Auditul intern este o activitate independentă şi obiectivă care

dă unei entităţi o asigurare în ceea ce priveşte gradul de control

asupra operaţiunilor, o îndrumă pentru a-i îmbunătăţi operaţiunile,şi
contribuie la adăugarea unui plus de valoare.
Auditul intern ajută organizaţia să îşi atinga obiectivele
evaluând, printr-o abordare sistematic ă şi metodică, procesele
sale de management al riscurilor, de control, şi de guvernare a
organizaţiei, şi făcând propuneri pentru a le consolida eficacitatea.
Guvernanta corporativă vizează entităţi publice şi private,
reprezentand regulile atât formale cât şi informale, împreună cu
relaţiile dintre oamenii care administrează corporaţiile şi toţi cei
care investesc resurse în corporaţiile din ţara respectivă.
Formal – reguli şi regulamente
Informal – Practici de afaceri general acceptate – Standarde
etice
PRINCIPII: • Asigurarea bazei pentru cadrul conceptual eficient
al guvernanţei corporative • Drepturile acţionarilor şi funcţiilor cheie
ale organizaţiilor • Tratament echitabil pentru toţi acţionarii • Rolul
altor persoane interesate (stakeholders) în guvernanţa corporativă
• Prezentarea informaţiilor şi transparenţa • Responsabilităţile
consiliului de administraţie
SURSELE REGULILOR DE GUVERNANŢĂ CORPORATIVĂ
- Cadrul instituţional: - Parlament,Guvern,Agenţii de
reglementare, Tribunale
- Compania: - Statutul, Managementul, Acţionariatul
- Organizaţii şi grupuri: - Organizaţii profesionale, Organizaţii
internaţionale, Grupuri de investiţii
- Societatea: - Piaţa, Moduri tradiţionale de afaceri, Etica
De ce trebuie să funcţioneaze o bună guvernanţă corporativă?
“ … Ajută la oferirea unui grad de încredere care este necesar
pentru funcţionarea adecvată a unei economii de piaţă.” OECD
Principiile de Guvernanta Corporativa, 2009 • Costul capitalului
este mai scăzut • Resursele sunt utilizate cu mai mare eficienţă •
Este încurajată dezvoltarea
SCOPUL GUVERNANTEI CORPORATIVE: Crearea de
valoare sustenabilă pentru părţile interesate.
Guvernanţa: setul de responsabilităţi şi practici exercitate de
consiliulde administratie cu scopul :
- de a asigura direcţia strategică
- de a asigura îndeplinirea obiectivelor
- de a da asigurarea că riscurile sunt cunoscute, controlate şi
evaluate corespunzător
- de a verifica dacă resursele organizationale sunt utilizate în
mod corespunzător
Guvernanţa reprezintă responsabilitatea colectivă a
organismului însărcinat cu guvernanţa.
Este necesar un grup, comitetul de audit, să aibă sarcini
specifice pentru a asista organismul însărcinat cu guvernanţa ca
să-si poată
îndeplini responsabilităţile.
Sarcini specifice ale comitetului de audit sunt definite şi de carta
de audit intern a organizaţiei.
Responsabilitatile Consiliului de Administraţie – Indrumarea
strategică a companiei – Monitorizarea eficientă a managementului
– Responsabilitatea faţă de companie – Responsabilitatea faţă de
acţionari
Cine trebuie sa fie în consiliul de administraţie? Un element
cheie al guvernantei corporative: • Membrii executivi (din interior)
• Membrii non-executivi (din exterior)
Implicarea unor membrii ai Consiliului de Administratie
independenţi – Imbunătăţeşte performanţa afacerii – Intăreşte
structurile de guvernanţă – Actionează ca un gardian al intereselor
acţionarilor – Trebuie să aibă suficient acces la informaţii financiare
şi alte informaţii despre afacere pentru a putea exercita experienţa
şi expertiza de care dispun.
 Control intern • Realizarea şi implementarea sistemului de
control intern în cadrul organizaţiei precum şi revizuirea periodică a
acestuia în vederea îmbunătăţirii lui este responsabilitatea
conducerii la „vârf”. Acesta este un principiu stabilit prin regulile de
guvernanţă corporativă . Consiliul de administraţie şi conducerea
executivă trebuie să acţioneze în consecinţă. • Responsabilitatea
consiliului de administraţie şi a senior managementului privind
stabilirea, menţinerea şi operarea unui sistem de control intern
eficient nu poate fi delegată. • Consiliul de administraţie trebuie să
se asigure că, periodic, senior managementul verifică eficacitatea
şi operabilitatea sistemului de control intern
Sistemul de control intern trebuie să ofere asigurarea asupra
atingerii următoarelor obiective: • Eficienţa şi eficacitatea operaţiilor;
• Credibilitatea raportărilor financiare şi operaţionale; • Protejarea
activelor împotriva pierderilor generate de risipă, abuz, nepăsare;
management incorect/inadecvat, erori, fraude şi alte nereguli; •
Conformitatea cu legile, regulamentele, cadrul contractual şi
directivele managementului; • Crearea şi menţinerea unor date
financiare credibile, prezentate cu acurateţe şi la timp în raportările
financiare..
Cadrul COSO • Mediul de control stabileşte fundamentele
pentru modul în care riscul este văzut şi adresat, inclusiv filozofia
de risc şi apetitul pentru risc, integritate, valori etice, mediul în care
personalul operează. • Stabilirea obiectivelor obiectivele trebuie
stabilite înainte ca managementul să identifice potenţialele riscuri
care pot afecta indeplinirea lor. Obiectivele trebuie să fie în acord
cu misiunea entităţii şi în conformitate cu apetitul pentru risc
asumat. • Identificarea evenimentului evenimentele interne şi
externe care pot afecta îndeplinirea obiectivelor trebuie identificate .
Se face distincţia între oportunităţi şi riscuri. • Evaluarea riscurilor:
riscurile sunt analizate prin estimarea impactului şi probabilităţii de
apariţie. Sunt evaluate riscurile inerente şi cele reziduale. •
Răspunsul la risc : managementul stabileşte răspunsul la risc
(acceptare, evitare, reducere sau partajare) dezvoltând o serie de
activităţi aliniate la toleranţa la risc şi apetitul pentru risc. • Activităţi
de control : sunt stabilite şi implementate politici şi proceduri care
să asigure o desfăşurare adecvată a răspunsului la risc
 Activităţi de control • Activităţile de control reprezintă acţiuni
întreprinse pentru limitarea riscurilor. Ele se materializează în:
politici, proceduri şi mecanisme care ajută managementul în
limitarea şi monitorizarea riscurilor identificate în procesul de
administrare a riscurilor. • Activităţele de control pot fi :
• Activităţile preventive sunt destinate identificării de
evenimente generatoare de risc. Dezvoltarea unor astfel de
controale implică anticiparea unor potenţiale probleme înainte ca
ele să se producă asigurând implementarea unor proceduri care să
prevină producerea lor în viitor.
• Activităţile detective sunt destinate identificării de
evenimente după producerea acestora şi alertarea
managementului. Aceste activităţi permit managementului luarea
de măsuri corective prompte. Spre exemplu, fiind definit profilul de
risc la nivelul organizaţiei, astfel de controale permit atenţionarea
managementului atunci când anumiţi indicatori se apropie sau
depăşesc limita de alertă. Acest fapt declanşează decizii ale
managementului în scopul limitării riscurilor.
Tipuri de controale
Preventiv • Planificare eficienta/proces bugetare • Controale
privind accesul (nume utilizator, parole, etc.) • Separarea
responsabilitatilor • Aprobari/autorizari • Securitate fizica •
Configurarea sistemelor (funcţia IT)
Detectiv • Reconcilierea documentelor primare cu înregistrarile
contabile • Compararea rezultatelor raportate cu planurile si
bugetele • Verificarea modalitatii de acces in sistemul informatic si
jurnalele de tranzactionare
Corectiv • Plan de recuperare in caz de dezastru (funcţia IT) •
Plan de continuare a afacerii • Proceduri
Controlul activităţilor IT
Aceste controale pot fi clasificate în : controale realizate de
personal IT specializat şi controale asigurate de întregul personal
din cadrul organizaţiei, determinate de faptul că angajaţii utilizează
în activitatea curentă calculatoare şi alte echipamente IT. Putem
include în această categorie: procedurile privind accesul la reţeaua
locală, procedurile privind utilizarea aplicaţiilor; alocarea drepturilor
de instalare a aplicaţiilor doar personalului IT cu atribuţiuni în acest
sens; politica antivirus; controlul accesului şi securizarea ariilor în
care sunt amplasate servere sau se păstrează copiile de siguranţă
(pentru date şi software);mijloace de control al securităţii
echipamentelor.
Cele trei linii de apărare
1. Funcţii care deţin şi administrează riscuri
2. Funcţii care supravegheză riscuri
3. Funcţii care oferă asigurare independentă
Coordonarea celor 3 linii de apărare
• Linia 1 - proprietarii proceselor/managerii: management
operaţional. • Linia a 2a-controlul riscurilor şi conformitatea:
independenţă limitată, raportează în primul rând managementului.
• Linia a 3a – asigurarea cu privire la riscuri: AI, independenţă
mai mare, raportează către structurile de guvernanţă.
• Necesitatea partajării informaţiilor pentru a minimiza eforturile
duplicate.
TIPURI DE AUDIT INTERN A. AUDIT DE REGULARITATE
(CONFORMITATE) • Asigurarea că toate dispoziţiile implementate
pentru aplicarea regulilor interne organizaţiei pentru o funcţie sunt
aplicate şi functionează corect. Alinierea la reglentări interne şi
externe (legi, regulamente etc).
B. AUDIT DE EFICACITATE • Asigurarea că dispozitivele
implementate pentru asigurarea unui bun control asupra unei
funcții sunt adecvate, eficace şi nu trebuie modificate, înlăturate
sau adăugate.
C. AUDIT DE MANAGEMENT • Asigurarea că politica ce
privește o funcţie corespunde cu strategia organizaţiei.
D. AUDIT DE STRATEGIE • Asigurarea că strategia de
dezvoltare a unei funcţii corespunde din punct de vedere al
coerenţei cu strategia celorlalte funcţii ale organizaţiei.
Principii ale AI 1)Independenţa 2)Imparţialitatea
3)Continuitatea 4)Competenţa profesională 5)Exhaustivitatea
 Tipuri de misiuni 1)Misiuni de audit general; 2)Misiuni de audit
cu scop limitat; 3)Misiuni de audit tematic sau transversale;
4)Misiuni de tip flash (scurte); 5)Audit de investigație.
CODUL DEONTOLOGIC Principii fundamentale: • Integritate •
Obiectivitate • Confidențialitate • Competenţa
“Carta auditului garantează statutul şi autoritatea
departamentului de audit intern al băncii”. - obiectivele și sfera de
activitate; - poziția departamentului în cadrul organizatiei, drepturile
și obligațiile sale; - responsabilitățile conducătorului
departamentului de audit intern; - termenii și condițiile în care
auditorii interni pot furniza servicii de consultanţă sau pot îndeplini
sarcini speciale.
Definiţii risc • Ameninţarea că o acţiune sau un eveniment va
afecta în mod nefavorabil abilitatea unei organizaţii de a-şi atinge
obiectivele şi de a-şi executa cu succes strategiile. (Phil Griffiths) •
Posibilitatea sau şansa ca ceva să se întâmple care va avea efect
asupra rezultatelor firmei. (Phil Griffiths)
Risc inerent (risc brut sau total): riscul care există în mod
natural în orice activitate fără măsuri pentru limitarea lui. •
Risc rezidual (risc net): risc după aplicarea măsurilor de
limitare care trebuie acceptat şi supravegheat pentru a se menţine
în limitele apetitului pentru risc.
Apetit pentru risc: nivelul de expunere la risc pe care
organizaţia este dispusă să îl accepte.Riscul rezidual va fi raportat
la acest nivel de toleranţă exprimat prin apetitul la risc.Consiliul de
administraţie poate stabili indicatori cheie de performaţă pentru a
fixa nivelul de risc acceptat.
Procesul de management al riscurilor • Identificarea riscurilor
• Evaluarea riscurilor (pe baza probabilităţii de apariţie şi a
impactului estimat) • Administrarea riscurilor (trebuie să asigure că
toate riscurile sunt sub control) • Verificarea riscurilor: supervizare
a întregului proces de management al riscurilor. Contribuie la
actualizarea strategiei privind managementul riscurilor (ERM).
Vulnerabilitate-antivirus
Amenintare-virus, lipsa de protejare
 Masura de limitare a riscului-achizitia de antivirus,update
Tipuri de riscuri
1. Riscuri strategice (afectează obiectivele pe termen mediu şi
lung). Includ:Riscuri politice (realizarea politicilor guvernamentale)
Riscuri economice Riscuri sociale (determinate de neadaptarea la
schimbările în tendinţele demografice, socioeconomice)
2. Riscuri operaţionale (se includ şi cele IT)Riscuri financiare •
Risc reputaţional (de brand) • Risc de personal
Riscul este o funcţie între probabilitate şi impact
Controlul (tratamentul) riscului
TRANSFER Transferarea/împărţirea responsabilităţii sau
suportării pierderii prin mijloace legale, prin asigurare, joint
ventures sau prin contracte de externalizare. Aceasta implică, de
obicei, un cost sau o plată, pentru acoperirea riscului (plata unei
prime de asigurare).
EVITARE Luarea unei decizii pentru evitarea implicării într-o
situatie riscantă prin evitarea jurisdictiei, refuzarea furnizării
anumitor servicii sau neinvestirea într-o anumită clasă de active.
REDUCERE Eliminarea sursei riscului sau reducerea
probabilitătii apariţiei acestuia (ex. Proceduri pentru asigurarea
calitătii, mentenanţa preventivă, implementarea unor controale
procedurale şi de management) sau
Minimizarea consecintelor riscurilor (ex. Elaborarea unui plan
pentru situaţii neprevăzute, managementul crizelor, condiţii şi
termeni contractuali).
ACCEPTARE Acceptarea riscului sau riscul rezidual rămas
după ce s-a pus în practică unul dintre tratamentele de mai sus.

O acţiune (răuvoitoare sau nu) care afectează securitatea

sistemului exploatând vulnerabilităţile cunoscute sau necunoscute
ale acestuia. Poate fi cauzată de (1) obţinerea accesului
neautorizat la informaţia
stocată, (2) refuz al serviciului (denial of service) pentru utilizatorii
autorizaţi sau (3) introducerea de informaţii false pentru a induce în
eroare utilizatorii sau pentru a cauza funcţionarea
necorespunzătoare a sistemului (spoofing).
VULNERABILITĂŢI Gradul în care sistemele IT sunt
susceptibile la afectare, degradare sau distrugere fiind expuse la
un agent sau factor ostil.
Ameninţări • Dezastre naturale şi politice: foc, inundaţii,
cutremure, războaie etc; • Erori software sau eşecuri hardware:
funcţionare defectuoasă a hardware-ului, lipsă energie electrică. •
Acţiuni neintenţionate: accidente cauzate de neglijenţa umană,
erori umane, erori logice, insuficienta monitorizare a personalului. •
Acţiuni deliberate: sabotaj, fraude, furt etc.
Consecinţele vulnerabilităţilor • Vulnerabilităţi hardware şi
software: erori în procesarea datelor, modificarea datelor sau
distrugerea datelor, distrugerea hardwareului, breşe de securitate.
• Vulnerabilităţi ale stocării datelor: pierderea datelor, pierderea
software-ului. • Vulnerabilităţi ale mediului de comunicaţii :
afectarea procesării datelor în reţea, imposibilitatea efectuării de
tranzacţii online, breşe de securitate.Vulnerabilităţi umane:
administratori, operatori, utilizatori. Vulnerabilităţile umane pot avea
caracter intenţionat sau neintenţionat. • Vulnerabilităţi fizice:
intruziune fizică în arii rezervate sistemelor sensibile (servere) sau
back-up-uri cu intenţia de furt (date, componente hardware,
software).
RM este procesul care permite managerilor IT să asigure un
echilibru între costurile operaţionale şi resursele financiare pentru
măsurile de protectie şi atingerea obiectivelor privind protejarea
datelor şi sistemelor IT care susţin activitatea organizaţiei.
Activităţi specifice pentru fiecare categorie de risc:
1.IDENTIFICARE 2.ANALIZA 3.EVALUAREA IMPACTULUI
4.EVALUAREA VULNERABILITATILOR 5.MONITORIZARE
6.MĂSURI DE LIMITARE
CONSECINTELE RISCURILOR:1.Pierderi financiare
2.Afectarea reputaţiei 3.Afectarea reputaţiei terţilor 4.Pierderea
oportunităţilor de afaceri 5.Reducerea performanţei sistemelor IT şi
a organizaţiei 6.Pericole pentru personal
Top - amenintari interne ale securitatii informatiei
1.Existenta unui cont de user activ care apar ţine unui fost angajat
al companiei; 2.Configurarea gre şită a echipamentelor şi
aplicaţiilor din reţea; 3.Puncte de acces wireless nesecurizate;
4.Noduri de retea cu parole implicite.
Controalele aplicaţiilor trebuie să asigure faptul că:Sunt
introduse în aplicaţii doar date valide, complete şi corecte,
asigurându-se integritatea şi credibilitatea datelor. Procesarea
datelor se desfăşoară corect iar datele din sistem sunt corecte,
relevante, protejate împotriva accesului neautorizat şi disponibile la
nevoie. Ieşirile prelucrărilor sunt corecte răspunzând
specificaţiilor.Se asigură întreţinerea datelor
Impact:mare-cadere de lumina, virus; Mediu-poate..
MAtricea:-cel mia mult ma intereseaza dropta sus(cel mai
ridicat)
Recomandare risc: achiz generator de lumina
Controlae aplicatii: user+parola, control privind validarea
datelor, c preventive si detective
Exemple: control manual-aviz de predare-primire a doc
Control prelucrari-decl TVA, jurnal cump+j vanz sa fie toate
Control intrari:-f de cump+ f de vanz
Control iesiri:-de avut grija unde trimitem, catre ce imprimanta,
anumite doc sa se printeze
Autorizarea intrarilor:-semnatura+stampila, se observa daca
facturile sunt aduse din nou
Total inreg-nr total de pozitii dintr un lot de f sa fie egal cu nr
total de inreg introduse
Tot doc-nr de fact=nr fact introduse
Un program de management efectiv antifraudă cuprinde: •
Politica de etică a companiei • Conştientizarea fraudei: înţelegerea
naturii, cauzelor şi caracteristicile fraudei • Evaluarea riscului de
fraudă, pe tipuri de fraudă • Verificări periodice din partea AI •
Prevenire şi detecţie: eforturi pentru reducerea oportunităţilor,
măsurile coercitive asupra celor care iniţiază astfel de acţiuni. •
Investigarea şi raportarea urmare a suspiciunilor identificate.
 Caracteristici ale “Infractorului cu guler alb” Varsta: 30+ ani
55% barbati, 45% femei Situatie familiala stabila, în aparenţă
Educatie peste nivelul mediu, studii post universitare Putin probabil
sa aibă cazier Sanatos din punct de vedere psihic Ocupant al unei
pozitii de încredere Cunoştinte detaliate despre sistemele
organizatiei şi punctele slabe ale acestor sisteme Experienta în
domeniul financiar / de afaceri
Indicii de fraudă • Comportament sau tranzactii neobisnuite,
suspecte • Statul peste program la serviciu • Posesivitate asupra
propriei munci • Semne de întrebare numeroase din partea ter ţilor
• Impotrivire la ideea de a lua concediu • Stil de viata – pariuri,
jocuri de noroc, un standard ridicat în raport de venituri etc Colegii
pot suspecta o form ă sau alta de activitati neobisnuite /
comportament schimbat.
Plati duplicate catre furnizori (identificate dupa plata/factura,
sume, cod furnizor, nume furnizor, data facturii, numarul facturii etc)
• Achizitii fara dovada ca bunurile au fost receptionate • Facturi
numerotate secvential de la furnizori fara intreruperea seriei de
numere a documentelor • Plati pentru care nu exista factura • Sume
pe facturi imediat sub nivelul de aprobare • Achizitii pentru care nu
exista bon de comanda trimis către furnizor • Mai multi furnizori cu
aceeasi adresa, număr de telefon, sau alte informatii de contact •
Furnizori cu nume similare • Furnizori fără telefon sau persoana de
contact • Listă a achizitiilor care au preturi mai mari decat alte
tranzactii similare • Plăti către furnizori care nu sunt în lista
furnizorilor autorizati (agreaţi)
Auditorii externi • Oferă asigurarea cu privire la faptul că
situaţiile financiare nu conţin erori materiale şi dacă raportările
incorecte conţin erori sau sunt datorate fraudei. • Dacă sunt probe
privind frauda se adresează nivelului de management adecvat.
Dacă managementul este implicat se adresează celor însărcinaţi
cu guvernanţa.
Spălarea banilor: este procesul prin care infractorii încearcă să
ascundă originea şi posesia reală a veniturilor provenind din
activităţile lor ilegale. • Spălarea banilor este un proces prin care se
dă o aparenţă de legalitate unor profituri obţinute ilegal de către
infractori care, fără a fi compromişi, beneficiază ulterior de sumele
obţinute.
 Etapele spălării banilor • 1. Plasarea: In etapa iniţială (de
plasare) infractorul introduce profitul său ilegal în sistemul financiar.
Aceasta se poate face prin împărţirea sumelor mari de numerar în
sume mai mici şi mai puţin suspecte care sunt apoi depozitate
direct într-un cont bancar sau prin cumpărarea unui număr de
instrumente financiare (cecuri, bilete la ordin etc) care sunt apoi
colectate şi depozitate în conturi dintr-o alta locaţie.
2. Stratificarea: • După intrarea fondurilor în sistemul financiar,
are loc a doua etapă - stratificarea. • Reprezintă procesul de
mişcare a banilor între diferite conturi pentru a le ascunde originea.
• In aceasta etapă, se întreprind o serie de preschimbări sau
mişcări ale fondurilor pentru a le îndepărta de sursa din care provin.
• Fondurile pot fi îndreptate către cumpărarea şi vânzarea de
instrumente de investiţii, sau pur si simplu, se trimit fondurile prin
transfer electronic într-o seri e de conturi din diverse bănci de pe
întreg globul.
3. Integrarea: fondurile reintră în circuitu economic legal. Se
investesc fondurile pe piaţa imobiliară, a bunurilor de lux sau a
afacerilor.
Programul de asigurare şi îmbunătăţire a calităţii •
Standardele din grupa 1300 impun CAE să asigure planul de
calitate incluzând atât evaluări interne cât şi externe. • Calitatea în
AI începe cu structura şi organizarea AI, vizează metodologia,
politicile, procedurile, practicile de resurse umane, măsura în care
AI şi-a atins propriile obiective precum şi pe cele ale organizaţiei.
Planul va concluziona asupra: • Conformităţii cu definiţia AI,
codul de etică şi standardele; • Adecvarea cartei, obiectivelor,
politicilor, procedurilor; • Contribuţia la guvernanţă, managementul
riscurilor şi procesele de control; • Completitudinea acoperirii
întregului univers al AI; • Conformitatea cu cadrul de reglementare
şi standardele domeniului în care operează compania; • Riscurile
care afectează activitatea AI; • Eficienţa procesului de îmbunătăţire
continuă a AI şi asimilare a bunelor practici; • Dacă AI a adăugat
valoare, a îmbunătăţit operaţiile din procesele organizaţiei şi a
sprijinit atingerea obiectivelor.
Evaluarea calităţii : monitorizare continuă • Feedback de la
auditaţi şi deţinătorii de interese (management, comitet audit,
consiliul de administraţie); • Evaluarea etapelor premergătoare
auditului: aprobarea scopului, utilizarea de practici inovative,
bugetul de timp alocat misiunii, alocarea membrilor misiunii (în
funcţie de expertiză); • Utilizarea listelor de control pentru a derula
complet etapele prevăzute de proceduri; • Evaluarea alocării şi
utilizării timpului de muncă; • Utilizarea altor metrici de performanţă
ai AI
Autoevaluare periodică • Conformitatea cu carta AI,
procedurile, codul de etică; • Calitatea muncii (în baza
metodologiilor utilizate); • Calitatea supervizării; • Politici şi
proceduri ale AI; • Modul în care AI adaugă valoare; • Atingerea
indicatorilor de performanţă
MISIUNE AUDIT INTERN :
Documentare pentru misiune • Cadrul de
reglementare:legislaţia muncii (Codul Muncii, alte legi) • Cod fiscal •
Regulament de ordine interioară • Organigrama • Fişe de post •
Strategie de personal • Politici de personal, politici de salarizare •
Proceduri interne • Documentarea cu privire la softul folosit etc.
Fixare obiective şi analiza riscurilor • Stabilirea obiectivelor
misiunii. • Pentru fiecare obiectiv se identifică activităţile derulate la
entitatea auditată şi riscurile potenţiale. • Evaluarea riscurilor în
baza estimării elementelor de limitare identificate prin analiza
procedurilor, fluxurilor de documente, fluxuri de prelucrare date etc.
Stabilire echipă misiune • Numirea şefului echipei • Stabilirea
membrilor echipei în funcţie de experienţă şi disponibilitate (ce
misiuni se mai derulează în paralel)
Elaborarea planului misiunii 1. Ce activităţi de vor efectua de
echipa de misiune pentru fiecare obiectiv. 2. Ce teste se
efectuează 1 şi 2 se înscriu în fişele de lucru unde ulterior, pe
măsura realizării misiunii, se înscriu rezultatele activităţilor/testelor
derulate • Cine va efectua şi câte ore se alocă pe fiecare activitate
Realizarea misiunii- Colectarea datelor • Interviuri şi/sau
chestionare • Observare directă • Participare directă la activităţi
zilnice • Consultare documente • Analiză rapoarte • Teste şi
evaluări privind produsele software utilizate etc. Înscrierea
rezultatelor, evaluărilor, problemelor identificate în fişele de lucru şi
fişele de identificare a problemelor.
 Obiectiv:Concedii de odihnă • Planificarea (conform Codului
muncii se face până la sfârşit de an pentru anul viitor) • Concediile
de odihnă neefectuate se planifică în următoarele 18 luni începând
cu anul următor • Verificarea corectitudinii stabilirii nr. de zile de
concediu • Evidenţa zilelor de concediu efectuate
Redactarea raportului • Se procedează la redactarea raportului
• Raportul se trimite managerului departamentului HR. Acesta
poate insera comentarii. • Are loc discutarea raportului cu
managerul departamentului HR • Finalizarea raportului. Sinteza
raportului/raportul se trimite pe verticala ierarhică (conform
organigramei) • Raportul se discută cu membrii comitetului de audit