Auditul controalelor generale și de aplicații (pe achiziții)

SC ASIC SRL are a obiect de activitate producția de mobilă pentru bucătării și comerț cu ridicata cu mobilă și articole
electrice.

Aspecte privind mediul IT și controalele generale.

1. Echipamente și aplicații. Entitatea dispune de o rețea locală cu 7 PC, 5 imprimante, 2 copiatoare.
Configurațiile PC-urilor sunt recente (2020). Acestea sunt legate în rețea cu ajutorul unui server și un swich.
Serverul este instalat în biroul contabilei-șef. Informații privind aplicațiile folosite: sistem de operare
Windows 10, Office 2020, SACA C. 3.0, alte aplicații instalate de angajați.
2. Securitatea sistemelor IT. La nivelul entității există un angajat cu atribuții în domeniul securității IT. Acesta
este responsabil cu alocarea, actualizarea, modificarea și retragerea datelor de autentificare la nivel de PC.
Procedurile interne cer ca parolele utilizatorilor să fie schimbate odată la trei luni și să fie din cel puțin 6
caractere din care: 1 caracter special, un caracter numeric. La nivelul aplicației contabile, contabilul șef alocă
datele de autentificare și drepturile utilizatorilor.
3. Refacerea în caz de dezastru. Întreținererea sistemului informațional al entității este asigurat de societatea
care a furnizat societății aplicația de contabilitate. Prin contract se stabilește că intervențiile solicitate se
efectuează în intervalul 9-13. În afara acestui interval, sesizările se trimit pe email. Programul de muncă este
de la 9 la 17. Procedurile interne ale societății prevăd salvarea periodică a: programului de contabilitate, a
folderelor cu fișiere ce au legătură cu domeniul financiar-contabil.

La nivelul entității se utilizeaza ca și aplicație de contabilitate SAGA. Utilizatorii acesteia sunt:

- Marius Popescu (utilizator: ACHIZ, parola Cump@r2) de la Departamentul achiziții. Dl Popescu are ca și
atribuții:
o 1) gestionarea comenzilor, cererilor de achiziții de la celelalte departamente;
o 2) contactarea furnizorilor;
o 3) negocierea și semnarea contractelor;

- Ionela Ionescu (utilizator: VANZ, parola V!nd3m) de la Departamentul vânzări. Dna Ionescu are ca și atribuții:
o 1) gestionarea comenzilor plasate de către clienți;
o 2) actualizarea listei clienților și a contractelor cu aceștia;
o 3)

- Petronela Pop (utilizator: CONTAB, parola: C0nt@b) de la Departamentul contabilitate. Dna Pop are ca și
atribuții:
o 1) înregistrarea în contabilitatea a documenteleor financiar-contabile;
o 2) sa sorteze documentele pentru arhivare ale firmei/ clientilor;
o 3) sa analizeze contabil documentele primare colectate ale firmei/clientilor;
o 4) sa completeze registrele contabile ale firmei/ clientilor.
- Maria Șefinschi (utilizator: ADMIN, parola: maria) Director financiar. Dna Șefinschi are ca și atribuții:
o 1) configurarea aplicației;
o 2) supervizarea departamentului de contabilitate;
o 3) validarea operațiunilor înregistrate în aplicație;
o 4) întocmirea statelor de plată.
Achizițiile entității se fac doar de la furnizori cu care entitatea are contracte încheiate.

Ecran de configurare a utilizatorilor (useri). În concepţia programului există urmatoarele tipuri de utilizatori:
1. Admin - acces la totate optiunile din program.
2. Standard - acces în functie de drepturile setate, mai putin operarea pe luni închise.
3. Operare - acces în functie de drepturile setate, mai putin  operarea pe luni închise, tiparirea facturilor nevalidate si vizualizare
adaos comercial.
4. Vanzare - acces în functie de drepturile setate, mai putin operarea pe luni închise, tiparirea facturilor nevalidate, vizualizare
adaos comercial si modificari de preturi de vânzare.
5. Oaspete - acces în functie de drepturile setate, mai putin cele de operare.
6. Agent - utilizator similar cu tipul "Vanzare", care va avea acces doar la clientii, furnizorii si facturile introduse de acesta. Este
necesar ca agentul sa fie introdus în ecranul "Agenti" cu aceeasi serie si numar de CI.

Programul vine cu utilizatorul ADMIN de tip Admin, creat implicit.

Drepturile utilizatorilor
Acestea se pot cataloga astfel:
- drept de acces la firme
- drept de efectuare operaţii
- drepturi de acces la opţiunile meniurilor

La crearea unui user normal, acesta are toate drepturile de operare, acces la meniuri şi la societăţi.
Utilizatorii care nu sunt de tip "Admin", vor avea restricţionat accesul la:
- operarea şi/sau modificarea, ştergerea datelor pentru o perioadă închisă
- devalidarea unei luni închise
- ecranul de configurare utilizatori

În mod curent, la crearea unui utilizator, acestuia nu i se setează parolă implicită.

Fiecărui utilizator i se poate defini câte o parolă pe care o va folosi la intrarea în program.
Pentru a defini sau a schimba o parolă se procedează astfel:
1. se poziţionează cursorul pe câmpul Parola actuală
2a. dacă nu există definită parolă pentru utilizatorul curent, se apasă tasta TAB pentru poziţionarea cursorului pe câmpul Parola
nouă, se completează în acest câmp parola dorită pentru utilizatorul respectiv se apasă TAB şi se reintroduce parola, pentru
confirmare, în câmpul Repetare parolă
2b. dacă există deja definită o parolă pentru utilizatorul selectat şi se doreşte modificarea acesteia, se introduce în câmpul Parola
actuală, parola curentă, se apasă TAB şi se completează datele din câmpurile Parola nouă şi Repetare parolă cu parola nouă.
Trecerea de la un câmp la altul se va face utilizând tasta TAB.

Butonul "Jurnal operatii" permite vizualizarea listei operatiilor de adaugare, modificare, stergere, validare si devalidare aferenta
utilizatorului curent, precum si data/ora la care au avut loc operatiile.
La utilizatorii  de tip "Admin", apasarea tastei "INS" cand cursorul este pe un document va afisa istoricul operatiilor efectuate
asupra acestuia. 

1. Controale generale
1.1 Securitatea sistemului ID
Mecanism de control intern
Fiecare utilizator are user şi
parolă proprie cu care accesează
aplicaţia
Parole sunt confidenţiale şi nu
pot fi vizualizate la tastare
Fiecare utilizator are drepturi de
acces/operaţii delimitate în
funcţie de fişa postului şi nevoile
de informaţii ale acestora
Operaţiunile efectuate de
utilizatori pot fi verificate
1.2 Refacerea în caz de dezastru.
Aplicaţia permite salvarea datelor
într-o altă locaţie (OBS. teoretic
ar trebui să existe o procedură
scrisă în acest sens şi ar trebui să
se stabilească dacă aceasta se
aplică sau nu)
2. Controale de aplicaţii
2.1 Controlul datelor de intrare
OBIECTIVE: Fiecare operaţiune
este autorizată, completă, exactă,
oportună şi înregistrată o singură
dată.
Testarea controalelor generale și a controalelor de aplicații pentru achiziții
Test al mecanismului de control
intern
1.1a. Verificaţi dacă fiecare
utilizator are user şi parolă proprie
cu care accesează aplicaţia SAGA
1.1.b Verificaţi dacă parolele sunt
vizibile la tastare
1.1.c Verificaţi dacă drepturile de
acces/operaţii sunt delimitate pe
utilizatori
1.1.d Stabiliţi dacă aplicaţia SAGA
permite urmărirea
modificărilor/operaţiunilor de către
utilizatori (log/activity file)
1.2.a Stabiliţi dacă aplicaţia SAGA
permite arhivarea datelor
2.1.a Iniţiaţi o nouă înregistrare.
Stabiliţi dacă aplicaţia oferă mesaje
de informare/eroare în situaţia în
care câmpurile importante nu sunt
completate
Explicaţii, detalii Constatări
Intraţi în aplicaţia SAGA cu utilizatorul ADMIN. Da, se pot defini parole pentru fiecare utilizator
Accesaţi meniul Administrare, opţiunea
Utilizatori şi stabiliţi dacă se pot defini parole
pentru fiecare utilizator (Nu uitaţi să ţineţi minte
parolele )
La accesarea aplicaţiei tastaţi un şir de caractere
în câmpul <Parola> şi stabiliţi dacă aceasta e
vizibilă
Intraţi în aplicaţia SAGA cu utilizatorul ADMIN.
Accesaţi meniul Administrare, opţiunea
Utilizatori şi stabiliţi dacă există o limitare a
drepturilor pentru fiecare utilizator. Intraţi în
aplicaţie cu fiecare utilizator şi verificaţi dacă
limitările existente sunt funcţionale
Accesaţi meniul Administrare, opţiunea
Utilizatori şi accesaţi Jurnalul de operaţii
(dreapta-sus). Stabiliţi dacă există înregistrări
privind operaţiile înregistrate de fiecare utilizator
Accesaţi meniul Administrare, opţiunea
<Întreţinere BD> [Baza de Date] şi iniţiaţi o
salvare a datelor. Stabiliţi dacă aplicaţia permite
salvarea datelor într-o locaţie diferită de
directorul aplicaţiei
Intraţi în meniul Operaţii -> Intrări.
Stabiliţi dacă se poate iniţia o intrare dacă
câmpurile <Nr.doc>, <Data>, <Denumire
furnizor> , <Denumire articol> nu sunt
completate sau sunt completate eronat şi dacă se
permite continuarea înregistrării.
 2.1.b Stabiliţi dacă se poate iniţia o
achiziţie:
- de la un furnizor nou fără
definirea acestuia;
- de articole de bunuri fără a le
defini;
- de bunuri cu preţuri unitare
negative
2.1.c Stabiliţi dacă se poate iniţia o
achiziţie cu o cotă de TVA diferită
de cele uzuale (19, 9, 5, 0)
2.1.d Stabiliţi dacă se pot face
înregistrări în perioade anterioare.
2.1.e Stabiliţi dacă validarea
înregistrării se face numai după
completarea câmpurilor
importante: nr.doc, data, furnizor,
denumire bunuri, cantitate, preţ
unitar, TVA.
2.1.f Stabiliţi dacă se pot realiza
înregistrări cu acelaşi nr. de doc de
la acelaşi furnizor.
2.2 Controlul prelucrării datelor
Intraţi în meniul Operaţii -> Intrări.
1. Stabiliţi dacă se poate iniţia o achiziţie de la un
furnizor inexistent (ex FZ TEST SRL) fără definirea
acestuia.
2. Stabiliţi dacă în a doua zonă de lucru se pot
introduce bunuri noi (ex BUN TEST) fără definirea
acestuia
3. Stabiliţi dacă aplicaţie dă mesaj de eroare dacă
introduceţi preţuri unitare negative în câmpul
Preț unitar
Intraţi în meniul Operaţii -> Intrări.
Iniţiaţi o achiziţie nouă de la un fz fictiv de bunuri
fictive şi înlocuiţi cota de TVA de 19% cu un
procent diferit (ex.24). Stabiliţi dacă aplicaţia
permite validarea înregistrării şi dacă da ce
efecte produce.
Intraţi în meniul Operaţii -> Intrări.
Iniţiaţi o nouă achiziţie de la un fz fictiv şi
introduceţi în câmpul Data o dată din Februarie
sau Decembrie. Stabiliţi dacă aplicaţia permite
validarea înregistrării şi dacă da ce efecte
produce
Intraţi în meniul Operaţii -> Intrări.
Iniţiaţi o nouă achiziţie de la un fz fictiv de bunuri
fictive şi completaţi cu date corecte câmpurile
indicate. Validaţi operaţiunea (stânga-jos) şi
stabiliţi dacă se generează nota contabilă.
Iniţiaţi o nouă achiziţie de la fz fictiv de bunuri
fictive, completaţi eronat o parte din câmpuri şi
stabiliţi ce efect are validarea operaţiunii dpdv
contabil.
Iniţiaţi o achiziţie cu datele ultimei achiziţii valide.
Stabiliţi dacă se permite validarea. Exportaţi lista
achiziţiilor (Operaţii -> Intrări) şi căutaţi valori
duplicate în coloana <nr_intrare>
OBIECTIVE: Controalele
prelucrărilor efectuate asigură
exhaustivitatea şi acurateţea
datelor
Pentru fiecare obiectiv sau test al mecanismului de control indicaţi şi alte metode/teste pe care auditorul le-ar putea face pentru a obţine probe suficiente.
Cum aţi caracteriza controalele de aplicaţie din cadrul aplicaţiei SAGA în relaţie cu un posibil sistem de control intern la o entitate.
2.2.a Fiecare furnizor are alocat un
cont analitic unic.
2.2.b Fiecare articol are alocat un
cod unic
2.2.c Fiecare articol este alocat pe
contul corespunzător
2.2.d Scadenţele sunt corect
calculate
2.2.e Calculele matematice sunt
corecte
2.2.f Intrările sunt corect preluate
în situaţiile sintetice
Exportaţi într-un fişier Excel lista furnizorilor
(Fişiere -> Furnizori) şi verificaţi existenţa şi
unicitatea fiecărui cont analitic.
Existenţa o verificaţi prin vizualizare sau filtrare
(În Excel: selectaţi capul de tabel şi mergeţi în:
Data -> Filter, alegeţi blanks pe coloana
<analitic>– dacă se poate).
Unicitatea prin căutarea după valori duplicat (În
Excel selectaţi coloana <analitic>, mergeţi în
meniul Home -> Conditional Formatting ->
Highlight Cells Rules -> Duplicate values).
Exportaţi într-un fişier Excel lista articolelor
(Fişiere-> Articole). Verificaţi existenţa şi
unicitatea fiecărui cont analitic.
Existenţa o verificaţi prin vizualizare sau filtrare
(În Excel : selectaţi capul de tabel şi mergeţi în:
Data -> Filter, alegeţi blanks pe coloana <cod>–
dacă se poate).
Unicitatea prin căutarea după valori duplicat (În
Excel selectaţi coloana <cod>, mergeţi în meniul
Home -> Conditional Formatting -> Highlight Cells
Rules -> Duplicate values).
Exportaţi Situaţia aprovizionărilor (Situaţii-Listări
-> Situaţie aprovizionări) şi stabiliţi dacă articolele
achiziţionate au fost alocate corect pe conturi
sintetice
Exportaţi lista intrărilor şi stabiliţi (prin diferenţă)
numărul de zile între <data> şi <scadent>.
Comparaţi valoarea obţinută cu scadenţa din
facturi (atenţie la Smb şi Dum)
Exportaţi Situaţia aprovizionărilor (Situaţii-Listări
-> Situaţie aprovizionări) şi refaceţi calculele
matematice (Preţ x Cantitate = Val x %TVA)
Exportaţi lista intrărilor şi stabiliţi totalul pentru
coloanele: <baza_TVA>, <TVA> şi <total>.
Comparaţi valoarea <baza_TVA> cu totalul din
Situaţia aprovizionărilor (Situaţii-Listări ->Situaţia
aprovizionărilor). Comparaţi valoarea <TVA> şi
<total> cu jurnalul de cumpărări şi Situaţia
furnizorilor (coloana Total intrări cu <total>)