procedura de urmrire a
recomandrilor presupune ntocmirea documentului Fia de urmrire a
recomandrilor pe baza planului de aciune i a calendarului de implementare.
Concluzii
Cadrul metodologic asociat unei misiuni de audit urmrete,obinerea unei
nelegeri a cerinelor
organizaiei, identificarea controalelor existente, precum i evaluarea conformitii
controlului
intern, i identificarea riscurilor.
Principiile auditului sunt construite n jurul celor patru premise. n general, un astfel
de proces implic, ntro prim etap, documentarea activitilor pentru a evidenia
obiectivele controlului, intervievarea managementului i a personalului
Departamentului IT cu scopul de a nelege cu adevrat cerinele organizaiei. Ulterior
se urmrete identificarea controalelor existente i analiza msurilor de control
implementate n cadrul organizaiei; auditorul trebuie s se asigure c documentaia
procesului exist i s evalueze distribuia, responsabilitatea i disponibilitatea ei.
Evaluarea conformitii controlului intern este etapa n care auditorul trebuie s se
asigure c msurile de control stabilite sunt n conformitate cu standardele n vigoare
i regulamentele interne, fapt ce-l va determina s obin probe pe diferite eantioane.
Finalitatea etapei este redat de aplicarea testelor de detaliu i procedurilor analitice,
tocmai pentru a asigura auditorului certitudinea c precesele IT sunt adecvate.
Identificarea riscurilor importante ale sistemului informatic, presupune o analiz a
slbiciunilor de control i vulnerabilitilor sistemului n vederea aprecierii actualului
sau potenialului impact. n acest sens, auditorul va analiza tehnici analitice i/sau
consult surse alternative n acord cu obiectivul auditului.
Controlul intern ntrun sistem informaional este menit s promoveze att
eficacitatea exploatrii ct i fiabilitatea sistemului. Azitzi, ntrun mediu informatizat,
verificarea i aprecierea acestui control, la nivelul unei organizaii, reprezint cheia
care i confer auditorului ncrederea asupra datelor ce urmeaz a fi auditate.
Verificarea integritii datelor este o etap premergtoare ndeplinirii obiectivelor unei
misiuni de audit, deoarece auditorii trebuie s se asigure c rezultatele din rapoartele
finale sunt bazate pe date complete, precise i fiabile.
ntrebarea care se ridic ns, este: Cum poate un auditor s evalueze
completitudinea, acurateea i integritatea datelor furnizate de managementul unei
entiti, pentru asigurarea reuitei misiunii de audit??
Elementele de fraud i eroare cu ajutorul calculatorului nu sunt puine.
Totui, muli auditori nu contientizeaz necesitatea realizrii unui control al
sistemului informatic i nu percep aceast testare a validitii i autenticitii datelor
ca fiind direct legat de obiectivele unei misiuni de audit financiar.
n general, controlul intern ntrun sistem informaional vizeaz un control general
care afecteaz mediul activitilor informatizate i controlul aplicaiilor existente n
sistem.
Din punct de vedere al practicii auditului, nu exist ns o distincie ntre cele dou
tipuri de control pentru c n realitate ele se completeaz reciproc i, mpreun, dau o
imagine complet i corect asupra sistemului informaional.
Cheia n domeniul auditului este de a recunoate c auditul poate avea i o mai
mare valoare dac analizeaz aspecte dincolo de problemele financiare tradiionale i
se focalizeaz asupra unor puncte de interes pentru un public mai larg. Muli auditori
consider astzi c metodologia de audit care era potrivit n era industrial s-ar
putea s nu fie suficient de dezvoltat pentru era informaional, cnd activele sunt
intangibile, comerul este electronic, pieele sunt globale i ritmul schimbrii este din
ce n ce mai accelerat.
Ce valori trebuie s ofere auditorii? Trebuie oare s ofere o abordare tradiional a
analizelor periodice ce vizeaz datele istorice, a datelor bazate pe cost sau a situaiilor
financiare?
Oare este necesar o abordare bazat pe date n continu schimbare, bazate pe
valoare i pe emiterea de informaii ct mai cuprinztoare?
Oricum auditori viitorului ce vor lucra n comer i industrie vor avea oportunitatea
de a deveni o resurs cheie n organizaiile lor. Pentru a avea succes n noile ncercri
ei trebuie s-i diversifice cunotinele de baz dincolo de analiza financiar
tradiional ctre noi domenii precum tehnologia informaiei, msurarea
performanelor nefinanciare i managementul general.
Dezvoltrile comerului electronic aduc o mare provocare sistemelor tradiionale de
afaceri i contabililor care le deservesc. Internetul joac un rol din ce n ce mai
important n rspndirea informaiei financiare i de afaceri. Aceasta modific
graniele internaionale ale informaiei i genereaz ateptri asupra raportrii la timp
de informaii actualizate, fapt ce determin ca opinia de audit s fie dat mai degrab
asupra sistemului informatic existent n cadrul entitii, dect asupra datelor din
situaile financiare.
Instituiile publice sunt n permanen confruntate cu mbuntirea performanelor
lor . Funcia de audit intern ofer, din acest punct de vedere, sigurana rezonabil c
operaiunile desfurate, deciziile luate sunt sub controli c n acset fel, contribuie
la realizarea obiectivelor entitii.
Auditul intern ajut instituia s i ating obiectivele evalund procesele sale de
management al riscurilor, de control i de conducere. Auditorii interni pot prin
consiliere permanent, s ajute instituia s identifice, s evalueze i s implementeze
un dispozitiv de management al riscurilor i de control care s permit stpnirea
acestor riscuri.
Misiunile de audit scot n eviden anomaliile i punctele slabe semnifcative din
cadrul proceselor ce se desfoar la nivelul instituiei, astfel nct s poat fi
remediate sau atenuate consecinele acestora.
Prin mprtirea cunotinelor, auditul public intern permite schiarea
perspectivelor i contribuie la progress.
n loc de ncheiereDac Dumnezeu mi-ar mai da o bucic de via A da
valoare lucrurilor mrunte, dar nu pentru ce valoreaz ele, ci mai curnd pentru ceea
ce ele semnific ..; de-abia acum neleg c pentru fiecare minut n care nchidem
ochii pierdem aizeci de secunde de lumin. A merge n timp ce alii ar sta pe loc, a
rmne treaz n timp ce toi ceilali ar dormi. A asculta n timp ce alii ar vorbi.
Gabriela Garcia Marquez
Doamne, ct respect pentru lumina minii, care este informaia. i cum s nu fie
protejat pe msur?15
Victoria este un vrf al curajului i la captul acestuia se afl libertatea care vine
odat cu contiina faptului c nicio putere pmnteasc nu te poate nfrnge.
Tria de caracter este unicul lucru fr de care nu poi tri i doar curajul
convingerilor proprii este cel care face posibil schimbarea.
BIBLIOGRAFIE
1. Ionela-Corina Chersan (coordonator), Control i Audit Intern, Editura Universitii
Al.I.Cuza Iai, 2008
2. Crciun, t., Auditul financiar i auditul intern, Editura Economic, Bucureti, 2004
3. Crciun, t., Auditul intern, evaluare, consiliere, Editura Economic , Bucureti,

2006
4. Flavia Stoian, Ana Morariu, Suciu Gh., Audit intern i Guvernan Coorporativ,
Editura Universitar, Bucureti, 2008
5. Alvin, A.Arens, James K.Loebbecke, Audit o abordare integrat, Ediia a 8-a, Editura
ARC, 2006
6. Mare, G., Cristiana Costinescu, Niculae, D.C., Pitulice, M.G., Practica auditului
intern, Editura Contaplus, Bucureti, 2007
7. Roman Aureliana-Geta, Roman, C., Tabr, V., Control financiar i audit public,
Editura Economic, Bucureti, 2007
8. Dobroeanu, L., Dobroeanu, C.L., Audit concepte i practice, Editura Economic,
Bucuresti, 2002
9. Ghi, M., Mare, V., Auditul performanei publice, Editura CECCAR, Bucureti,
2002
10. Munteanu, V., Control i audit financiar-contabil, Editura Lumina Lex, Bucureti,
2003
11. Boulescu, M., Brnea, C., Ispir, O., Control financiar intern i audit intern la
entitile publice, Editura Economic, Bucureti, 2004
12. Chiu, A., Pitulice, M., Pitulice, A., Studii de caz privind auditul public intern, Editura
CECCAR, Bucureti, 2005
13. Morariu, A., Stoian Flavia, Auditul intern- o funcie cu multiple valene, Revista
Romn de Statistic, nr.3/2007
14. Renard, J., Teoria i practica auditului intern, Ediia a patra, Bucureti, 2002
15
Oprea Dumitru, Protecia i securitatea sistemelor informaionale, Editura Universitii
Al.I.Cuza, Iai, 2006, p.,7
15. Daniela-Neonil Mardiros, Scorescu, F.I., Contabilitate public, Editura Ion
Ionescu de la Brad Iai, 2007
16. Nicolae Florina, Dasclu Doina, Auditul intern n instituiile publice, Editura
Economic, Bucureti, 2006
17. Gabriela Meni, Oprea, D., Dumitriu, F., Analiza sistemelor informaionale,
Editura Universitii Al.I.Cuza, Iai, 2005
18. Oprea, D., Protecia i securitatea sistemelor informatice, Editura Universitii
Al.I.Cuza, Iai, 2006
19. Nstase, P., Stanciu, V., Dana Boldeanu, Auditul i controlul sistemelor
informaionale, Editura Economic, Bucureti, 2007
20. Oprea, D., Munteanu, A., Rusu Daniela, Probleme actuale ale securitii n
sistemele informaionale pentru afaceri, Editura Polirom, Iai, 2003
21. Horomnea, E., Dorina Budugan, Tabr, N., Bazele contabilitii, Editura Sedcom
Libris, Iai, 2006
22.***Legea nr. 672 din 19.12.2002, privind auditul public intern, MO nr.953 din
24.12.2002
23.***Ordinul ministrului finanelor publice nr.423/2004 pentru modificarea i
completarea Normelor generale privind exercitarea activitii de audit public intern
aprobate prin OMFP nr. 38/2003
24.***Norme profesionale ale auditului intern, Minsterul Finanelor Publice i Institutul
Auditorilor Interni (IFACI)

Lucrare Dizartatie Auditul Intern La Institutiile Publice

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Lucrare Dizartatie Auditul Intern La Institutiile Publice

Încărcat de

Drepturi de autor:

Formate disponibile

.........

PREZENTAREA GENERAL A INSTITUIEI.....4

CADRUL GENERAL AL AUDITULUI INTERN..9

DERULAREA UNEI MISIUNI DE AUDIT....23

Auditorul viitorului se va confrunta i n multe cazuri deja se confrunt, cu

Se consider c un audit al performanei este un audit al economicitii, eficienei i

Activitatea de audit intern se desfoar pe baza unui cadru metodologic general

- informeaz UCAAPI despre recomandrile nensuite de conductorul entitii

Domeniile auditate cuprind n mare msur funciile suport (procesul bugetar,

Planul de audit cuprinde urmtoarele elemente:- scopul misiunii de audit;-

- exhaustivitatea toate operaiunile care privesc entitatea public sunt nregistrate

- se ntocmete n trei exemplare: unul nsoete situaiile financiare, al doilea

Etapele de derulare a misiunii de audit presupune parcurgerea urmtoarelor etape:

Pregtirea misiunii presupune urmtoarele activiti/operaiuni:

nainte de ntocmirea proiectului raportului de audit public intern auditorii efectueaz

- finalizarea raportului de audit intern privind obiectivul misiunii; document

Un exemplar din raportul de audit elaborat, avizat de ctre conductorul entitii

2.1.1. Iniierea auditului

Scopul misiunii este de a da asigurri c aplicarea msurilor pentru sistemele

Logistica IT, reeaua de calculatoare, gestiunea adreselor de e-mail,

- stabilete necesarul de software i de aplicaii informatice n vederea asigurrii

- asigur ntreinerea reelei informatice a instituiei;

- independena celui care furnizeaz probele;

- probabilitatea ca riscul s revin.

b) identificarea ameninrilor, riscurilor inerente posibile, asociate acestor activiti,

Factori de Ponderea Nivelul de apreciere a riscului (Ni)

Aprecierea P1- 40% Exist Exist proceduri, Nu exist

Aprecierea P2- 26% Impact Impact financiar Impact

4. Protecia datelor n reea, riscuri de nivel ridicat:

Analiza dosarului pentru fiecare staie de lucru

2.2.1. Colectarea dovezilor i utilizarea instrumentelor aplicabile

- examinare pentru detectarea unor erori n completarea documentelor sau pentru

Figura nr.1 Controalele accesului n sistem

n urma procedurii de colectare a dovezilor s-au identificat anumite probleme i s-a

2.3.1.Elaborarea proiectului de Raport de audit public intern

Constatri cu caracter negativ: Nu s-a emis un Odin/Decizie/Act intern care s

3. Crciun, t., Auditul intern, evaluare, consiliere, Editura Economic , Bucureti,

S-ar putea să vă placă și