.........3 PREZENTAREA GENERAL A INSTITUIEI.....4 1.1. Scurt istoric al instituiei...4 1.2. Structura organizatoric i funcional5 1.3.

Cadrul normativ care reglementeaz activitatea instituiei...8

CADRUL GENERAL AL AUDITULUI INTERN..9 2.1. Definiia, rolul i obiectivele auditului intern....9 2.2. Aspecte legale i organizatorice privind auditul intern.5 2.3. Domeniul de aplicare i caracteristicile auditului intern.19

DERULAREA UNEI MISIUNI DE AUDIT....23 3.1. Pregtirea misiunii de audit audit public intern.24 3.1.1. Iniierea auditului...................................................................................................................24 3.1.2. Colectarea i prelucrarea informaiilor...25 3.1.3. Analiza riscurilor........28 3.1.4. Elaborarea programului misiunii de audit public intern.........................................................32 3.1.5. Deschiderea interveniei la faa locului..................................................................................33 3.2. Desfurarea propiu-zis a auditului......................................................................................33 3.2.1. Colectarea dovezilor i utilizarea instrumentelor

aplicabile...................................................33 3.2.2. edina de nchidere...............................................................................................................35 3.3. Raportarea...............................................................................................................................35 3.3.1. Elaborarea proiectului de Raport de audit public intern........................................................35 3.3.2. Reuniunea de conciliere.........................................................................................................37 3.3.3. Difuzarea Raportului de audit public intern (Raport final)...37 3.3.4. Urmrirea recomandrilor..37 CONCLUZII ..38

BIBLIOGRAFIE....40 Lucrul cel mai important nu este numrul de idei adunate n mintea ta,ci legtura care le unete. TITU MAIORESCU

INTRODUCERE
ntro economie global i bazat pe cunotine, n care informaia reprezint al doilea factor important dup resursele umane, auditul i controlul sistemelor informaionale devine din ce n ce mai important, ca urmare a impactului competitive pe care l are tehnologia informaiei asupra mediului de afaceri. Mediul economic, tehnologia, se afl n continu schimbare. Ceea ce a fost valabil ieri, poate fi depit mine. n consecin, meninerea echilibrului necesit permanente aciuni corective. Auditorul viitorului se va confrunta i n multe cazuri deja se confrunt, cu competiia agenilor fiscali, consultanilor de afaceri, contabililor necalificai, analitilor financiari i a diverilor ali consultani. De aceea auditorii trebuie s se axeze pe punctele lor tari tradiionale, precum independena i grija pentru interesul public, prin migrarea ctre activiti cu o valoare adugat nalt, urmrind s-i dezvolte cunotinele printr-o perfecionare continu. Orice profesie, i cea de auditor, are drept caracteristic fundamental acceptarea responsabilitii acesteia fa de public. Interesul public reprezint binele comunitii de indivizi i instituii pe care o deservete un auditor profesionist. Funcia de auditor intern are o apariie relativ recent n viaa unei ntreprinderi sau instituii. Apariia auditorilor interni a fost generat de criza economic din anul 1929 din S.U.A., care n perioada crizei au cptat cunotine necesare, i au fost folosii i n continuare. Dei ei au lrgit puin cte puin domeniul de aplicare, funcia de audit intern este nc la primii ei pai, astfel c doar ncepnd cu anii 80 originalitatea i particularitile auditului intern se contureaz cu adevrat. Se poate spune, Auditorul intern nu este cineva care face lucrurile, ci este cineva care privete cum sunt fcute aceste lucruri.

Potrivit legislaiei actuale privind auditul public intern, definete la art.2, activitatea de audit intern ca fiind activitatea funcional independent i obiectiv, care d asigurri i consiliere conducerii pentru buna administrare a veniturilor i cheltuielilor publice, perfecionnd activitile entitii publice; ajut entitatea public s i ndeplineasc obiectivele printr-o abordare sistematic i metodic, care evalueaz i mbuntete eficiena i eficacitatea sistemului de conducere bazat pe gestiunea riscului, a controlului i a proceselor de administrare1. Aceast definiie stabilete cteva trsturi caracteristice auditului public intern, care se pot enuna astfel: a) Auditul public intern este o activitate desfurat n cadrul entitilor publice2. Fiind o activitate desfurat la nivelul sectorului administraie public, aceasta este reglementat pe baza legilor i normelor elaborate de Ministerul Finanelor Publice. Normele elaborate au caracter general, fiecare sector de activitate avnd obligaia s-i elaboreze norme proprii n funcie de specificul activitii. b) Auditul public intern este o activitate independent. Activitatea de audit trebuie s fie independent, iar auditorii interni trebuie s fie obiectivi n realizarea sarcinilor lor. Aceste trsturi reies din standardele elaborate de I.I.A. i se refer la independena organizaional (auditorul intern raporteaz la cel mai nalt nivel de conducere al entitii). Aceast activitate este asigurat de persoane care au calitatea de angajai ai instituiei la care efectueaz auditul, ns pentru a li se asigura independena, acetia sunt organizai la nivelul unui serviciu funcional aflat n subordinea direct a conductorului instituiei publice, iar angajarea sau destituirea acestor persoane se face numai cu acordul efului compartimentului de audit de la instituia superioar sau aflat n coordonare. c) Auditul public intern este o activitate obiectiv. Obiectivitatea acestei activiti decurge din faptul c auditorul este o persoan cu un nalt grad de pregtire profesional i calitatea de auditor i confer un grad sporit de independen fa de conducerea instituiei. n sprijinul obiectivitii activitii vine i Norma de audit nr.1120- Obiectivitatea individual, care arat c auditorii

***Legea nr. 672/2002 privind auditul public intern, publicat n Monitorul Oficial nr. 953 din 24.12.2002, art. 1 i 2. ***Entitile publice cuprind autoritile publice, instituiile publice, companiile/societile naionale, regiile autonome, societile

comerciale la care statul sau o unitate administrativ-teritorial este acionar majoritar.

interni trebuie s aib o atitudine imparial lipsit de prejudeci i s evite conflictele de interese3. Auditorii interni trebuie s evite s evalueze anumite operaiuni de care au fost responsabili n trecut. Obiectivitatea unui auditor este considerat a fi afectat atunci cnd acesta realizeaz o misiune de asigurare pentru o activitate pentru care a fost responsabil n cursul anului precedent. d) Auditul public intern d asigurri i consiliere conducerii pentru buna administrare a veniturilor i cheltuielilor publice. Aceast trstur decurge din faptul c auditorii interni dau dovad de obiectivitate profesional, colectnd, evalund i comunicnd informaii legate de activitatea sau procesul examinat. Activitatea de audit intern are ca scop principal informarea managerului n vederea administrrii mai eficiente a activitii entitii. Auditorul are un rol de consiliere, acesta informnd responsabilii departamentelor i conductorul unitii de deficienele constatate n diversele activiti auditate n scopul corectrii acestor deficiene. Deci auditorul intern are rolul de a consilia, a asista sau a recomanda i n nici un caz de a folosi msuri coercitive n vederea remedierii deficienelor. Nu trebuie s confundm auditul public intern, care este o funcie a conducerii, cu sistemul de control intern, care este un proces prin care conducerea controleaz cum se ndeplinesc obiectivele stabilite. Auditul public intern este o funcie a conducerii la nivelurile unde este organizat, iar sistemul de control intern este un proces prin care conducerea instituiei publice respective controleaz modul cum se ndeplinesc obiectivele stabilite. Sistemul de control intern constituie obiectiv de analiz i evaluare pentru auditul public intern la toate nivelurile. Obiectivele serviciului de audit public intern, aa cum sunt reglementate n lege4sunt:a) asigurarea obiectiv i consilierea destinate s mbunteasc sistemele i activitile entitii publice;b) sprijinirea ndeplinirii obiectivelor entitii publice printr-o abordare sistematic i metodic prin care se evalueaz i se mbuntete eficacitatea sistemului de conducere bazat pe gestiunea riscului, a controlului i a proceselor administrrii. Printr-o abordare mai larg, obiectivele serviciului de audit public intern se pot definii astfel: - ajut entitate public prin opiniile i recomandrile auditorilor interni; - asigur o mai bun gestionare a riscurilor; - asigur o mai bun administrare i pstrare a patrimoniului; - asigur o mai bun monitorizare a conformitii activitii entitii publice cu regulile i procedurile existente; - asigur o eviden contabil i un management informatic fiabil i corect;

***Norme profesionale ale auditului intern, Ministerul Finanelor Publice i Institut de lAudit Interne (IFACI) ***Legea nr. 672/2002, privind auditul public intern, publicat n Monitorul Oficial nr. 953 din 24.12.2002, art. 3.

- mbuntesc calitatea managementului, a controlului i auditului intern; - mbuntesc eficiena i eficacitate operaiunilor. Pentru realizarea obiectivelor trebuie s se asigure un echilibru ntre sarcini, competene, responsabiliti i s se defineasc proceduri. Procedurile reprezint paii ce trebuie urmai i cuprind algoritmul pentru realizarea sarcinilor, exercitarea competenelor, existena activitilor de control n punctele cheie i angajarea responsabilitilor. Pe baza procedurilor, se monitorizeaz existena i funcionalitatea controlului intern, ceea ce ne va da posibilitatea s constatm dac: este integrat n sistemul de management al fiecrei componente structurale a entitii publice; intr n grija personalului de la toate nivelurile; ofer o asigurare rezonabil atingerii obiectivelor, ncepnd cu cele individuale i terminnd cu cele generale. n practic, exist dou categorii de proceduri: - procedurile generale date de cadrul normativ, respectiv de legi, norme metodologice, precizri/instruciuni, elaborate de entitatea public, n vederea organizrii aplicrii unor reglementri de rang superior, aprobate de conductorul entitii publice sau chiar de guvern; - proceduri specifice pentru fiecare activitate a entitii publice sub forma metodologilor de lucru, care trebuie s fie: a) scrise i formalizate pe suport de hrtie i/sau electronic, care s conin pe fluxurilor operaiilor, activiti de control, responsabiliti, modele de documente cu exemplificri, respectiv formalizate, cunotinele individuale i colective care trebuie stocate i puse n ordinea care s corespund scopurilor entitii publice i aprobate de management; b) simple i specifice, pentru ca executanii s le poat utiliza, cu respectarea cadrului normativ, pentru fiecare domeniu al entitii publice; c) completate i actualizate n mod permanent, n funcie de evoluia reglementrilor i practicii n materie; d) aduse la cunotina executanilor pentru a fi discutate, nsuite i aplicabile n mod uniform. Potrivit organigramei Ministerului Agriculturii, Alimentaiei i Pdurilor aprobat prin Hotrrea Guvernului5, Direcia Audit Public Intern a fost conceput ca o structur distinct i independent subordonat nemijlocit ministrului, ceea ce corespunde prevederilor legii6. n sfera de activitate a auditului public intern organizat i exercitat la nivelul Ministerului Agriculturii, Alimentaiei i Pdurilor sunt incluse toate direciile din minister i instituiile publice

*** prin anex la H.G. nr. 362/2002 privind organizarea i funcionarea Ministerului Agriculturii, Alimentaiei i Pdurilor. *** Legea nr. 672/2002 privind auditul public intern, publicat n Monitorul Oficial nr.953/24.12.2002, art.10, alin.1.

subordonate. Auditul public intern nu este responsabil de nici o activitate sau procedur care va face ulterior obiectul de activitate al auditului public intern. n acelai timp, membrii direciei de audit public intern nu contribuie sub nici o form la elaborarea unui act normativ, operaiuni sau proceduri care ulterior vor fi auditate, nu se implic n nici o activitate intern a vreunei instituii publice subordonate Ministerului Agriculturii, Alimentaiei i Pdurilor. Pentru aciunile lor ntreprinse cu bun-credin n exerciiul atribuiilor i n limita acestora, auditorii publici interni nu pot fi sancionai sau trecui n alt funcie. Acestea reprezint condiii minime pentru asigurarea independenei auditului public intern. Obiectivele misiunii de audit public intern sunt: - asigurarea conformitii procedurilor i operaiunilor cu normele juridice auditul de regularitate; - evaluarea rezultatelor privind obiectivele urmrite i examinarea impactului efectiv auditul de performan; De remarcat este faptul c, nsi construcia i execuia bugetului de stat consolidat, se bazeaz, n prezent ntro msur semnificativ, pe metoda numit buget pe programe, care const n alocarea unor sume de bani (alocaii bugetare) pentru un proiect/program concret, cuantificate cu ajutorul indicatorilor de performan. Obiectivul general al unui audit este acela de a furniza asigurarea c procedurile examinate sunt complete i ntocmite cu acuratee, iar operaiile s-au efectuat n conformitate cu legile i reglementrile relevante n vigoare. Identificarea obiectelor auditabile se realizeaz n 3 faze: - detalierea fiecrei activiti n operaii succesive descriind procesul de la realizarea acestei activiti pn la nregistrarea ei (circuitul auditului); - definirea pentru fiecare operaiune n parte a condiiilor pe care trebuie s le ndeplineasc din punct de vedere al controalelor specifice i al riscurilor aferente (ce trebuie evitat); - determinarea modalitilor de funcionare necesare pentru ca entitatea s ating obiectivul i s n definirea tipurilor de audit public intern se arat: a) auditul de sistem reprezint o evaluare de profunzime a sistemelor de conducere i control intern, cu scopul de a stabili dac acestea funcioneaz economic, eficace i eficient pentru identificarea deficienelor i formularea de recomandri pentru corectarea acestora; b) auditul performanei examineaz dac criteriile stabilite pentru implementarea obiectivelor i sarcinilor entitii publice sunt corecte pentru evaluarea rezultatelor i apreciaz dac rezultatele sunt conforme cu obiectivele;

c) auditul de regularitate reprezint examinarea aciunilor asupra efectelor financiare pe seama fondurilor publice sau a patrimoniului public, sub aspectul respectrii ansamblului principiilor, regulilor procedurale i metodologice care le sunt aplicabile. Standardele INTOSAI stabilesc c auditul performanei este: a) auditul economicitii activitilor administrative n raport cu principiile i practicile unui management performant; b) auditul eficienei utilizrii resurselor umane, financiare, a altor resurse, incluznd examinarea sistemelor informaionale, a modului de msurare i urmrire a indicatorilor de performan, precum i a procedurilor urmate de entitatea auditat pentru remedierea deficienelor identificate; c) auditul eficacitii performanei referitoare la ndeplinirea obiectivelor entitii auditate i auditul impactului efectiv al activitii entitii n comparaie cu impactul planificat al acesteia. Se consider c un audit al performanei este un audit al economicitii, eficienei i eficacitii, o combinaie a dou dintre acestea sau poate fi un audit complet ce nglobeaz toate cele trei componente. Auditul performanei analizeaz dac banii publici au fost bine cheltuii, examinndu-se n principal msurile ntreprinse de entitile auditate cu privire la respectarea principiilor economicitii, eficienei i eficacitii. Acest tip de audit solicit adesea auditorului examinarea rezultatelor din punct de vedere al celor 3E, folosind raionamentul su profesional. Msurarea performanei rezultatelor n raport cu obiectivele propuse n concordan cu cei 3E constituie o necesitate pentru managerii de la toate nivelele. ntrebrile de baz la care ncearc s rspund auditul performanei sunt: - s-a lucrat n mod corect? s-a fcut ceea ce trebuia? La prima ntrebare auditorul urmrete s cunoasc dac executivul a respectat reglementrile i cerinele strategiei stabilite sau opereaz n concordan cu buna practic n domeniu. Sfera de examinare a auditorilor se extinde dac se continu cu a doua ntrebare, respectiv dac s-a fcut ceea ce trebuia sau altfel spus, dac au fost ntreprinse msurile stabilite. Auditorul performanei poate de fapt, s constate c una din msurile alese, este ineficient. Auditorul verific dac un angajament public este n totalitate fezabil, ns va trebui totui s fie precaut i s nu-i depeasc mandatul i obiectivele stabilite prin extinderea procedurilor de examinare n zona politicului. n realizarea auditului eficacitii unei activiti, entiti, auditorul, prin examinrile sale, ncearc s gseasc rspunsuri la urmtoarele ntrebri: - sunt atinse obiectivele de politic managerial cu mijloacele utilizate, respectiv sunt obinute rezultatele programate? - mijloacele utilizate i rezultatele obinute sunt compatibile cu obiectivele politicii manageriale? - reprezint impactul programat un rezultat direct al politicii manageriale i nu unul datorat altor circumstane? Pentru a aprecia msura n care obiectivele au fost atinse, ntrebrile auditorului trebuie s fie

formulate ntro manier care s permit obinerea de rspunsuri utile realizrii unei evaluri ct mai pertinente. Auditul de regularitate sau de conformitate, const n examinarea aciunilor asupra efectelor financiare pe seama fondurilor publice sau a patrimoniului public, sub aspectul respectrii ansamblului principiilor, regulilor procedurale i metodologice, conform normelor legale. Auditul de regularitate compar regula cu realitatea, ceea ce ar trebui s fie cu ceea ce este, pe baza unui sistem de referine. Regularitatea se observ n raport cu regulile interne ale entitii, iar conformitatea se stabilete n raport cu dispoziiile legale i reglementate. n ambele cazuri se compar realitatea cu sistemul de referin propus. Auditul de regularitate parcurge urmtoarea filier: - informarea cu privire la ceea ce ar trebui s fie; - semnalarea dezechilibrelor, a aplicaiilor care nu s-au efectuat, a interpretrilor greite a dispoziiilor stabilite; - analiza cauzelor i consecinelor; - recomandarea a ceea ce trebuie fcut pentru ca pe viitor s fie aplicate regulile; - raportarea rezultatelor celui auditat. Auditul de sistem prezint o evaluare de profunzime a sistemelor de conducere i control intern, cu scopul de a stabili dac acestea funcioneaz economic, eficace i eficient, pentru identificarea deficienelor i formularea de recomandri pentru corectarea acestora. Aflat pe treapta superioar a evoluiei auditului intern, auditul de sistem reprezint o confruntare ntre politicile i strategiile entitii pentru verificarea coerenei globale a sistemului. Auditul de sistem fiind un audit care vizeaz analiza riscurilor prezint urmtoarele caracteristici: - este potrivit entitilor care au atins un nivel foarte matur al gestionrii riscurilor; - este ceea ce se dorete i n Romnia; - nu este principalul punct de interes al actualei legi a auditului intern; - preia un risc major deja identificat; - auditeaz ct de bine este gestionat acest risc de ctre organizaie;

Activitatea de audit intern se desfoar pe baza unui cadru metodologic general care a fost elaborat n conformitate cu standardele de audit intern i buna practic internaional recunoscut n domeniu. Acesta cuprinde: normele aplicabile compartimentului de audit intern i auditorilor interni (normele de calificare i normelor de funcionare) i prezint n detaliu sistemul derulrii misiunilor de audit intern, astfel nct auditorii s aib la dispoziie un ndrumar complet pentru activitatea desfurat. Pe baza acestui cadru metodologic general, entitile din sistemul public i-au dezvoltat

propriile metodologii de audit intern dup care i desfoar activitatea, necesitate derivat din caracterul de independen profesional a auditorilor interni n exercitarea funciei. De asemenea, pentru auditarea corespunztoare a fondurilor europene trebuie elaborate norme specifice, ca cerin a trecerii la utilizarea fondurilor n sistem descentralizat. Pregtirea unui plan de sarcini de audit este vital, ca faz n procesul de auditare. Auditarea implic colectarea i analizarea unor informaii suficiente spre a se ajunge la concluzii vitale. Resursele disponibile pentru acest proces sunt totdeauna limitate. Elaborarea planului de auditare este motorul necesar spre a reconcilia activitatea de controale ce trebuie efectuate, cu resursele disponibile pentru ndeplinirea lor. Un bun plan de audit este unul care, implementat n mod adecvat, prezint probabilitatea maxim de ndeplinire a obiectivului auditrii, respectndu-se resursele disponibile i cu o minim alocare de resurse pentru acele sarcini din plan care se dovedesc, pe parcurs, ca fiind necesare. Pregtirea unui plan de sarcini de audit trebuie s ia n considerare riscul i materialitatea, bazat pe nelegerea structurii organizaionale a instituiei sau domeniului auditat, a programelor i activitilor sale precum i a mediului informatic n care funcioneaz acesta. Planul trebuie s stabileasc cum i cnd va avea loc controlul i ct de multe informaii necesare pentru auditare sunt obinute pentru a fundamenta concluziile i recomandrile n urma auditului. Un plan de audit trebuie s cuprind urmtoarele elemente7: 1. Cadrul legal de efectuare al auditrii; 2. Scurt descriere a activitii, programului sau a organizaiei auditate, incluznd i rezultatele auditrilor din anii precedeni, precum i impactul acestora; 3. Motivele pentru care se face auditul; 4. Factorii care influeneaz procesul de audit, mai ales restriciile de resurse materiale; 5. Evaluarea riscurilor; 6. Obiectivele auditului, anvergura sa i modul abordrii (praguri de resurse alocate, sistemele ce trebuie evaluate i testate, metodologii planificate spre a se utiliza, strategii de eantionare, dimensiunea anticipat a eantionului); 7. Resurse necesare: auditorii utilizai, experi din exterior, cerine privind deplasrile, bugetele alocate; 8. Preul care va fi cerut pentru efectuarea auditului (dac este cazul); 9. Responsabiliti pentru instituia de audit; 10. Datele pentru efectuarea diferitelor etape ale auditului, incluznd i data prevzut pentru proiectul de raport final;
7

Ana Morariu, Gheorghe Suciu, Flavia Stoian, Audit intern i Guvernan Coorporativ, Editura Universitar, Bucureti,2008, pp.128-129

11. Forma raportului final de control, coninutul su, i beneficiarii acestuia; Pe parcursul fazei de planificare a sarcinilor auditului, auditorul principal trebuie s se asigure c obine urmtoarele rezultate, pe care le transmite celor n drept s le tie: - auditorul principal trebuie s fac cunoscut cadrul legal i temeiul legal care st la baza controlului, i s transmit modificrile legislaiei n vigoare; - s obin ct se poate de multe informaii spre a nelege modul de funcionare a domeniului, organizaiei sau activitii care constituie obiectul auditrii; - s stabileasc canalele potrivite de contact, informare i relaii cu organizaia controlat. Auditul intern este o activitate planificat. n aceast etap auditorii i definesc planul de activitate viitor, att cel strategic ct i cel anual, focaliznd domeniile n care se pot manifesta riscuri semnificative care pot limita sau chiar mpiedica entitatea public s-i ating obiectivele programate. Auditul public intern are urmtoare organizare: - Comitetul pentru Auditul Public Intern (CAPI) - Unitatea Central de Armonizare pentru Auditul Public Intern (UCAAPI) - compartimentele de audit public intern din entitile publice8. Compartimentul de audit public intern se organizeaz astfel: - conductorul instituiei publice are obligaia instituirii cadrului organizatoric i funcional necesar desfurrii activitii de audit public intern; - la instituiile publice mici, care nu sunt subordonate altor entiti publice, auditul public intern se limiteaz la auditul de regularitate i se efectueaz de compartimentele de audit public intern ale Ministerului Finanelor Publice; - conductorul entitii publice subordonate poate stabili i menine un compartiment funcional de audit public intern, cu acordul entitii publice de la nivelul ierarhic imediat superior, iar dac acest compartiment nu se nfiineaz, auditul entitii respective se efectueaz de compartimentul de audit public intern al entitii publice de la nivelul ierarhic imediat superior9. Compartimentul de audit public intern se constituie n subordinea direct a conducerii unitii. Prin atribuiile sale, el nu trebuie s fie implicat n elaborarea procedurilor de control intern i n desfurarea activitilor supuse auditului public intern10. Compartimentul de audit public intern au urmtoarele atribuii: - elaboreaz norme metodologice specifice entitii publice n care i desfoar activitatea, cu avizul UCAAPI sau organului ierarhic superior, n cazul entitilor publice subordonate;
8

Legea nr.672/2002 privind auditul public intern, publicat n Monitorul Oficial nr. 953/24.12.2002, art.4 Legea nr.672/2002 privind auditul public intern, publicat n Monitorul Oficial nr. 953/2002, art.9 Legea nr.672/2002 privind auditul public intern, publicat n Monitorul Oficial nr. 953/2002, art.10

10

- elaboreaz proiectul planului anual de audit public intern; - efectueaz activiti de audit public intern pentru a evalua dac sistemele de management financiar i control ale entitii publice sunt transparente i sunt conforme cu normele de legalitate, regularitate, economicitate, eficien i eficacitate; - informeaz UCAAPI despre recomandrile nensuite de conductorul entitii publice auditate, precum i despre consecinele acestora; - raporteaz periodic asupra constatrilor, concluziilor i recomandrilor rezultate din activitile de audit; - elaboreaz raportul anual al activitii de audit public intern; - n cazul identificrii unor nereguli sau posibile prejudicii, raporteaz imediat conductorului entitii publice i structurii de control intern abilitate11.

Domeniile auditate cuprind n mare msur funciile suport (procesul bugetar, financiarcontabilitate, achiziii publice, resurse umane, juridic, informatic) i mai puin funciile specifice ale entitilor publice. Auditul public intern se exercit asupra tuturor activitilor desfurate ntro entitate public, inclusiv asupra activitilor entitilor subordonate, cu privire la formarea i utilizarea fondurilor publice , precum i la administrarea patrimoniului public. Indiferent de tipul de audit pe care-l desfoar, auditorii publici trebuie s reuneasc n dosarul de lucru documente suficiente i cu valoare probatorie, mai ales n ceea ce privete baza planificrii documentelor auditate, activitatea desfurat i constatrile auditorului12. Compartimentul de audit public intern auditeaz, cel puin o dat la trei ani, avnd urmtoarele obiective, fr a se limita la acestea: - angajamentele bugetare i legale din care deriv direct sau indirect obligaii de plat, inclusiv din fondurile comunitare; - plile asumate prin angajamente bugetare i legale, inclusiv din fondurile comunitare; - vnzarea, gajarea concesionarea sau nchirierea de bunuri din domeniul privat al statului ori al unitilor administrativ-teritoriale; - concesionarea sau nchirierea de bunuri din domeniul public al statului ori al unitilor administrativ-teritoriale; - constituirea veniturilor publice, respectiv modul de autorizare i stabilire a titlurilor de crean, precum i a facilitilor acordate la ncasarea acestora; - alocarea creditelor bugetare;
11

I.G.ara, M.Bucurean, Auditul public intern, n revista Controlul economic financiar nr. 6/2004, pp. 28-30. M. Ghi, E. Vasile, M. Popescu, Documenia auditului, n revista Control economic financiar nr. 6/2004, pp. 31-32.

12

- sistemul contabil i fiabilitatea acestuia; - sistemul de luare a deciziilor; - sistemul de conducere i control, precum i riscurile asociate unor astfel de sisteme; - sistemele informatice13. Proiectul planului de audit public intern se elaboreaz de compartimentul de audit public intern, pe baza evalurii riscului asociat diferitelor structuri, activiti, programe/proiecte sau operaiuni, precum i prin preluarea sugestiilor conductorului entitii publice, prin consultare cu entitile publice ierarhic superioare, innd seama de recomandrile Curii de Conturi. Conductorul entitii publice aprob anual proiectul planului de audit public intern. Planul de audit cuprinde urmtoarele elemente:- scopul misiunii de audit;- obiectivele misiunii de audit; - identificarea activitii sau operaiunii supuse auditului intern;- identificarea unitii la care se va desfura aciuni de auditare;- durata aciunii de auditare;- perioada supus auditrii;- numrul de auditori antrenai n aciunea de auditare;- precizarea elementelor ce presupun utilizarea unor cunotine de specialitate;- numrul de auditori care urmeaz s fie atrai n aciunile de audit intern din cadrul structurilor deconcentrate; La baza activitii de certificare a situailor financiare stau urmtoarele principii: - exhaustivitatea toate operaiunile care privesc entitatea public sunt nregistrate n contabilitate pe baza documentelor justificative; - realitatea toate informaiile prezentate prin conturile anuale trebuie s poat fi justificate i certificate; - corecta nregistrare n contabilitate i corecta prezentare n conturile anuale a operaiunilor. Raportul privind certificarea situaiilor financiare se caracterizeaz prin faptul c: - cuprinde o prezentare sintetic a modului de efectuare, a materialelor, documentelor i a actelor examinate, a tehnicilor, metodelor i a procedurilor utilizate; - se ntocmete n trei exemplare: unul nsoete situaiile financiare, al doilea rmne la auditor, iar al treilea rmne la cel auditat. eful compartimentului de audit public intern este responsabil cu supervizarea tuturor etapelor de desfurare a misiunii de audit public intern. Auditorii interni prezint efului structurii de audit public intern sau persoanei desemnate, documentele din dosarul permanent al misiunii de audit public intern, pentru supervizare. Scopul aciunii exercitate de ctre supervizor este de a asigura c obiectivele misiunii de audit public intern au fost atinse n condiii de calitate, astfel: a) ofer instruciunile necesare derulrii misiunii de audit intern;
13

Legea nr.672/2002, privind auditul public intern, publicat n Monitorul Oficial nr. 953/2002, art.13 i 14.

b) verific executarea corect a programului misiunii de audit; c) verific existena elementelor probante; d) verific dac redactarea raportului de audit public intern, att cel intermediar ct i cel final, este exact, clar, concis, i se efectueaz in termenele fixate. eful compartimentului de audit public intern trebuie s elaboreze Programul de asigurare i mbuntire a calitii prin respectarea normelor metodologice generale i specifice a Codului etic al auditorului intern, a Standardelor internaionale de audit intern i a bunei practici internaionale specific auditorilor interni. Programul de asigurare i mbuntire a calitii nseamn o evaluare permanent i calitativ a misiunilor de audit intern. Pentru apreciera modului de realizare a obiectivelor activitii de audit intern, periodic se efectueaz o serie de evaluri interne i externe, cum ar fi: - autoevaluarea realizat n compartimentele de audit intern; - evaluarea realizat de structurile de audit din entitile ierarhic superioare pentru unitile din subordine; - evalurile realizate de ctre UCAAPI pentru entitile administraiei publice centrale i de ctre structurile de audit intern ale direciilor finanelor publice judeene pentru entitile administraiei publice locale; - evalurile externe realizate de Curtea de Conturi a Romniei, Comisia European i alte organisme abilitate.

Etapele de derulare a misiunii de audit presupune parcurgerea urmtoarelor etape: pregtirea misiunii (iniierea auditului); intervenia la faa locului (desfurarea misiunii); raportul de audit (ncheierea misiunii); urmrirea recomandrilor. Etapele, procedurile i documentele aferente fiecrei proceduri pot fi sintetizate astfel: Pregtirea misiunii presupune urmtoarele activiti/operaiuni: Iniierea auditului se realizeaz prin elaborarea: ordinului de serviciu, declaraiei de independen, i notificarea privind declanarea misiunii de audit public intern. Colectarea i prelucarea informaiilor preliminare se realizeaz cu ajutorul testelor i a tabloului aspectelor pozitive i negative posibile. Prin analiza aspectelor pozitive i negative se urmreete identifcarea obiectelor auditabile, definite sub aspectele caracteristicilor specifice i ale riscurilor asociate.

n baza programului de audit public intern se ntocmete programul preliminar al interveniilor la faa locului. Acesta prezint n mod detaliat lucrrile pe care auditorii i propun s le efectueze. edina de deschidere se deruleaz la unitatea auditat, cu pariciparea auditorilor interni i a personalului entitii auditate i aspectele importante discutate sunt consemnate n minuta edinei de deschidere. Intervenia la faa locului presupune urmtoarele: Colectarea dovezilor i utilizarea instrumentelor aplicabile este etapa elaborrii listelor de verificare, chestionare i teste. n urma colectrii dovezilor se trece la analiza i prelucrarea informaiilor colectate pe baza crora se emite Fia de identificare i analiz a problemei i n cazul existenei unor iregulariti se ntocmete Formularul de constatare i raportare a iregularitilor. nainte de ntocmirea proiectului raportului de audit public intern auditorii efectueaz revizuirea, pentru a se asigura c documentele de lucru sunt pregtite n mod corespunztor. edina de nchidere are drept scop prezentarea opiniei auditorilor interni, a recomandrilor finale i a calendarului de implementare a recomandrilor i intocmirea minutei edinei de nchidere. Raportul de evaluare presupune urmtoarele: Elaborarea raportului de audit privind obiectivul misiunii, presupune ntocmirea raportului de audit public intern. Transmiterea proiectului raportului de audit intern privind obiectivele misiunii se transmite la structura auditat prin adres de transmitere. n cadrul reuniunii de conciliere se analizeaz constatrile i concluziile n vederea acceptrii recomandrilor formulate, ntocmindu-se minuta reuniunii de conciliere. - finalizarea raportului de audit intern privind obiectivul misiunii; document elaborat: raportul de audit( forma final). - difuzarea raportului de audit intern; documente elaborate: nota de prezentare a raportului spre aprobare, nota de transmitere. - arhivarea raportului i documentelor misiunii; documente elaborate: dosarele misiunii de audit intern. - supervizarea misiunii presupune asigurarea c obiectivele misiunii de audit public intern au fost atinse n condiii de calitate; document elaborat: lista de supervizare a documentelor. Urmrirea documentelor presupune urmrirea stadiului implementrii recomandrilor, etap n care se ntocmete, fia de urmrire a recomandrilor. Studiul de caz ales se refer la o misiune de audit privind sistemele informatice la: Direcia Agricol i Dezvoltare Rural Neam. Instituia public are organizat, conform Legii nr.672/2002 privind auditul public intern i Normele

Generale privind exercitarea activitii de audit public intern aprobat prin O.M.F. nr. 38/2003, un compartiment de audit format din dou persoane, ec. Crciun Didina i Liviu Bumbu, ef compartiment. De menionat este faptul c, n practic, pentru asigurarea supervizrii n bune condiii a misiunii de audit intern, compartimentul de audit trebuie s fie compus din minim trei persoane, una din acestea ndeplinind funcia de supervizor. Avnd n vedere faptul c Direcia Agricol i Dezvoltare Rural Neam nc nu are definitivat un manual de proceduri interne cu referire la activitile IT, c legislaia n domeniul sistemelor IT nu exist, auditorii au elaborat chestionarele list de verificare i testele de control privind evaluarea eficienei i eficacitii controalelor interne n ceea ce privete operaiunile IT, pe baza criteriilor stabilite n standardul ISO 17799, precum i prin consultarea standardelor internaionale n domeniu. Operaiunile supuse auditrii au fost detaliate pe subactiviti n chestionarele list de verificare, n scopul de a aprecia ct mai riguros riscul asociat fiecrei operaiuni (activiti). n vederea realizrii misiunii de audit cu tema:Evaluarea modului de organizare i desfurare a activitii n domeniul IT, n cadrul instituiilor subordonate ministerului din planul de audit aprobat de conducerea Ministerului Agriculturii i Dezvoltrii Rurale pentru anul 2008, au fost transmise n anex obiectivele obligatorii, obiective comunicate de U.C.A.A.P.I. sub a crui coordonare se desfoar aceast misiune. Un exemplar din raportul de audit elaborat, avizat de ctre conductorul entitii publice n cauz, va fi naintat la M.A.D.R. Direcia de audit la termenul fixat; Pe baza rapoartelor de audit primite, Direcia de Audit din M.A.D.R. va ntocmi o sintez care va fi naintat la U.C.A.A.P.I.; Dup avizarea rapoartelor de audit, la nivelul entitii publice cuprinse n evaluare, se va ntocmi programul de aciune n vederea implementrii recomandrilor cuprinse n rapoarte; Un exemplar din program va fi naintat la Direcia de Audit din M.A.D.R. n funcie de termenele de implemetare a recomandrilor Direcia de Audit din M.A.D.R. va transmite la U.C.A.A.P.I. informri privind modul de implementare a recomandrilor i rezultatelor obinute14. 3.1.1. Iniierea auditului Ordinul de serviciu a fost ntocmit i semnat de eful Compartimentului de Audit Public Intern, pe baza planului anual de audit public intern, pentru anul 2008, aprobat de ctre directorul instituiei Tiberiu Tudoran, n conformitatea cu prevederile Legii nr. 672/2002 privind auditul public intern i
14

*** Surs, Ministerul Agriculturii i Dezvoltrii Rurale, Direcia Pentru Agricultur i Dezvoltare Rural Neam

ale Normelor Generale privind exercitarea activitii de audit public intern, aprobate prin Ordinul ministrului finanelor publice nr. 423/2004. n ordinul de serviciu s-a menionat c se va efectua o misiune de audit intern privind sistemele informatice la Departamentul IT n perioada 30.0331.05.2008. Scopul misiunii este de a da asigurri c aplicarea msurilor pentru sistemele informatice este n conformitate cu cadrul legal i normativ, iar obiectivele se refer la: Logistica IT, reeaua de calculatoare, gestiunea adreselor de e-mail, gestiunea licenelor IT. (menionez c obiectivele din cadrul entitii, au fost mult mai numeroase, dar avnd n vedere spaiul foarte restrns de care dispun, am selectat pe cele mai importante, din punctul meu de vedere.) n cadrul misiunii se va efectua un audit de sistem i de regularitate. Echipa de audit public intern este format din auditorii Crciun Didina i Liviu Bumbu. Ordinul de serviciu a fost semnat de eful cmpartimentului audit intern Liviu Bumbu. Declaraia de independen a fost dat de fiecare auditor intern la nceputul misiunii de audit. Codul privind conduita etic a auditorului intern reprezint un ansamblu de principii i reguli de conduit care trebuie s guverneze activitatea auditorilor interni. Scopul Codului privind conduita etic a auditorului intern este de a promova cultura etic n viziunea global a profesiei de auditor intern. Codul privind conduita etic a auditorului intern cuprinde regulile pe care auditorii interni trebuie s le respecte. n exercitarea atribuiilor lor, auditorii interni trebuie s respecte n primul rnd principiul independenei. Reglementrile privind independena, sunt n general, fundamentate pe trei principii de baz, a cror nclcare va afecta independena auditorului: - un auditor nu poate avea o funcie de managment; - un auditor nu poate audita propria sa activitate; - un auditor nu poate avea rol de aprtor al clientului su. Notificarea privind declanarea misiunii de audit public intern a fost emis, cu 15 zile nainte de declanarea misiunii de audit public intern, n conformitate cu Planul de audit intern pe anul 2008. n aceast notificare au fost aduse la cunotina efului compartimentului c se va efectua o misiune de audit intern cu tema Sistemele informatice la Departamentul IT. Auditul va examina responsabilitile asumate de ctre Departamentul IT i va determina dac acesta i ndeplinete obligaiile n mod eficient i efectiv. n notificare s-a propus ca n edina de deschidere, stabilit de comun acord, s se discute despre diverse aspecte ale misiunii de audit, care vor cuprinde: de audit intern i alte aspecte, considerate importante. Pentru o mai bun nelegere a activitii, s-a cerut punerea la dispoziia auditorilor, urmtoarea prezentarea auditorilor, prezentarea principalelor obiective ale misiunii de audit, programul interveniei la faa locului, scopul misiunii

documentaie: legile i reglementrile ce se aplic activitilor din entitatea public, organigrama Compartimentelor cu care sunt n colaborare, aceste activiti, fiele posturilor, toate procedurile scrise care descriu sarcinile ce trebuie realizate pe linia sistemelor informatice, un exemplar al rapoartelor, notelor, dosarelor anterioare care se refer la aceast tem. Pentru nenelegeri sau eful ntrebri privind aceast aciune, persoana de contact a fost numit doamna ec. Crciun Didina auditor din cadrul compartimentului de audit intern. Notificarea a fost semnat de compartimentului Liviu Bumbu. 3.1.2. Colectarea i prelucrarea informaiilor n etapa de colectare auditorii au colectat informaii cu caracter general despre Departamentul IT, i s-a urmrit ca aceste informaii s fie pertinente i utile n vederea atingerii urmtoarelor scopuri: a) identificarea principalelor elemente ale contextului instituional n care Departamentul IT i desfoar activitatea; b) cunoaterea organizrii Departamentului IT, a tehnicilor sale de lucru i a diferitelor nivele de administrare, conform organigramei; c) identificarea punctelor cheie ale funcionrii Departamentului IT i ale sistemelor sale de control, pentru evaluarea prealabil a punctelor tari i slabe; d) identificarea i evaluarea riscurilor cu inciden semnificativ; e) identificarea informaiilor probante necesare pentru atingerea obiectivelor misiunii auditului public intern i selecionrii tehnicilor de investigare adecvate. Personalul de conducere i din Departamentul IT a oferit documentele i informaiile solicitate, n termenele stabilite, precum i tot sprijinul necesar desfurrii n bune condiii a misiunii de audit public intern. n etepa de prelucare a informaiilor s-a analizat urmtoarele aspecte: a) regulamentele de organizare i funcioanre, organigrama, fie ale posturilor,circuitul documentelor al Departamentului IT; b) cadrul normativ ce reglementeaz Departamentul IT; c) factori susceptibili de a mpiedica buna desfurare a misiunii de audit public intern; d) rezultatele controalelor precedente; e) informaiile externe referitoare la activitatea Departamentului IT. Pentru colectarea i prelucrarea informaiilor s-a ales varianta Chestionarul de luare la cunotin care cuprinde ntrebri formulate de auditori, i rspunsurile sunt date de conducerea entitii publice. ntrebrile sunt foarte numeroase i pentru o bun nelegere a acestei misiuni de audit voi alege pe cele care au o relevan semnificativ pentru fundamentarea unor concluzii ct mai reale i

exprimarea unei opinii pertinente. Principala condiie a acestui volum semnificativ de documente este validitatea informaiei pe care o coine. Auditorul nu lucreaz plecnd de la ipoteze, ci se bazeaz pe certitudini astfel nct informaiile culese s fie fiabile, relevante i utile, iar constatrile fcute s fie justificate i, n consecin, incontestabile. Caracterul just al elementelor probante se aprecieaz n funcie de relevana i fiabilitatea lor. n unele situaii, auditorul se sprijin pe elemnete probante care nu sunt concludente prin ele nsele, dar care contribuie la definitivarea concluziilor. Certitudinea auditorului sporete n cazul n care elementele probante din surse diferite sunt concordante ntre ele. ntrebri formulate i rspunsurile date: Exist organigrama Departamentului IT? Da. Exist proceduri scrise care definesc activitate fiecrui compartiment n parte? Nu. Exist un grafic de relaii privind circuitul documentelor la nivelul Departamentului IT? Da. (Incomplet). Exist la nivelul instituiei o politic sau o strategie n domeniul IT? Nu. Exist un inventar al riscurilor relevante pentru instituie n ceea ce privete tehnologia informaiei? Nu. Conducerea instituiei este preocupat de IT? Da. La nivelul conducerii instituiei au fost fcute demersuri, astfel nct, n cadrul strategiei eleborate la nivelul instituiei s fie precizate distinct obiectivele IT. Conducerea este ntiinat permanent despre riscurile la care este supus instituia n domeniul IT? Nu. Care sunt pricipalele activiti desfurate de Departamentul IT din cadrul instituiei? - fundamenteaz strategia de dezvoltare a sistemului informatic al instituiei i o propune spre aprobare conducerii; - proiecteaz, n colaborare cu celelalte compartimente, conceptul sistemului informatic al instituiei n corelare cu sistemul informaional i cu metodologiile i procedurile aprobate; - asigur dezvoltarea i exploatarea infrastructurii sistemului informatic al instituiei; - stabilete necesarul de software i de aplicaii informatice n vederea asigurrii funcionalitii sistemului informatic i a sistemului de conducere a instituiei; - acord asisten i consulta de specialitate tuturor compartimentelor din cadrul structurii de organizare; - colaboreaz la perfecionarea personalului din cadrul tuturor compartimentelor instituiei n domeniul IT i al utilizrii computerului i a tehnicilor informatice; - asigur pstrarea securitii datelor i sigurana, din acest punct de vedere, a sistemului informatic;

- urmrete evoluia tehnologiei informaiei pe plan intern i internaional i propune achiziionarea de licene pentru toate produsele program care s fie utilizate n cadrul sistemului informatic al instituiei; - asigur ntreinerea aplicaiilor i a echipamentelor din componena sistemului informatic; - ntocmete necesarul periodic de materiale consumabile pentru tehnica de calcul i celelalte echipamente de birotic; - asigur funcionarea reelei Internet i gestioneaz serviciul de pot electronic; - asigur ntreinerea reelei informatice a instituiei; - proiecteaz i gestioneaz baza de date a instituiei; Care este varianta utilizat pentru transferul n siguran al mesajelor: criptarea mesajului sau criptarea canalului de comunicaie? Se utilizeaz o combinare a celor dou moduri de criptare. Care este tipul de reea utilizat n cadrul instituiei? Exist o combinaie ntre reea inel i reea stea. Exist posibilitatea de a planifica i monitoriza performana IT? Nu. Nu exist proceduri n acest sens. Este descris structura switch-uri-lor n reeaua intern a instituiei? Da. Sunt descrise sistemele de operare i modul cum se fac update-urile de securitate? Da. Fiabilitatea elementelor probante colectate este apreciat n funcie de originea lor intern sau extern, de natura lor scris sau oral i de circumstanele n care s-au obinut, astfel: - probele de audit din surse externe sunt mai credibile dect cele obinute din cadrul organizaiei; - probele de audit obinute din cadrul organizaie sunt mai credibile atunci cnd controlul intern este de ncredere; - probele de audit obinute direct de auditor sunt mai credibile dect cele obinute din cadrul organizaiei; - probele de audit sub form de documente scrise sunt mai credibile dect declaraiile orale. Determinante pentru evaluarea relevanei probelor sunt i: - independena celui care furnizeaz probele; - calificarea indivizilor care furnizeaz informaiile; - obiectivitatea probelor; - vrstaprobelor. Probele culese n misiunea de audit au fost variate, iar tehnicile folosite n procesul de culegere a probelor au fost: - verificarea structurilor organizatorice ale sistemului informatic. O structur organizatric trebuie s asigure o separare a funciilor incompatibile;

- verificarea politicilor interne i procedurilor de lucru; - verificarea standardelor ce vizeaz domeniul IT; - verificarea documentaiei sistemului informatic, i anume: documentaia de dezvoltare a sistemului informatic, specificaiile de proiectare i cerinele funcionale, documentele operaionale, fiierele de tip jurnal i fiierele de tip istoric a modificrii programelor surs, manualele utilizatorilor, manualele de operare, documentele relative la securitate, rapoartele de asigurare a calitii; - intervievarea personalului din departamentul IT; - observarea performanei sistemului i a utilizatorilor si. 3.1.3. Analiza riscurilor Dei tehnologiile informaionale pot amelioara controlul intern al unei companii, ele pot, de asemenea, afecta riscul general de control al companiei. Numeroase riscuri asociate sistemelor manuale snt diminuate i, n numeroase cazuri, chiar eliminate. Totui apar noi riscuri specifice mediilor de IT, iar acestea pot conduce la pierderi substaniale dac sunt ignorate. De exemplu, imposibilitatea de a recupera informaii importante din cauza unui blocaj al sistemului informatizat sau utilizarea de informaii incorecte din cauza unor erori de prelucrare generate de aceste tehnologii ar putea paraliza o organizaie. Analiza riscurilor este etapa major n procesul de audit public intern, care are drept scopuri: identificarea pericolelor din departamentul IT, dac controalele interne sau procedurile Departamentului IT pot preveni, elimina sau minimiza pericolele, precum i evaluarea controlului intern al Departamentului IT. De asemenea, analiza riscurilor reprezint un punct de pornire n elaborarea punctelor tari i a punctelor slabe. Auditorii interni trebuie s integreze n procesul de identificare i evaluare a riscurilor semnificative i pe cele depistate n cursul altor misiuni. Lista centralizatoare a obiectelor auditabile, definite sub aspectele caracteristicilor specifice i ale riscurilor asociate, constituie suportul analizei riscurilor. din cauza spaiului limitat de care dispun). Obiectiv 1. Logistica IT Obiecte auditabile 1.1 Configurare switch-uri:- securizarea fizic a componentelor critice, - protejarea i etichetarea cablurilor de reea, - protecia camerei serverelor, - configurare echipamente IT i aplicai . 1.2 Verificarea modului de asigurare a conectivitii: - asigurarea i ntreinerea echipamentelor fizice, - securizarea echipamentelor fizice, - accesul n camera serverelor. Obiectiv Astfel s-au definit urmtoarele obiecte auditabile: (Din numeroasele obiecte auditate n misiunea de audit am selectat cteva, eseniale, -

2. Reeaua de calculatoare Obiecte auditabile 2.1. Verificarea securizrii reelei de calculatoare: - politica de securitate a reelei, - limitarea accesului n reea, - configurarea reelei de calculatoare, - protecia datelor n reea, - zona demilitarizat (DML), - protecia echipamentului de reea, - recuperarea datelor n caz de dezastru. Obiectiv 3. Gestiunea licenelor IT Obiecte auditabile 3.1. Verificarea situaiei faptice i scriptice a licenelor IT: - evidena licenelor IT, - atribuii n gestionarea licenelor IT. 3.2. Analiza dosarului pentru fiecarea staie de lucru: - evidena softului instalat pe fiecare staie de lucru, - raportri periodice privind situaia soft-ului pe staiile de lucru. Obiectiv 4. Gestiunea adreselor de e-mail 4.1. verificarea existenei politicii de e-mail: - politica de e-mail la nivel de instituie, - coninutul politicii de e-mail. 4.2. verificarea politicii de e-mail din punct de vedere al redactrii, comunicrii i implementrii: redactarea politicii de e-mail, - comunicarea politicii de e-mail. Aprecierea unui risc are la baz dou estimri: - mrimea/nivelul pierderii care poate s rezulte ca urmare a producerii riscului; - probabilitatea ca riscul s revin. Efectuarea analizei riscurilor s-a efectuat prin parcurgerea urmtorilor pai: a) identificarea activitilor auditabile, respectiv a obiectelor auditabile. S-au analizat i interdependenele existente ntre acestea, fixndu-se perimetrul de analiz; b) identificarea ameninrilor, riscurilor inerente posibile, asociate acestor activiti, prin determinarea impactului financiar al acestora; c) stabilirea criteriilor de analiz a riscului. d) stabilirea nivelului riscului pentru fiecare criteriu, prin utilizarea unei scri de valori de valori pe trei niveluri. e) stabilirea punctajului total al criteriului utilizat. S-a atribuit un factor de greutate i un nivel de risc fiecrui criteriu. Produsul acestor doi factori d punctajul pentru criteriul respectiv, iar suma punctajelor pentru o anumit acitivitate auditabil conduce la determinarea punctajului total al riscului activitii respective. Formula utilizat pentru obinerea punctajului total este: T=P(i)xN(i), unde:

P(i)= ponderea riscului pentru fiecare criteriu; N(i)= nivelul riscurilor pentru fiecare criteriu utilizat; f) clasarea riscurilor, pe baza punctajelor totale obinute anterior, n: risc mic, risc mediu, risc mare. g) ierarhizarea activitilor ce urmeaz a fi auditate, respectiv elaborarea tabelului puncte tari i puncte slabe. Tabelul permite ierarhizarea riscurilor n scopul orientrii activitii de audit public intern, respectiv stabilirea tematicii n detaliu. Msurarea riscurilor depinde de probabilitatea de apariie a riscului i de gravitatea consecinelor evenimentului. Pentru realizarea msurii riscurilor s-a utilizat drept instrument de msurare criteriile de apreciere. - Aprecierea controlului intern s-a fcut pe baza unei analize a calitii controlului intern al entitii, pe trei niveluri: control intern corespunztor - nivel 1, control intern insuficient nivel 2, control intern cu lipsuri grave nivel 3. - Msurarea gravitii consecinelor evenimentului (nivelul impactului), reprezint efectele riscului n cazul producerii sale i s-a exprimat pe o scar valoric pe trei niveluri: impact slab nivel 1, impact mediu nivel 2, impact important nivel 3. - Vulnerabilitatea s-a exprimat pe trei niveluri: vulnerabilitate redus nivel 1, vulnerabilitate medie nivel 2, vulnerabilitate mare nivel 3. n urma aprecierilor, auditorii au stabilit faptul c ponderea criteriilor urmtoarea: - aprecierea controlului intern 40%; - aprecierea cantitativ (impact financiar) 26%; - aprecierea calitativ (vulnerabilitate) 34%. n acest context, dac mediul de control intern din cadrul organizaiei este unul format, puternic, acest lucru conduce la obinerea de ctre auditori a unei asigurri de 40% privind acest mediu. Totodat n cadrul acestui mediu de control puternic, auditorii pot obine o asigurare de 26% respectiv 34% privind impactul operaiilor financiare i vulnerabilitatea entitii. n urma calculrii punctajelor totale au rezultat urmatoarele clase de risc cu punctajele aferente: - risc mic (N1) punctaj 1.0 - 1.5 - risc mediu (N2) punctaj 1.6 2.0 - risc mare (N3) punctaj 2.0 2.5 Tabelul nr.1- Nivelul riscurilor de analiz a riscului este

Factori de risc Ponderea (Fi) factorilor risc (Pi) de

Nivelul de apreciere a riscului (Ni)

N1

N2

N3

Aprecierea controlului intern F1

P1- 40%

Exist

proceduri Exist proceduri, sunt Nu cunoscute, dar nu se proceduri aplic

exist

i se aplic

Aprecierea cantitativ F2

P2- 26%

Impact slab

financiar Impact financiar mediu

Impact

financiar

important

Aprecierea calitativ F3

P3- 34%

Vulnerabilitate redus

Vulnerabilitate medie

Vulnerabilitate mare

Aceste clase de risc i intervale de punctaj aferente fiecrei clase de risc au fost stabilite de auditori, iar obiectele auditabile care au obinut un scor mai mare sau egal cu 2 vor face obiectul ateniei auditorilor. Ponderea atribuit pentru fiecare factor de risc a fost stabilit n funcie de importana acestuia pentru activitatea auditat i nsumate trebuie s fie obligatoriu 100. Punctajul total al riscului se realizeaz prin nmulirea, pe fiecare risc identificat, a nivelului i ponderilor factorilor de risc i nsumarea acestora. Atribuirea notelor la criteriile avute n vedere la analiza riscului, s-a realizat de ctre auditorul intern, pe baza judecii profesionale i a experienei acestuia. Punctele tari i punctele slabe sunt exprimate calitativ i cantitativ n funcie de rezultatele ateptate i de condiiile de obinere a acestora. Riscurile asociate obiectivelor, activitiilor i nivelul impactului au fost stabilite astfel, cu ajutorul documentului Tabelul puncte tari i puncte slabe. Configurare switch-uri 1. Securizarea fizic a componentelor critice, riscuri de nivel mediu: proceduri neadecvate cu privire la echipamentele i suporturile de date scoase din uz, pstrarea neadecvat a componentelor critice. 2. Protejarea i etichetarea cablurilor de reea, risc de nivel sczut: cablurile de reea nu sunt protejate corespunztor sau sunt neetichetate.

3. Protecia camerei serverelor, risc de nivel mediu: n camera serverelor nu sunt n funciune sisteme de prevenire a incendiilor, aer condiionat. 4. Configurarea echipamentelor IT i aplicaiilor, riscuri de nivel mediu: configuraiile echipamentelor IT i ale aplicaiilor nu sunt meninute n mod formal n alte locaii dect sistemele, structura switch-urilor nu confer securitate sporit. 5. Asigurarea i ntreinerea echipamentelor fizice, risc de nivel sczut. nu toate componentele critice sunt securizate fizic. 6. Securizarea echipamentelor fizice, riscuri de nivel mediu: echipamente care nu sunt corect ntreinute, echipamente neprotejate pentru a preveni riscul distrugerii accidentale. 7. Accesul n camera serverelor, riscuri de nivel mediu: nu exist cartele de acces sau registre n camera serverelor, distrugerea fizic a cablurilor. Verificarea securizrii reelei de calculatoare 1. Politica de securitate a reelei, riscuri de nivel ridicat: inexistena unei politici de securitate a reelei de calculatoare la nivelul instituiei, neinstalarea unui firewall adecvat ntre propria reea de calculatoare i toate celelalte legturi externe, sistemul de securitate al reelei nu genereaz un raport zilnic, instituia nu dispune de o diagram logic a infrastructurii firewall. 2. Limitarea accesului n reea, riscuri de nivel mediu: neimplementarea procedurilor n vederea limitrii accesului la calculatoare dup terminarea orelor de program, accesul neautorizat al personalului la serverul de reea, informaiile pot fi furate sau distruse, persoane neautorizate pot accesa sau manipula datele de pe server, instalarea de ctre programatori, cu bun tiin, a unor programe inadecvate. 3. Configurarea reelei de calculatoare, risc de nivel ridicat: schimbrile de configurare ale reelei nu sunt testate sau aprobate n prealabil. 4. Protecia datelor n reea, riscuri de nivel ridicat: neutilizarea unor mijloace de protecie a datelor transmise din propria reea ctre alte reele, neverificarea accesului la distan prin punctul de control firewall, software programat s distrug sistemul sau anumite date. 5. Zona demiltarizat (DML),riscuri de nivel mediu: neevaluarea gazdelor din cadrul zonei demilitarizate n scopul stabilirii adecvrii acestora, punctele de control firewall pot s nu previn atacurile Java i ActiveX. 6. Protecia echipamentului de reea, risc de nivel mediu: echipamentul de reea nu este protejat mpotriva factorilor de mediu cum ar fi cderile de tensiune, inundaii, umiditate.

7. Recuperarea datelor n caz de dezastru, risc de nivel ridicat: inexistena unui plan de recuperare a datelor n caz de dezastru. Verificarea situaiei faptice i scriptice a licenelor IT 1. Evidena licenelor IT, riscuri de nivel mediu: nu este inut evidena situaiei scriptice a licenelor IT, nu este inut evidena situaiei faptice a licenelor IT, unele licene nu au documente de provenien. 2. Atribuii n gestioanrea licenelor IT, risc de nivel mediu: nu este numit o persoan cu responsabiliti n urmrirea i gestionarea licenelor IT. Analiza dosarului pentru fiecare staie de lucru 1. Evidena softului instalat pe fiecare staie de lucru, riscuri de nivel mediu: pentru fiecare calculator nu s-antocmit un dosar cu privire la soft-ul instalat pe acesta, posibilitatea utilizrii unor programe software fr licen. 2. Raportri periodice privind situaia soft-ului pe staiile de lucru, risc de nivel mediu: nentocmirea unor rapoarte periodice cu privire la situaia staiilor de lucru i a softului autorizat. Verificarea existenei politicii de e-mail 1. Politica de e-mail la nivelul instituiei, riscuri de nivel mediu: inexistena unei politici de e-mail adecvat la nivelul instituiei, politica de e-mail nu este integrat politicii Internet. 2. Coninutul politicii de e-mail, riscuri de nivel mediu: comunicaiile de e-mail nu sunt folosite doar pentru a servi scopurile instituiei, inexistena unor limitri n ceea ce privete primirea-transmiterea unui fiier ataat unui mesaj, pentru mesajele stocate, log-urile nu sunt protejate mpotriva accesului neautorizat. Verificarea politicii de e-mail din punct de vedere al redactrii, comunicrii i implementrii 1. Redactarea politicii de e-mail, riscuri de nivel mediu: politica de e-mail nu este redactat clar, concis, nu este uor de citit i neles de ctre personalul instituiei, politica de e-mail nu a fost redactat cu implicarea unor compartimente de specialitate. 2. Comunicarea politicii de e-mail, risc de nivel mediu: personalului instituiei nu i-au fost comunicate prevederile politicii de e-mail. Ierarhizarea riscurilor selectate, realizat prin documentul Tabelul puncte tari i puncte slabe a contribuit la identificarea a 20 riscuri, ataate unor obiecte auditabile, care au fost evaluate ca fiind puncte slabe, iar 2 riscuri au fost identificate ca fiind puncte tari. n stabilirea punctelor tari i a celor slabe auditorii au avut n vedere cele trei clase de risc identificate n etapa de analiz a riscurilor, respectiv au asociat riscului mic puncte tari iar riscului mediu i mare un punct slab. Evaluarea ierarhizrii obiectelor auditabile n documentul Tematica n detaliu a misiunii de audit

intern, au fost preluate obiectivele i obiectele auditabile, considerate ca fiind puncte slabe, ocazie cu care au fost renumerotate, i ulterior stabilit corespondena cu paragrafele din raportul de audit intern. 3.1.4 Elaborarea programului misiunii de audit public intern Tematica n detaliu cuprinde totalitatea domeniilor/obiectelor de auditat selectate, este semnat de eful compartimentului de audit public intern i adus la cunotina principalilor responsabili ai structurii auditate n cadrul edinei de deschidere. n baza tematicii detaliate se ntocmete programul de audit public intern care este un document intern de lucru al compartimentului de audit public intern. Acesta cuprinde pe fiecare obiectiv din tematica detaliat aciunile concrete de efectuat necesare atingerii obiectivului, precum i repartizarea acestora pe fiecare auditor intern. Scopul programului de audit public intern este de a asigura eful compartimentului de audit public intern c au fost luate n considerare toate aspectele referitoare la obiectivele misiunii de audit public intern i asigur repartizarea sarcinilor i planificarea activitilor, de ctre supervizor. n baza programului de audit public intern se ntocmete programul preliminar al interveniilor la faa locului. Acesta prezint n mod detaliat lucrrile pe care auditorii interni i propun s le efectueze, respectiv studiile, cuantificrile, testele, validarea acestora cu materiale probante i perioadele n care se realizeaz aceste verificri la faa locului. 3.1.5 Deschiderea interveniei la faa locului edina de deschidere a interveniei la faa locului se deruleaz la Departamentul IT, cu participarea auditorilor interni i a personalului Departamentului IT. n cadrul edinei de deschidere a fost prezentat auditorul intern, domeniul auditabil i obiectivele de auditat. De asemenea au fost prezentate activitile care urmeaz a fi auditate, fiind stabilite termenele de raportare de ctre auditorul intern, a stadiului de verificare, termene care au fost cuprinse n Programul misiunii de audit public intern. S-a acceptat calendarul ntlnirilor dintre auditorul intern i cei auditai, astfel ca cei auditai s poat oferii documentele i informaiile solicitate de auditorul intern n termenele stabilite. Recomandrile formulate ca urmare a eventualelor disfuncionaliti constatate vor fi discutate i analizate cu structura auditat, inclusiv calendarul implementrii i persoanele rspunztoare cu implementarea recomandrilor. 3.2.1. Colectarea dovezilor i utilizarea instrumentelor aplicabile Scopul acestei proceduri l reprezint efectuarea testrilor stabilite prin programul de audit aprobat i obinerea de probe, dovezi suficiente i relevante pentru formularea constatrilor, concluziilor i recomandrilor. Colectarea dovezilor s-a fcut pornind de la Programul interveniei la faa locului unde au fost planificate i elaborate listele de verificare i testrile care vor fi efectuate. Pe baza acestor testri i avnd n vedere rezultatele obinute s-a trecut la ntocmirea

Fielor de identificare i analiz a problemelor i a Formularelor de constatare i raportare a iregularitilor. Auditorii interni au avut n vedere i Tabloul de prezentare a circuitului auditului care ofer informaii utile n colectarea dovezilor. Principalele tehnici de audit public intern folosite, au fost: Verificarea, care asigur validarea, confirmarea, concordana cu legile i regulamentele intrne, precum i eficacitatea controalelor interne. Aceast tehnic a fost realizat prin: - comparaie pentru anumite tranzacii curente care sunt puse n coresponden cu tranzacii trecute sau similare, cu legi sau regulamente sau cu alte criterii rezonabile; - examinare pentru detectarea unor erori n completarea documentelor sau pentru examinarea vulnerabilitilor unor sisteme; - garantare pentru verificarea realitii anumitor tranzacii prin examinarea documentelor nregistrate, de la articolul nregistrat ctre documentele justificative; - urmrire pentru a vedea dac toate tranzaciile reale au fost nregistrate. Observarea fizic, pe baza creia se poate forma o prere proprie privind modul de ntocmire a documentelor. Interviul care ofer posibilitatea lmuririi unor aspecte legate de organizarea i desfurarea activitilor. Analiza care const n descompunerea unei structuri n elemente, care pot fi izolate, identificate, cuantificate, i msurate distinct. Principalele instrumente de audit intern folosite, au fost: Chestionarele - care cuprind ntrebri pe care le formuleaz auditorii interni. a) chestionarul de luare la cunotin (CLC) - care conin ntrebri referitoare la locul pe care l ocup Departamentul IT n structura din care face parte, organizarea intern, funcionarea acestuia; b) chestionarul de control intern (CCI) - ghideaz auditorii interni n activitatea de identificare obiectiv a disfunciilor i cauzelor reale ale acestor disfuncii; c) chestionarul-list de verificare (CLV) este utilizat pentru stabilirea condiiilor pe care trebuie s le ndeplineasc fiecare domeniu auditabil. Cuprind un set de ntrebri standard privind obiectivele definite, responsabilitile, metodele i mijloacele financiare, tehnice i de informare, precum i resursele umane existente. Pe parcursul desfurrii misiunii de audit, pentru a culege probe ct mai relevante i suficiente auditorii au desfurat dou categorii de teste: a) teste de conformitate, pentru verificarea conformitii controlului intern cu politicile, normele interne stabilite de managmentul instituiei; b) teste de fond, pentru a verifica integritatea datelor i altor informaii de sistem. Avnd n vedere obiectivele controlului intern, care se pot rezuma n asigurarea validitii,

exhaustivitii, acurateei i confidenialitii resurselor informaionale din cadrul instituiei, auditorul, prin intermediul testelor de conformitate, a verificat existena i eficiena controlului intern. Prin aceste teste, auditorul a urmrit conformitatea controlului intern existent n cadrul instituiei cu politicile i procedurile managmentului, ct i consecvena de aplicare a acestui control. n mod practic, exist o relaie direct proporional ntre nivelul controlului intern i volumul testelor de fond ce sunt necesare a fi desfurate. fond. n urma testelor de conformitate, s-au identificat patru categorii de mecanisme de control intern: - controlul restrictiv ce are ca efect reducerea probabilitii unui atac deliberat; - controlul preventiv ce protejeaz vulnerabilitile cunoscute sau presupuse i reduc impactul unui atac reuit; - controlul corectiv ce reduce efectul unui atac prin supravegherea corectitudinii i integritii datelor; - controlul detectiv ce descoper atacuri iniiate sau n desfurare i alarmeaz sistemul corespunztor. Datorit rezultatelor testelor de conformitate care confer prezena unui control intern eficient, auditorul a aplicat un numr minim de teste de

CONTROL RESTRICTI V

AMENINAR E CONTROL CORECTIV

MINIMIZEAZCREEAZ
ATAC
CONTROL DETECTIV

EXPLOATEAZ
VULNERABILITATE A

DESCOPER

DECLANEAZ PROTEJEAZ
CONTROL PREVENTIV

REZULT N

IMPACT

DESCRETE

REDUCE

Figura nr.1 Controalele accesului n sistem

n urma procedurii de colectare a dovezilor s-au identificat anumite probleme i s-a trecut la ntocmirea Fielor de identificare i analiz a problemelor. Fia de identificare i analiz a problemei, nr.1 Problema: Stocarea necorespunztoare a backup-urilor. Constatri: Nu a fost asigurat o locaie astfel nct backup-urile s fie corect jurnalizate i stocate. Cauze: Nu exist un spaiu amenajat corespunztor, precum nici o persoan desemnat cu pstrarea n bune condiii a backup-urilor. Consecine: Posibilitatea deteriorrii anumitor copii de siguran, astfel nct n cazul cderii sistemului ca urmare a unor cauze hardware sau software, s fie imposibil refacerea acestui sistem. Recomandri: Alocarea unei camere, amenajat corespunztor, n vederea gestionrii corecte a backup-urilor. Fia de identificare i analiz a problemei, nr.2 Problema: Neaprobarea cercetrii i monitorizrii informaiilor electronice. Constatri: Nu s-a emis un Odin/Decizie/Act intern care s specifice care sunt persoanele cu atribuii de cercetare i monitorizare a informaiilor electronice, precum i persoane cu atribuii de a intercepta, revizui sau divulga coninutul mesajelor trimise sau primite de personalul instituiei prin e-mail. Cauze: Inexistena unor procedure formalizate la nivelul instituiei cu privire la manipularea informaiilor n format electronic. Aceste procedure formalizate trebuie s fie puse n coresponden cu politica de e-mail. Consecine: Posibilitatea interceptrii, accesrii sau divulgrii coninutului unor informaii electronice de ctre personal neautorizat. Recomandri: Stabilirea prin Ordin/Decizie/Act intern a unei persoane din cadrul Departamentului IT, cu atribuii de monitorizare i, dac este cazul, de cercetare a informaiilor electronice transmise/primite de ctre personalul instituiei prin e-mail. Aceast persoan trebuie s asigure condiiile de confidenialitate i integritate a datelor i informaiilor pe care le monitorizeaz. Fia de identificare i analiz a problemei, nr.3 Problema: Neformalizarea unei politici de e-mail la nivelul instituiei. Constatri: La nivelul instituiei nu a fost stabilit o politic de e-mail care s ndeplineasc urmtoarele condiii: s fie scris clar, concis, astfel nct s poat fi uor de citi i de neles; redactarea s se fac cu implicarea personalului IT, a resurselor umane sau altor structure funcionale; s fie aprobat semnat de conducere; s fie distribuit un plan care s prevad un instructaj cu privire la riscurile la care se supun angajaii dac nu urmeaz punctele transmise prin politica n cauz; s fie actualizat permanent.

Cauze: Departamentul IT nu dispune de suficient personal care s se ocupe de redactarea i actualizarea permanent a politicii de e-mail. Consecine: Grad sczut de asigurare a integritii i confidenialitii datelor i informaiilor transmise sau primite de utilizatori n format electronic, prin e-mail. Recomandri: Desemnarea unui grup de lucru cu atribuii de redactare, comunicare i implementare a politicii de e-mail la nivelul insituiei. 3.2.2. edina de nchidere n edina de nchidere a fost prezentat ctre Departamentul IT obiectivele care au fost supuse auditrii. Constatrile efectuate au fost discutate pentru fiecare obiectiv auditat i au fost prezentate dovezile care susin aceste constatri. S-a insistat asupra consecinelor posibile n cazul n care aspectele constatate nu vor fi soluionate. Au fost prezentate prii auditate recomandrile care urmeaz a fi implementate pentru eliminarea deficienelor. Auditorii interni consider c deficienele constate n misiunea de audit public intern efectuat pot fi eliminate prin implementarea recomandrilor formulate. Ca finalitate a edinei s-a ntocmit Minuta edinei de nchidere. 3.3.1.Elaborarea proiectului de Raport de audit public intern La sfritul misiunii de audit public intern, auditoria interni au elaborate un proiect de raport de audit public intern, care reflect cadrul general, obiectivele, constatrile, concluzile i recomandrile. n urma verificrilor s-au constatat urmtoarele: 1. Obiectivul de audit: Reeaua de calculatoare Constatri cu caracter negativ: Nu a fost asigurat o locaie astfel nct backup-urile s fie corect jurnalizate i stocate. Consecine: posibilitatea deteriorrii anumitor copii de siguran, astfel nct n cazul cderii sistemului ca urmare a unor cauze hardware sau software, s fie imposibil refacerea acestui sistem. Recomandri: Alocarea unei camere, amenajat corespunztor, n vederea gestionrii corecte a backup-urilor. 2. Obiectivul de audit: Logistica IT Constatri cu caracter pozitiv: Reeaua intern a Instituiei este bazat pe o structur de switch-uri 3COM Gigabit Switch 5, avnd o serie de faciliti care confer securitate sporit, optimizeaz traficul n reea i ofer, de asemenea redundan. Switch-urile pot fi configurate de la distan prin interfa Web, fiecare din ele avnd un IP static. Conectarea se face pe baz de user i parol; mai exist dou conturi, unul de supervizare unde se fac doar setri de parametri care nu implic securitatea, respectiv un user unde se poate vizualiza

configuraia switch-ului. Echipamentele IT sunt corect ntreinute , fiind totodat plasate i protejate pentru a se preveni riscul distrugerii accidentale. 3. Obiectivul de audit: Gestiunea licenelor IT Constatri cu caracter pozitiv: La nivelul Departamentului IT exist o eviden a situaiei scriptice a licenelor IT. De asemenea, pentru licenele utilizate exist documente de provenien. Pentru fiecare staie de lucru a fost ncheiat un proces-verbal cu privire la soft-ul instalat pe fiecare calculator, astfel nct toate programele instalate s fie autorizate. Constatri cu caracter negativ: Nu s-a emis un Odin/Decizie/Act intern care s specifice care sunt persoanele cu atribuii de cercetare i monitorizare a informaiilor electronice, precum i persoane cu atribuii de a intercepta, revizui sau divulga coninutul mesajelor trimise sau primite de personalul instituiei prin e-mail. La nivelul instituiei nu a fost stabilit o politic de e-mail care s ndeplineasc urmtoarele condiii: s fie scris clar, concis, astfel nct s poat fi uor de citi i de neles; redactarea s se fac cu implicarea personalului IT, a resurselor umane sau altor structure funcionale; s fie aprobat semnat de conducere; s fie distribuit un plan care s prevad un instructaj cu privire la riscurile la care se supun angajaii dac nu urmeaz punctele transmise prin politica n cauz; s fie actualizat permanent. Cauze: Inexistena unor proceduri formalizate la nivelul instituiei cu privire la manipularea informaiilor n format electronic. Aceste proceduri formalizate trebuie s fie puse n coresponden cu politica de e-mail. Departamentul IT nu dispune de suficient personal care s se ocupe de redactarea i actualizarea permanent a politicii de e-mail. Consecine: Posibilitatea interceptrii, accesrii sau divulgrii coninutului unor informaii electronice de ctre personal neautorizat. Grad sczut de asigurare a integritii i confidenialitii datelor i informaiilor transmise sau primite de utilizatori n format electronic, prin e-mail. Recomandri: Stabilirea prin Ordin/Decizie/Act intern a unei persoane din cadrul Departamentului IT, cu atribuii de monitorizare i, dac este cazul, de cercetare a informaiilor electronice transmise/primite de ctre personalul instituiei prin e-mail. Aceast persoan trebuie s asigure condiiile de confidenialitate i integritate a datelor i informaiilor pe care le monitorizeaz. Desemnarea unui grup de lucru cu atribuii de redactare, comunicare i implementare a politicii de e-mail la nivelul insituiei. Avnd n vedere constatrile din Raportul de audit public intern, concluziile sunt urmtoarele: Exceptnd obiectivele de audit pentru care au fost formulate recomandri, n cadrul instituiei se

respect i se realizeaz un control adecvat referitor la Logistica IT, Gestiunea licenelor IT. Deficienele menionate n Raportul de audit public intern pot fi nlturate prin implementarea recomandrilor formulate de auditorul intern. Proiectul de Raport de audit public intern se transmite la Departamentul IT, iar acesta va trimite n maxim 15 zile, punctual su de vedere care va fi analizat de auditorii interni. 3.3.2. Reuniunea de conciliere Scopul reuniunii de conciliere este de a discuta eliminarea eventualelor divergene existente privind constatrile i recomandrile formulate de ctre auditorii interni n Proiectul raportului de audit public intern, precum i stabilirea unui plan de aciune i a calendarului de implementare a recomandrilor. Dup aprobarea recomandrilor cuprinse n raportul de audit public intern finalizat, acestea devin obligatorii i vor fi comunicate Departamentului IT. Aprobarea recomandrilor va fi realizat de ctre directorul Instituiei. 3.3.3. Difuzarea Raportului de audit public inter (Raport final) eful compartimentului de audit public intern transmite Raportul de audit public intern mpreun cu rezultatele concilierii i punctual de vedere al structurii auditate, conductorului entitii publice Tiberiu Tudoran, pentru analiz i avizare. Dup avizare, Raportul de audit public intern va fi comunicat Departamentului IT. n cazul n care exist recomandri care nu au fost avizate de conductorul entitii publice, auditorii interni transmit la organul ierarhic superior sau la UCAAPI, o informare, mpreun cu o documentaie de susinere. 3.3.4. Urmrirea recomandrilor Obiectivul acestei etape este asigurarea c recomandrile menionate n Raportul de audit intern sunt aplicate ntocmai, n termenele stabilite, n mod eficace i conducerea a evaluat riscul de neaplicare a acestor recomandri. Urmrirea recomandrilor este un proces prin care se constat caracterul adecvat, eficacitatea i oportunitatea aciunilor ntreprinse de ctre conducerea entitii auditate pe baza recomandrilor din Raportul de audit intern. Procedura de urmrire a recomandrilor presupune ntocmirea documentului Fia de urmrire a recomandrilor pe baza planului de aciune i a calendarului de implementare. Concluzii Cadrul metodologic asociat unei misiuni de audit urmrete,obinerea unei nelegeri a cerinelor organizaiei, identificarea controalelor existente, precum i evaluarea conformitii controlului intern, i identificarea riscurilor. Principiile auditului sunt construite n jurul celor patru premise. n general, un astfel de proces

implic, ntro prim etap, documentarea activitilor pentru a evidenia obiectivele controlului, intervievarea managementului i a personalului Departamentului IT cu scopul de a nelege cu adevrat cerinele organizaiei. Ulterior se urmrete identificarea controalelor existente i analiza msurilor de control implementate n cadrul organizaiei; auditorul trebuie s se asigure c documentaia procesului exist i s evalueze distribuia, responsabilitatea i disponibilitatea ei. Evaluarea conformitii controlului intern este etapa n care auditorul trebuie s se asigure c msurile de control stabilite sunt n conformitate cu standardele n vigoare i regulamentele interne, fapt ce-l va determina s obin probe pe diferite eantioane. Finalitatea etapei este redat de aplicarea testelor de detaliu i procedurilor analitice, tocmai pentru a asigura auditorului certitudinea c precesele IT sunt adecvate. Identificarea riscurilor importante ale sistemului informatic, presupune o analiz a slbiciunilor de control i vulnerabilitilor sistemului n vederea aprecierii actualului sau potenialului impact. n acest sens, auditorul va analiza tehnici analitice i/sau consult surse alternative n acord cu obiectivul auditului. Controlul intern ntrun sistem informaional este menit s promoveze att eficacitatea exploatrii ct i fiabilitatea sistemului. Azitzi, ntrun mediu informatizat, verificarea i aprecierea acestui control, la nivelul unei organizaii, reprezint cheia care i confer auditorului ncrederea asupra datelor ce urmeaz a fi auditate. Verificarea integritii datelor este o etap premergtoare ndeplinirii obiectivelor unei misiuni de audit, deoarece auditorii trebuie s se asigure c rezultatele din rapoartele finale sunt bazate pe date complete, precise i fiabile. ntrebarea care se ridic ns, este: Cum poate un auditor s evalueze completitudinea, acurateea i integritatea datelor furnizate de managementul unei entiti, pentru asigurarea reuitei misiunii de audit?? Elementele de fraud i eroare cu ajutorul calculatorului nu sunt puine. Totui, muli auditori nu contientizeaz necesitatea realizrii unui control al sistemului informatic i nu percep aceast testare a validitii i autenticitii datelor ca fiind direct legat de obiectivele unei misiuni de audit financiar. n general, controlul intern ntrun sistem informaional vizeaz un control general care afecteaz mediul activitilor informatizate i controlul aplicaiilor existente n sistem. Din punct de vedere al practicii auditului, nu exist ns o distincie ntre cele dou tipuri de control pentru c n realitate ele se completeaz reciproc i, mpreun, dau o imagine complet i corect asupra sistemului informaional. Cheia n domeniul auditului este de a recunoate c auditul poate avea i o mai mare valoare dac analizeaz aspecte dincolo de problemele financiare tradiionale i se focalizeaz asupra unor puncte de interes pentru un public mai larg. Muli auditori consider astzi c metodologia de audit

care era potrivit n era industrial s-ar putea s nu fie suficient de dezvoltat pentru era informaional, cnd activele sunt intangibile, comerul este electronic, pieele sunt globale i ritmul schimbrii este din ce n ce mai accelerat. Ce valori trebuie s ofere auditorii? Trebuie oare s ofere o abordare tradiional a analizelor periodice ce vizeaz datele istorice, a datelor bazate pe cost sau a situaiilor financiare? Oare este necesar o abordare bazat pe date n continu schimbare, bazate pe valoare i pe emiterea de informaii ct mai cuprinztoare? Oricum auditori viitorului ce vor lucra n comer i industrie vor avea oportunitatea de a deveni o resurs cheie n organizaiile lor. Pentru a avea succes n noile ncercri ei trebuie s-i diversifice cunotinele de baz dincolo de analiza financiar tradiional ctre noi domenii precum tehnologia informaiei, msurarea performanelor nefinanciare i managementul general. Dezvoltrile comerului electronic aduc o mare provocare sistemelor tradiionale de afaceri i contabililor care le deservesc. Internetul joac un rol din ce n ce mai important n rspndirea informaiei financiare i de afaceri. Aceasta modific graniele internaionale ale informaiei i genereaz ateptri asupra raportrii la timp de informaii actualizate, fapt ce determin ca opinia de audit s fie dat mai degrab asupra sistemului informatic existent n cadrul entitii, dect asupra datelor din situaile financiare. Instituiile publice sunt n permanen confruntate cu mbuntirea performanelor lor . Funcia de audit intern ofer, din acest punct de vedere, sigurana rezonabil c operaiunile desfurate, deciziile luate sunt sub controli c n acset fel, contribuie la realizarea obiectivelor entitii. Auditul intern ajut instituia s i ating obiectivele evalund procesele sale de management al riscurilor, de control i de conducere. Auditorii interni pot prin consiliere permanent, s ajute instituia s identifice, s evalueze i s implementeze un dispozitiv de management al riscurilor i de control care s permit stpnirea acestor riscuri. Misiunile de audit scot n eviden anomaliile i punctele slabe semnifcative din cadrul proceselor ce se desfoar la nivelul instituiei, astfel nct s poat fi remediate sau atenuate consecinele acestora. Prin mprtirea cunotinelor, auditul public intern permite schiarea perspectivelor i contribuie la progress. n loc de ncheiereDac Dumnezeu mi-ar mai da o bucic de via A da valoare lucrurilor mrunte, dar nu pentru ce valoreaz ele, ci mai curnd pentru ceea ce ele semnific ..; de-abia acum neleg c pentru fiecare minut n care nchidem ochii pierdem aizeci de secunde de lumin. A merge n timp ce alii ar sta pe loc, a rmne treaz n timp ce toi ceilali ar dormi. A asculta n timp ce alii ar vorbi. Gabriela Garcia Marquez Doamne, ct respect pentru lumina minii, care este informaia. i cum s nu fie protejat pe

msur?15 Victoria este un vrf al curajului i la captul acestuia se afl libertatea care vine odat cu contiina faptului c nicio putere pmnteasc nu te poate nfrnge. Tria de caracter este unicul lucru fr de care nu poi tri i doar curajul convingerilor proprii este cel care face posibil schimbarea.

BIBLIOGRAFIE 1. Ionela-Corina Chersan (coordonator), Control i Audit Intern, Editura Universitii Al.I.Cuza Iai, 2008 2. Crciun, t., Auditul financiar i auditul intern, Editura Economic, Bucureti, 2004 3. Crciun, t., Auditul intern, evaluare, consiliere, Editura Economic , Bucureti, 2006 4. Flavia Stoian, Ana Morariu, Suciu Gh., Audit intern i Guvernan Coorporativ, Editura Universitar, Bucureti, 2008 5. Alvin, A.Arens, James K.Loebbecke, Audit o abordare integrat, Ediia a 8-a, Editura ARC, 2006 6. Mare, G., Cristiana Costinescu, Niculae, D.C., Pitulice, M.G., Practica auditului intern, Editura Contaplus, Bucureti, 2007 7. Roman Aureliana-Geta, Roman, C., Tabr, V., Control financiar i audit public, Editura Economic, Bucureti, 2007 8. Dobroeanu, L., Dobroeanu, C.L., Audit concepte i practice, Editura Economic, Bucuresti, 2002 9. Ghi, M., Mare, V., Auditul performanei publice, Editura CECCAR, Bucureti, 2002 10. Munteanu, V., Control i audit financiar-contabil, Editura Lumina Lex, Bucureti, 2003 11. Boulescu, M., Brnea, C., Ispir, O., Control financiar intern i audit intern la entitile publice, Editura Economic, Bucureti, 2004 12. Chiu, A., Pitulice, M., Pitulice, A., Studii de caz privind auditul public intern, Editura
15

Oprea Dumitru, Protecia i securitatea sistemelor informaionale, Editura Universitii Al.I.Cuza, Iai, 2006, p.,7

CECCAR, Bucureti, 2005 13. Morariu, A., Stoian Flavia, Auditul intern- o funcie cu multiple valene, Revista Romn de Statistic, nr.3/2007 14. Renard, J., Teoria i practica auditului intern, Ediia a patra, Bucureti, 2002 15. Daniela-Neonil Mardiros, Scorescu, F.I., Contabilitate public, Editura Ion Ionescu de la Brad Iai, 2007 16. Nicolae Florina, Dasclu Doina, Auditul intern n instituiile publice, Editura Economic, Bucureti, 2006 17. Gabriela Meni, Oprea, D., Dumitriu, F., Analiza sistemelor informaionale, Editura Universitii Al.I.Cuza, Iai, 2005 18. Oprea, D., Protecia i securitatea sistemelor informatice, Editura Universitii Al.I.Cuza, Iai, 2006 19. Nstase, P., Stanciu, V., Dana Boldeanu, Auditul i controlul sistemelor informaionale, Editura Economic, Bucureti, 2007 20. Oprea, D., Munteanu, A., Rusu Daniela, Probleme actuale ale securitii n sistemele informaionale pentru afaceri, Editura Polirom, Iai, 2003 21. Horomnea, E., Dorina Budugan, Tabr, N., Bazele contabilitii, Editura Sedcom Libris, Iai, 2006 22.***Legea nr. 672 din 19.12.2002, privind auditul public intern, MO nr.953 din 24.12.2002 23.***Ordinul ministrului finanelor publice nr.423/2004 pentru modificarea i completarea Normelor generale privind exercitarea activitii de audit public intern aprobate prin OMFP nr. 38/2003 24.***Norme profesionale ale auditului intern, Minsterul Finanelor Publice i Institutul Auditorilor Interni (IFACI)