Professional Documents
Culture Documents
Scopul acestei etape a aprecierii controlului intern este de a stabili pentru fiecare
domeniu semnificativ care sunt procedurile utilizate în cadrul fiecărui compartiment,
fiecărei funcţii pentru: iniţierea, aprobarea şi controlul tranzacţiilor şi operaţiunilor;
culegerea informaţiilor şi consemnarea lor în documentele justificative; asigurarea
integrităţii patrimoniului şi a gestionării eficiente a acestuia; asigurarea regularităţii şi
sincerităţii sistemului contabil.
Pentru cunoaşterea, înţelegerea şi descrierea procedurilor utilizate în entitate,
auditorul apelează la una sau mai multe tehnici, cum sunt:
a) Interviul sau investigaţia
Constă în obţinerea de informaţii de la persoane bine informate, de conducere şi
de execuţie. Investigaţia se materializează în obţinerea unei descrieri motivate a
procedurilor folosite, într-o manieră informală, fără utilizarea unui suport standard.
Acesta tehnică prezintă avantajul că permite o oarecare supleţe în derularea
conversaţiei şi, ca urmare, interlocutorii se simt mai puţin controlaţi, ei devin mai
cooperanţi, mai volubili. Pe baza acestei tehnici auditorii pot obţine informaţii care nu
pot fi obţinute prin alte modalităţi de lucru.
Totuşi, această tehnică prezintă un inconvenient maior determinat de faptul că
aspectele discutate sunt uneori neconcludente, amstecându-se problemele esenţiale cu
cele neesenţiale şi colaterale, ceea ce face ca sintetizarea procedurilor să fie dificil de
efectuat, necesitând mai multe interviuri cu persoanele implicate. Unele aspecte esenţiale
pot fi omise. Uneori, persoanele intervievate furnizează informaţii eronate, contradictorii
sau incomplete. Această tehnică este recomandabilă numai pentru tranzacţiile sau
operaţiunile cu un grad redus de complexitate.
b) Chestionarele descriptive de control intern şi ghidurile operaţionale
Chestionarele sunt de mai multe tipuri. Pentru descrierea procedurilor, se
recomandă ca ele să fie „deschise". Chestionarele
deschise exclud posibilitatea ca răspunsurile la întrebările auditorului să fie „da"
sau „nu". Întrebările sunt astfel formulate încât să-1 oblige pe interlocutor să formuleze
1
răspunsuri detaliate, care dovedesc dacă acesta cunoaşte sau nu, procedurile folosite în
compartimentul respectiv sau pentru operaţiunea respectivă.
Ghidurile operaţionale se aseamănă cu chestionarele descriptive, dar ele nu iau
forma unor întrebări.
Chestionarele descriptive şi ghidurile operaţionale elimină unele din
inconvenientele discuţiilor libere, ale interviurilor. Aceste chestionare şi ghiduri
limitează posibilitatea ca unele aspecte importante să fie omise. Întrebările se formulează
din timp pe suport de hârtie sau pe un alt suport şi se actualizează în permanenţă pe baza
experienţei acumulate de auditori şi pe baza cunoştinţelor despre entitate, dobândite
anterior. Aceste documente pot fi folosite şi ca suport al interviurilor. Pe baza acestor
chestionare, conducerea cabinetelor de audit urmăreşte calitatea activităţii asistenţilor si
colaboratorilor.
c) Diagramele de circuit
Diagramele de circuit sunt reprezentări grafice ale unor lanţuri de operaţiuni în
care diferite documente, posturi de lucru sau compartimente, decizii, responsabilităţi,
operaţiuni etc. sunt reprezentate prin simboluri legate între ele, în funcţie de organigrama
administrativă a entităţii.
Elaborarea diagramelor de circuit presupune utilizarea unor tablouri de simboluri.
Aceste tabouri au fost elaborate sub diferite forme.
Astfel, Ordinul experţilor contabili din Franţa recomandă folosirea următoarelor
simboluri: (extras)
Aceste diagrame de circuit trebuie să fie cât mai simple. în interiorul unei entităţi
trebuie să se folosească aceleaşi simboluri.
2
Diagramele de circuit pot fi construite după o formă verticală sau orizontală.
Într-o diagramă verticală operaţiunile sunt trecute succesiv.
Astfel,
3
deosebite pentru elaborarea lor; se elaborează pe suporturi de hârtie de dimensiuni mari.
Diagramele orizontale se utilizează pentru reprezentarea circuitelor complexe.
După ce a obţinut o descriere a procedurilor cu ajutorul tehnicilor de mai sus,
auditorul trebuie să analizeze, cu ajutorul testelor
de conformitate, dacă aceste proceduri sunt bine înţelese şi sunt conforme cu
realitatea.
Testele de conformitate au ca obiectiv obţinerea confirmării asupra faptului că
procedurile descrise au fost bine înţelese şi corespund procedurilor aplicate în bancă.
Testele de conformitate urmăresc numai dacă aceste proceduri există (teoretic),
indiferent de modul în care ele se aplică.
Testele de conformitate se realizează concomitent cu descrierea sistemului
contabil şi a sistemului de control intern. Ele cuprind un număr limitat de tranzacţii şi
operaţiuni. Uneori, este suficient ca pentru verificarea realităţii procedurilor să se testeze
o singură tranzacţie sau operaţiune. Dacă procedurile au mai multe variante, se impune
testarea fiecărei variante.
Testele de conformitate se realizează cu ajutorul unor tehnici specifice, cum sunt:
□ Obţinerea de confirmări verbale de la diferiţi executanţi care utilizează
procedurile respective;
□ Observarea directă a modului cum sunt aplicate procedurile de către per-
soanele implicate în culegerea, prelucrarea şi controlul informaţiilor;
□ Urmărirea existenţei unor probe materiale referitoare la aplicarea
procedurilor contabile sau de control intern. Aceste probe materiale (confirmări) se
concretizează în ştampile, vize, semnături aplicate pe documentele respective, uneori
însoţite de explicaţii suplimentare, cum sunt: verificat, achitat, livrat, înregistrat etc.
Acesta tehnică permite cuprinderea în sondaj a unui număr mare de documente, tranzacţii
şi operaţiuni într-un timp foarte scurt.
□ Efectuarea de teste ulterioare, sub forma testelor de urmărire sau a
jocurilor de încercare asupra unor proceduri de la început şi până la sfârşit, de la iniţerea
tranzacţiilor şi operaţiunilor şi consemnarea lor în documente şi până la întocmirea
situaţiilor financiare.
□ Compararea procedurilor descrise cu ajutorul tehnicilor de mai sus cu
4
manualele de proceduri, normele interne, fişele posturilor, sarcinile de serviciu etc.
elaborate în cadrul entităţii.
Testele de conformitate permit corectarea erorilor de înţelegere din partea
auditorilor, corectarea informaţiilor inexacte sau incomplete culese de la interlocutori,
aprofundarea cunoaşterii procedurilor, în special a punctelor de control introduse în
sistemul auditat.
Cunoaşterea, descrierea şi înţelegerea acestor proceduri trebuie făcută cât mai
rapid posibil, astfel încât să se evite tendinţa de orientare a eforturilor auditorilor asupra
acestei etape descriptive în detrimentul etapei de evaluare critică a acestor proceduri.
Această etapă a evaluării controlului intern se dezvoltă integral când procedurile
sunt analizate pentru prima dată. în exerciţiile următoare, auditorul realizează numai o
aducere la zi a descrierii sistemelor şi procedurilor. Dacă sistemele şi procedurile nu au
fost modificate, se apelează doar la teste de conformitate asupra acestor proceduri.
5
După parcurgerea lucrărilor legate de „evaluarea controlului intern", după
sintetizarea punctelor forte şi punctelor slabe ale sistemului contabil şi sistemului de
control intern, după stabilirea domeniilor semnificative (a conturilor semnificative şi a
verificărilor semnificative), precum şi a riscurilor asociate acestor domenii, auditorul
colectează elemente probante suficiente şi juste referitoare la exhaustivitatea, realitatea şi
exactitatea conturilor (perioada corectă, evaluarea corectă, imputarea corectă, prezentarea
corectă în situaţiile financiare).
Obiectivul principal al etapei "Controlul conturilor" îl reprezintă procurarea
elementelor probante suficiente şi juste care să îi permită profesionistului contabil să
exprime o opinie motivată asupra modului cum au fost respectate normele legale şi
dispoziţiile conducerii, cum ar fi:
reglementările de evaluare şi prezentare stabilite prin normele legale şi
profesionale;
principiile contabilităţii: prudenţa, permanenţa metodei,
continuitatea activităţii, independenţa exerciţiului, intangibilitatea bilanţului de
deschidere, necompensarea;
reglementările referitoare la inventariere;
regulile de organizare a contabilităţii şi de ţinere a registrelor contabile;
existenţa activelor şi faptul că acestea aparţin băncii;
pasivele patrimoniale, veniturile şi cheltuielile trebuie să privească banca şi
perioada respectivă.
Aprecierea controlului intern şi controlul conturilor sunt două etape ale auditului
bancar care se pot derula, în practică, fie succesiv fie concomitent, în funcţie de
experienţa auditorilor.
Pentru a asigura şi acestei etape a auditului un caracter organizat, pentru evitarea
suprapunerilor şi repetărilor inutile între etapele auditului şi pentru prevenirea
omisiunilor, controlul conturilor se derulează pe baza unui „Program de control al
conturilor". Acest program se elaborează pe baza informaţiilor culese în etapele
precedente ale auditului.
6
Datorită relaţiei invers proporţionale dintre eficienţa controlului intern şi
întinderea lucrărilor de control al conturilor, nu se poate elabora un program standard de
control al conturilor. Programele de control al conturilor variază între o anumită limită
minimă şi o limită maximă.
Dacă în entitate controlul intern este bine conceput şi funcţionează eficient, scade
riscul de transmitere către contabilitate a unor date eronate sau de înregistrare eronată a
unor tranzacţii şi operaţiuni şi, ca urmare, sporeşte gradul de asigurare a auditorului
referitor la valoarea probantă a contabilităţii, ceea ce impune elaborarea unui program
restrâns de control al conturilor.
În această situaţie, demersurile auditorului se restrâng la analiza soldurilor
conturilor cu ajutorul procedurilor analitice, aceasta deoarece în etapa precedentă s-a
evaluat modul de organizare şi modul de funcţionare a controlului intern asupra rulajelor
conturilor, cu ajutorul testelor de proceduri (teste de conformitate, teste de permanenţă
etc.) Pentru verificarea coerenţei interne între etapele auditului şi pentru confirmarea
concluziilor la care s-a ajuns în urma evaluării controlului intern, procedurile analitice
sunt completate cu teste ale detaliilor unor tranzacţii şi operaţiuni, care se pot extinde şi
asupra rulajelor unor conturi semnificative.
În situaţia în care, în urma parcurgerii etapelor precedente ale auditului, se ajunge
la concluzia că sistemul contabil şi sistemul de control intern prezintă numeroase limite,
există riscul ca informaţiile contabile să nu reflecte imaginea fidelă asupra poziţiei
financiare, performanţei financiare şi fluxurilor de trezorerie, aşa cum prevede Legea
contabilităţii nr.82/1991, modificată pein O.G. nr.6l/2001, art.2. În această situaţie,
auditorul constată că nu se poate sprijini suficient pe controlul intern din entitate şi, ca
urmare, elaborează un program extins de control al conturilor. Acest program extins
prevede un volum mai mare de sondaje care se extind şi asupra rulajelor conturilor,
asupra tranzacţiilor şi altor operaţiuni înregistrate în contabilitate. în acest caz, auditorul
completează testele de control sau de proceduri cu controalele substantive sau
procedurile de fond astfel încât, ţinând seama şi de riscurile de nedetectare, auditorul să
obţină o asigurare rezonabilă asupra reducerii riscului de audit. Aceste sondaje ale
auditului se stabilesc în funcţie de riscurile de anomalii şi punctele slabe depistate cu
ocazia derulării etapelor anterioare ale angajamentului (misiunii) de audit.
7
După cum s-a arătat, probele de audit se obţin printr-o combinare adecvată a
testelor de control şi a procedurilor de fond. Testele de control (denumite şi teste de
proceduri) sunt utilizate cu ocazia evaluării sistemului contabil şi a sistemului de control
intern. Testele de control sunt utilizate de auditor cu scopul de a obţine probe de audit
referitoare la eficacitatea proiectării şi funcţionării sistemului contabil şi a sistemului de
control intern. Procedurile de fond (denumite şi controale substantive) sunt testele
(sondajele) realizate de auditori cu scopul de a obţine probe de audit şi de a detecta
erorile semnificative din situaţiile financiare. Procedurile de fond se realizează, de regulă,
prin intermediul:
• testelor de detaliu ale tranzacţiilor sau ale soldurilor, uneori şi ale
nilajelor, conturilor;
• procedurile analitice.
Programul de control al conturilor se întocmeşte, de regulă, separat de „Planul de
misiune' şi „Sinteza asupra controlului intern", fiind o continuare a acestora. Programul
de control al conturilor cuprinde:
a) Lista controalelor de efectuat, ordonată pe posturi ale bilanţului.
Această listă trebuie să fie suficient de detaliată pentru a se evita
omisiunile şi pentru a se putea stabili cu uşurinţă documentele şi
informaţiile ce urmează a se solicita de la întreprindere;
b) întinderea eşantionului (mărimea sondajului) care se stabileşte în
funcţie de pragul de semnificaţie şi de erorile posibile a se produce care
urmează a fi avute în vedere în această etapă a auditului.
c) Indicarea datei la care urmează să se efectueze controlul. Precizarea
datei are loc pe măsura derulării controlului. Prin aceasta se poate stabili
cronologia lucrărilor de auditare a conturilor şi se poate delimita
răspunderea auditorului pentru operaţiunile care au avut loc până la acea
dată, inclusiv pentru operaţiunile posterioare închiderii exerciţiului;
d) Precizarea referinţei (codului) pentru foaia de lucru în care s-au
consemnat constatările controlului. Foile de lucru sunt documente care
se anexează la programele de control, în ele se înscriu operaţiunile şi
documentele verificate prin sondaj, precum şi constatările reţinute.
8
Pentru a putea fi uşor sistematizate, foile de lucru sunt codificate printr-
o referinţă care are corespondent în documentul de planificare.
e) Numele şi prenumele specialistului contabil care verifică obiectivele
respective. Această coloană se utilizează în cadrul birourilor sau
societăţilor de expertiză care utilizează mai mulţi colaboratori sau
salariaţi.
f) Probleme întâlnite. în această coloană se face o sinteză a rezultatelor
controlului. Această coloană serveşte şi la supervizarea lucrărilor
efectuate, supervizare asigurată de către expertul contabil sau societatea
de expertiză contabilă care a apelat la colaboratori şi asistenţi.
Programul de control a conturilor poate fi întocmit după următorul model:
Obiectivele Mărimea Data Cine Probleme
controlului eşantionului controlului controlează Referinţa întâlnite
9
3. Auditul profilelor utilizatorilor sistemelor informatice din domeniul bancar
10
o se întreabă directorul de IT dacă etichetele problemă sunt
păstrate de centrul de date/operaţiuni;
• se întreabă directorul de IT dacă etichetele activităţii sistemului sunt
utilizate pentru a captura utilizarea resurselor de hardware asociate
serverelor, CPU, activităţii de salvare a accesului. Acesta este mijlocul
primar pentru identificarea problemelor de procesare create de către
componente neadecvate sau eşuate;
• Se întrebă directorul de IT care proces/procedură asigură conformitatea
cu contractele de licenţă pentru software;
• Se întreabă directorul de IT dacă accesul în sistemul informatic este
împărţit între utilizatori. Accesul împărţit cât şi parolele trebuie să fie
interzise dacă câţiva utilizatori nu solicită acces doar la interogări de
date/informaţii neconfidenţiale;
• Se întreabădirectorul de IT dacă modemurile sunt ataşate la server (oferă
acces la distanţă);
• Se intervieveazăadministratorii de sistem pentru a se determina dacă li s-
au oferit secţiuni de pregătire referitoare la securitizarea serverelor;
• Se determină dacă există topologie a reţelei;
• Se întreabă directorul de IT dacă este cineva responsabil pentru
contabilizarea tuturor hardware-urile şi softurile din cadrul companiei;
• Se întreabădirectorul de IT cum sunt protejate de viruşi computerele şi
serverele;
• Se determină ce proceduri există pentru a preveni sau detecta prezenţa
unui virus in servere şi se verifică cine este responsabil pentru realizarea
acestor proceduri;
• Sunt încărcate softuri anti-virus pe staţiile de lucru şi cunosc utilizatorii
cum să ruleze programul?
• Se întreabă câţiva utilizatori pentru a se determina dacă cunosc care sunt
paşii ce trebuie urmaţi dacă un virus este detectat sau suspectat pe
calculatorul lor?
11
#2
1. Evaluarea preliminara a procedurilor
12
afirmative indică punctele forte, faptul că, teoretic, entitatea dispune de măsuri necesare
pentru atingerea obiectivelor controlului intern iar răspunsurile negative scot în evidenţă
punctele slabe, lacunele sistemului de control intern.
Aceste chestionare atenuează parţial inconvenientele observării vizuale,
asigurând abordarea tuturor elementelor esenţiale ale dispozitivului de control intern. în
acelaşi timp, aceste chestionare de control intern prezintă şi unele limite determinate de:
faptul că, pe baza acestor chestionare, auditorul are tendinţa de a se orienta mai
mult asupra punctelor slabe, neglijând analiza punctelor forte. Această abordare se
dovedeşte insuficientă, deoarece auditorul are obligaţia de a analiza fiecare punct de
control, în vederea evaluării corecte a procedurilor. De fapt, punctele forte teoretice
degajate de această primă analiză, dacă nu sunt însoţite de mijloace corespunzătoare
pentru aplicarea lor în practică, devin în realitate puncte slabe;
amestecarea întrebărilor referitoare la obiective cu întrebările legate de
mijloace.
□ Fişa punctelor de control. Noţiunile de „obiective" şi „mijloace" sunt comple-
mentare şi, ca urmare, pentru evaluarea preliminară a controlului intern, ele trebuie
cercetate concomitent.
Întocmirea fişei punctelor de control impune:
a) Definirea şi inventarierea obiectivelor
Inventarierea obiectivelor constituie prima etapă a evaluării preliminare. Aceste
obiective sunt structurate în două categorii:
♦ obiective comune tuturor băncilor, indiferent de sectorul de activitate, de
mărimea lor sau de mijloacele folosite pentru tratarea informaţiilor;
♦ obiective specifice fiecărei bănci.
b) Descrierea mijloacelor de care dispune banca pentru atingerea
acestor obiective
După fixarea obiectivelor, auditorii stabilesc care sunt mijloacele aflate la
dispoziţia băncii cu ajutorul cărora se pot atinge aceste obiective. Pentru fiecare obiectiv
auditorul poate constata că:
♦ banca dispune de mai multe mijloace (punctele „Foarte bune"-FB);
♦ banca dispune de un singur mijloc (punctele ,,Forte"-F);
13
♦ banca nu a stabilit care sunt mijloacele necesare pentru atingerea unui
obiectiv, deşi aceste mijloace există (punctele ,,Slabe"-S);
♦ banca nu dispune de nici un mijloc pentru atingerea obiectivului,
controalele fiind imposibil de realizat (punctele „Foarte slabe"-FS).
c) Evaluarea manierei în care obiectivele au fost atinse
Fişa punctelor de control este un document recapitulativ care serveşte la
evaluarea preliminară a controlului intern. Această fişă va fi actualizată ulterior, după
verificarea modului de funcţionare a controlului intern, cu ajutorul testelor de permanenţă
şi a celorlalte tehnici care sunt prezentate mai jos. Pe baza fişei punctelor de control
actualizată şi completată se face şi evaluarea definitivă a pocedurilor.
14
2. Probele de audit
15
tehnici.
Caracterul just sau gradul de adecvare a elementelor probante colectate exprimă
calitatea lor, care se apreciază în funcţie de relevanţa şi fiabilitatea acestor probe.
Relevanţa probelor de audit, utilitatea lor pentru fundamentarea opiniei audito-
rului, este influenţată de pertinanţa acestora, se stabileşte prin raportarea lor la fondul
tranzacţiilor şi evenimentelor semnificative. Informaţiile contabile sunt utile auditorilor,
în primul rând, pentru confirmarea tranzacţiilor şi evenimentelor care au avut loc,
inclusiv pentru confirmarea previziunilor anterioare.
În al doilea rând, aceste informaţii îi sunt utile auditorului şi celor şapte categorii
de utilizatori externi pentru previzionarea capacităţii băncii „de a profita de oportunităţi
şi de a reacţiona la situaţii nefavorabile".
Informaţiile referitoare la evoluţia tranzacţiilor şi evenimentelor din trecut sunt
utile pentru previzionarea poziţiei şi performanţei financiare viitoare, precum şi a altor
aspecte, cum sunt: capacitatea băncii de a-şi onora obligaţiile scadente, de a plăti
dividende, de a-şi realiza activele etc.
S-a arătat că asigurarea imaginii fidele este dependentă de regularitatea şi
sinceritatea informaţiilor furnizate de contabilitate. Regularitatea depinde de respectarea
principiilor şi normelor contabile, iar sinceritatea informaţiilor este influenţată atât de
neutralitatea şi bunacredinţă a producătorilor de informaţii, cât şi de integralitatea
(exhaustivitatea) informaţiilor furnizate. Orice omisiune a informaţiilor semnificative
poate să-1 ducă în eroare pe auditor.
Certitudinea auditorului sporeşte dacă elemente probante din surse diferite şi de
naturi diferite sunt concordante între ele. Dacă aceste elemente nu sunt concordante, este
necesar sa se apeleze la proceduri suplimentare de control a conturilor.
Fiabilitatea (siguranţa) elementelor probante colectate este apreciată în funcţie
de: originea lor internă sau externă, natura lor scrisă sau orală, circumstanţele în care s-au
obţinut, astfel:
□ elementele probante externe (confirmări primite de la terţi) sunt mai
fiabile decât cele interne (soldul conturilor de creanţe);
□ elementele probante interne sunt cu atât mai fiabile cu cât în bancă există
un control intern mai riguros;
16
□ elementele probante obţinute personal de auditor sunt mai fiabile decât
cele furnizate de salariaţii băncii;
□ elementele probante materializate în documente sau confirmări scrise sunt
mai fiabile decât afirmaţiile verbale.
□ elementele probante bazate pe informaţii din diferite surse coroborate
între ele prezintă un grad cumulativ de încredere mai mare decât probele de audit
colectate individual.
Dacă probele de audit nu se coroborează între ele, auditorul trebuie să apeleze la
proceduri modificate şi suplimentare pentru reducerea riscului de audit. De asemenea,
dacă auditorul acordă un nivel de încredere redus probelor de audit adunate cu ajutorul
testelor de control (care stau la baza evaluării riscurilor legate de control) şi cu ajutorul
procedurilor de fond, pentru susţinerea sau infirmarea aserţiunilor conducerii privind
situaţiile financiare, se impune colectarea de probe de audit suficiente şi adecvate sau,
dacă acest lucru nu este posibil, exprimarea unei alte opinii decât "fără rezerve".
De regulă, probele de audit se reunesc pentru fiecare aserţiune în mod distinct.
Probele de audit care susţin o aserţiune a conducerii (o declaraţie a conducerii) privind
situaţiile financiare nu pot suplini lipsa probelor de audit pentru o altă aserţiune.
Astfel, existenţa unui activ stabilită prin inventariere nu compensează lipsa probelor
de audit referitoare la evaluare sau proprietatea acestuia.
În acelaşi timp, unele teste de control sau proceduri de fond pot furniza probe de
audit pentru mai multe aserţiuni. De exemplu, atunci când auditonil analizează recuperarea
creanţelor se obţin probe de audit referitoare la existenţa, evaluarea şi apariţia acestor
creanţe, dar nu şi referitoare la solvabilitatea debitorilor.
Pentru fiecare grupă de conturi, pentru fiecare domeniu semnificativ, controlul
conturilor presupune:
a) Determinarea eşantionului ce va fi controlat;
b) Controlul elementelor cuprinse în eşantion: operaţiuni, documente,
registre contabile, perioade de gestiune etc.
Acest control urmăreşte verificarea aserţiunilor conducerii făcute prin situaţiile
financiare şi respectarea normelor legale, a statutului societăţii bancare şi a hotărârilor
conducerii privind modul de reflectare a acestora în contabilitate.
17
c) Analiza rulajelor şi soldurilor conturilor, a corelaţiilor dintre conturi, a
rezultatelor şi a variaţiilor unor indicatori (ratio) precum şi reluarea sau
extinderea unor controale dacă este cazul;
d) Consemnarea rezultatelor în "Foile de lucru" deschise pentru fiecare
obiectiv verificat şi sistematizarea acestora în "Dosarul exerciţiului".
Proceduri pentru obţinerea probelor de audit
Probele de audit pot fi obţinute de auditor cu ajutorul uneia sau mai multor
proceduri cum sunt:
1 -Inspecţia
Inspecţia constă în examinarea registrelor contabile, documentelor justificative
sau a activelor fizice
Inspecţia registrelor contabile şi a documentelor justificative furnizează probe de
audit cu grade diferite de credibilitate, în funcţie de natura şi sursa de informaţii, precum
şi în funcţie de eficacitatea
controlului intern asupra proce- sării acestor informaţii. Din punctul de vedere al
credibilităţii şi fiabilităţii probelor de audit documentare, se deosebesc:
□ Probe de audit documentare create şi deţinute de terţi;
□ Probe de audit documentare elaborate de terţi şi păstrate de entitate
□ Probe de audit documentare create şi păstrate de entitate (statele de plată a
salariilor.)
Inspecţia activelor fizice furnizează probe de audit credibile în ceea ce priveşte
existenţa lor, dar nu în mod necesar şi în ceea ce priveşte proprietatea şi evaluarea lor.
2-Observaţia
Observaţia constă în urmărirea unui proces sau a unei proceduri executate de
către o altă persoană. Astfel, auditorul observă respectarea procedurilor de inventariere
de către personalul entităţii sau observă maniera în care personalul entităţii aplica o
procedură de control care nu lasă urme materiale sub forma unei semnături, unei
ştampile, etc.
3-Investigaţia
Investigaţia constă în obţinerea informaţiilor de la persoane bine informate din
interiorul sau din afara entităţii. Investigaţiile se materializează în cereri de informaţii
18
oficiale, în scris, de la terţe părţi, sau în întrebări orale neoficiale adresate personalului
entităţii.
Răspunsul la investigaţii poate oferi auditorului informaţii pe care nu le deţinea
anterior şi care trebuie verificate prin alte proceduri sau trebuie coroborate cu alte probe
de audit sau care constau în informaţii care se coroborează cu probele de audit deţinute.
4-Confirmarea
Confirmarea constă în răspunsul la o investigaţie care coroborează informaţiile
din registrele contabile sau din documentele justificative.
De exemplu, cu ocazia inventarierii creanţelor auditorul solicită debitorilor să
confirme soldurile conturilor respective.
5-Calculul
Calculul constă în verificarea acurateţei (exactităţii) aritmetice a documentelor
justificative şi a înregistrărilor contabile sau consta în efectuarea de către auditor a unor
calcule independente.
6 - Procedurile analitice
Procedurile analitice constau în analiza indicatorilor şi a tendinţelor semnifica-
tive, inclusiv analiza fluctuaţiilor şi a relaţiilor cu alte informaţii relevante în cazul în
care apar discrepanţe sau care sunt diferite faţă de valorile aşteptate sau previzionate.
Asupra acestor proceduri vom reveni cu ocazia prezentării probelor de audit
aferente unor rubrici speciale din situaţiile financiare.
19
3. Auditul securitatii fizice a sistemului informatic din domeniul bancar
Se determină dacă:
• procedurile de personal şi responsabilităţile abordează terminarea
contractului de muncă, funcţii încrucişate şi pregătiri legate de sisteme;
• controalele legate de securitatea fizică sunt adecvate pentru a preveni
accesul neautorizat în perimetrul centrului informatic;
• controalele de mediu sunt adecvate pentru a minimiza pierderile aferente
hardware/software provocate de incediu sau inundaţie;
• procedurile de backup (înlocuire- salvare) sunt adecvate pentru a
minimiza întreruperile şi pentru a proteja banca împotriva pierderii de
date în eventualitatea unui dezastru.
1. Aspecte organizatorice/proceduri de personal
• Se identifică acele poziţii responsabile pentru menţinerea programelor,
alternanţei sistemului/fişierelor de date şi utilizarea diferitelor sisteme
ale centrului informatic. Dacă este necesar, se verifică fişele de post
scrise pentru fiecare responsabilitate funcţională descrisă în
organigramă;
• Se determină dacă s-au realizat prevederi pentru înlocuirea personalului
din poziţiile cheie;
• Se determină dacă procedurile de terminare sunt adecvate:
a) cardurile de identificare ale angajatului trebuie să fie returnată atunci când el
sau ea a terminat contractul de muncă,
b) parolele care au fost utilizate de angajatul ce-şi termină contractul de
muncătrebuie să fie anulate sau schimbate,
c) cheile angajatului respectiv trebuie să fie returnate şi/sau încuietoarele să fie
schimbate,
d) există o sesiune/procedură de verificare a terminării contractului de muncă?
• Se determină dacă este oferită o pregătire şi supraveghere adecvată
referitoare la sistem acordată angajaţilor ce utilizează sistemul;
20
• Se determină dacă personalul prestatorilor de servicii este supravegheat
în timpul şederii acestuia în centrul informatic;
• Se obţine sau documentează o opinie generală asupra sistemelor
informatice (incluzând resursele de hardware, software, personalul de
întreţinere/design şi utilizatorii) din cadrul centrului informatic;
• Se determină pragul critic general al fiecărui sistem major identificat;
• Pe liniile de reţea se includ în cadrul sistemului de securitate aspecte de
call-back sau câteva alte mijloace de control care săasigure accesul
autorizat?
• Se determină dacă existăproceduri scrise de operare a sistemului (în
special pentru deschiderea şi închiderea calculatorului, menţinerea
fişierelor şi întreţinerea preventivă).
2.Securitatea fizică/controalele mediului
Se determină dacă procedurile şi politicile de securitate fizică sunt adecvate prin
evaluarea controalelor cu ajutorul interviului şi observaţiei. Se utilizează următorii paşi
de audit/întrebări în determinarea adecvării:
• se asigură că există proceduri scrise valabile care previn acordarea de
acces la facilităţile informatice personalului neautorizat,
• se asigură că personalul autorizat este în mod specific definit în
standardele de operare şi/sau proceduri,
• se observă la câteva momente diferite dacădoar persoanele autorizate sunt
în aria de procesare,
• se determină dacă facilităţile din camera calculatoarelor sunt
restricţionate prin utilizarea de chei, cartele magnetice sau alte dispozitive
de securitate automatizate,
• locul unde se află serverele este situat la parter şi există o fereastra de
observaţie?
• locul unde se află serverele se află la subsol?
• există aer condiţionat la parter care preia aer din exterior?
21
• există un acces direct la locaţia serverelor din exterior sau printr-un hol
public?
• sunt păstrate într-o custodie adecvată cheile de la cabinete, camerele cu
echipamente şi dulapurile electrice?
• este centrul informatic protejat împotriva catastrofelor, ex. coliziuni ale
aeronavelor, etc?
Adecvarea sistemelor de protecţie împotriva incendiilor trebuie să fie
determinată prin utilizarea următoarelor aspecte:
• instrucţiuni clare şi adecvate împotriva incendiilor trebuie să fie păstrate
într-un loc strategic;
• alarmă de incendiu şi întrerupătoare de urgenţă pentru curent electric
trebuie să fie clar vizibile şi neobstrucţionate;
• camera calculatoarelor trebuie să aibă un sistem de stingere a incendiilor
care trebuie să fie testat periodic de către reprezentantul service-ului;
• sistemul de detectare a incendiului trebuie sădetecteze fumul, căldura
excesivă sau miros de combustibil;
• detectoarele trebuie să fie localizate în conductele de aer din tavan şi sub
podeaua falsă;
• detectoarele trebuie să fie testate frecvent şi protejate printr-o sursă de
electricitate suplimentară;
• atunci când alarma de incendiu este activată, ea trebuie săsune în afara
camerei cu calculatoare până la staţia de pazăşi la o staţie de pompieri
sau centru de control urgenţe;
• personalul centrului de date trebuie să fie capabil să identifice sonorul
alarmei de incendiu.
Echipamentul de mediu şi controalele trebuie să fie adecvate pentru a proteja
hardwareul împotriva pagubelor. Se utilizează următoarele domenii pentru a se determina
adecvarea:
• ventilaţia şi aerul condiţionat trebuie să fie adecvat pentru a menţine
nivelul de temperaturăadecvat specificat de către producător;
22
• înregistrarea termometrelor şi indicatorilor de umiditate trebuie să fie
localizată aşa încât citirea lor să fie uşor de realizat;
• aceste instrumente trebuie să fie monitorizate periodic de către o
persoană pregătită;
• hardware-ul trebuie închis automat pentru a se proteja de pagube dacă s-
au atins temperaturi neacceptabile;
• echipamentele de calcul trebuie săfie supuse unor inspecţii periodice,
curăţenie şi inspecţie şi trebuie păstrate înregistrări ale acestor activităţi;
• tavanul camerei cu calculatoare trebuie să fie construit adecvat pentru a
preveni intrarea apei;
• trebuie evitată trecerea conductelor şi a aburilor prin tavan;•o scurgere
adecvată trebuie să fie instalată;
• trebuie să fie instalat un sistem de aer condiţionat independent care să fie
dotat cu o sursă de electricitate de rezervă;
• tot timpul, camera cu calculatoare trebuie să fie păstrată curată;
• care este expunerea la inundaţii?
• ar putea ca o ţeavă spartă sau un râu crescut să cauzeze pagube?
23
#3
1. Controlul functionarii procedurilor
24
fi omise unele obiective care sunt semnificative pentru bancaauditată.
• Programe prin „puncte de control". Aceste programe cuprind pentru
fiecare obiectiv (făcându-se trimitere la „fişa punctelor de control"):
controalele care trebuie efectuate, calendarul controalelor şi referirea la „foaia
de lucru".
Pe baza acestor programe prin „puncte de control" auditorii efectuează două
categorii de teste.
a) Teste de permanenţă. Se referă numai la punctele „Foarte bune" şi „Forte" din
fişa punctelor de control, întocmite cu ocazia evaluării preliminare. Aceste teste urmăresc
dacă punctele de control sunt efective şi funcţionează în permanenţă.
Aceste teste sunt cunoscute şi sub denumirea „controale de prevenire" sau
controale de coerenţă şi corelaţii.
Spre deosebire de testele de conformitate care cuprind un număr redus de
documente, tranzacţii şi operaţiuni şi care urmăresc înţelegerea corectă a procedurilor,
testele de permanenţă sunt folosite de auditori pentru colectarea elementelor probante
necesare în vederea obţinerii unei asigurări rezonabile referitoare la funcţionarea fără
deficienţe a punctelor de control, motiv pentru care ele se extind asupra unui număr mare
de documente, tranzacţii şi operaţiuni. Mărimea eşantioanelor se stabileşte de fiecare
auditor, în funcţie de circumstanţe. Aceste eşantioane sunt mai mari dacă entitatea a
prevăzut un singur mijloc pentru atingerea unui obiectiv (punctele forte) decât în situaţia
în care entitatea dispune de mai multe mijloace care concură la realizarea unui obiectiv.
Controlul funcţionării unicului mijloc de control intern este mai important decât controlul
referitor la mai multe mijloace care privesc acelaşi obiectiv, controlul punctelor forte este
mai necesar decât controlul punctelor foarte bune.
Testele de permanenţă se pot efectua de auditor în timpul derulării operaţiunilor,
înainte de a se trece la operaţiunile următoare şi, de regulă, înainte de înregistrarea în
contabilitate.
b) Testele relevatoare (de detectare) se referă la punctele slabe şi foarte slabe care
rezultă dintr-o defectuoasă concepere a procedurilor de control intern.
Teoretic, aceste teste sunt inutile, punctele slabe există, deoarece entitatea nu a
prevăzut nici un mijloc pentru atingerea obiectivelor.
25
Totuşi, auditorul trebuie să dea dovadă de scepticism profesional, să se teamă de
eventualele anomalii (erori sau fraude). El trebuie să detecteze aceste fapte relevatoare şi
să le înscrie în raportul său, fără să cuantifice influenţa lor asupra situaţiei entităţii.
Testele de permanenţă şi testele relevatoare se pot baza şi pe sondaje statistice de
diferite tipuri.
26
înregistrează, sintetizează şi raportează informaţiile referitoare la tranzacţii şi alte
evenimente (S400/6; N40/3).
Auditorul trebuie să obţină o înţelegere suficientă a sistemului contabil pentru a
putea identifica:
principalele categorii de tranzacţii şi operaţiuni din cadrul entităţii;
care sunt procedurile de iniţiere şi aprobare ale acestor tranzacţii şi operaţiuni;
care sunt documentele justificative, înregistrările semnificative şi conturile care
se reunesc în situaţiile financiare;
cum este organizat ciclul de prelucrare a datelor de la iniţierea tranzacţiilor şi altor
evenimente semnificative şi până la includerea lor în situaţiile financiare.
Sistemul contabil elaborat în baza Legii contabilităţii nr.82/1991 (republicată) şi a
Regulamentului de aplicare a acesteia este compus din:
Planul de conturi general;
Normele metodologice de utilizare a conturilor;
Monografia principalelor înregistrări contabile aferente operaţiunilor
economice;
Registrele de contabilitate împreună cu normele de utilizare a acestora;
Conturile anuale: bilanţul, contul de profit şi pierdere, anexa şi normele
metodologice de întocmire a acestora.
În ceea ce priveşte contabilitatea societăţilor bancare, aceasta este întocmită în
conformitate cu Legea contabilităţii nr. 82/1991 şi Ordinul Ministrului Finanţelor şi
Guvernatorului BNR nr. 1418/344 din 01.08.1997 privind aprobarea Planului de conturi
pentru societăţile bancare şi a normelor de utilizare a acestuia.
În conformitate cu prevederile legale, societăţile bancare au obligaţia să
asigure, în condiţiile legii:
1. Întocmirea documentelor justificative pentru orice operaţiune care afectează
patrimoniul băncii;
2. Înregistrarea în contabilitate a operaţiunilor patrimoniale;
3. Inventarierea patrimoniului băncii;
4. Controlul asupra operaţiunilor efectuate;
27
5. Furnizarea , publicarea şi păstrarea informaţiilor cu privire la situaţia
patrimoniului şi rezultatele obţinute de bancă.
Registrul jurnal, registrul inventar şi cartea mare împreună cu documentele
justificative, precum şi bilanţul contabil constituie documentele contabile oficiale pentru
exercitarea controlului asupra operaţiunilor patrimoniale efectuate şi pot fi admise ca
probă în justiţie.
Planul de conturi utilizat de bănci şi normele aferente cuprind simbolurile
conturilor necesare înregistrării în contabilitatea unităţii a operaţiunilor patrimoniale ce pot
avea loc, conţinutul şi funcţiile fiecărui cont, monografia contabilă a principalelor
operaţiuni, precum şi criteriile de dezvoltare în analitic a conturilor sintetice.
Sistemul contabil prevede conducerea contabilităţii în partidă dublă, având
obligaţia asigurării:
1. Înregistrării cronologice şi sistematice în contabilitate a tutuor operaţiunilor
patrimoniale, în conturi corespondente, prin debitarea unora şi creditarea în
contrapartidă a altora;
2. Stabilirii totalului sumelor debitoare şi creditoare, şi a soldului fiecărui cont;
3. Întocmirea balanţei de verificare lunare;
4. Inventarierii cel puţin o dată pe an, a activelor patrimoniale.
În consecinţă, auditorul trebuie să cunoască sistemul contabil al băncii şi planul
de conturi pe care aceasta îl utilizează pentru a înţelege:
Principalele operaţiuni bilanţiere şi extrabilanţiere, sursele de informare în
legătură cu acestea, precum şi reflectarea lor în evidenţa contabilă şi în situaţiile
financiare de sinteză;
Modul de organizare şi conducere a contabilităţii, de aplicare a planului de conturi
şi de întocmire a documentelor financiare de sinteză.
Prin verificările efectuate, auditorul trebuie să stabilească modul în care:
• Operaţiunile băncii s-au desfăşurat în concordanţă cu reglementările legale,
hotărârile şi normele interne avizate/aprobate de Comitetul de Direcţie/Consiliul de
Administraţie;
• Toate tranzacţiile au fost înregistrate, în mod cronologic, în conturile
corespunzătoare;
28
• Este asigurată protecţia datelor din sistemele informatice, a comunicaţiilor intra şi
interbancare;
• Se realizează stocarea şi păstrarea informaţiei financiar-contabile;
• Este efectuată inventarierea elementelor patrimoniale şi punerea de acord a
înregistrărilor din contabilitate cu realităţile rezultate în urma inventarierii;
• Este asigurată respectarea legalităţii, conformităţilor şi continuităţii reflectării
operaţiunilor patrimoniale în conturile contabile şi situaţiile financiare de sinteză.
În baza articolului 59 din Legea bancară nr. 58/1998, bilanţul contabil al băncilor nu
este considerat ca având valabilitatea legală de către autorităţile în drept fără ca bilanţul,
contul de profit şi pierdere şi anexa să fi fost verificate şi semnate pentru certificare de
către cenzorii băncii.
Persoanele care efectuează verificarea şi certificarea bilanţurilor contabile trebuie să
înscrie în rapoartele pe care le înaintează direcţiilor generale ale finanţelor publice şi
controlului financiar de stat judeţene următoarele elemente:
Nume şi prenumele sau după caz, denumirea societăţii de expertiză contabilă care
efectuează verificarea şi certificarea bilanţurilor contabile;
Calitatea în baza căreia se fac verificarea şi certificarea bilanţului contabil: expert
contabil sau contabil autorizat cu studii superioare;
Semnătura şi parafa
Bilanţul contabil, alcătuit din bilanţ, contul de profit şi pierdere, anexa şi raportul
de gestiune (raportul administratorilor), se depune şi la Divizia/Departamentul general(ă)
de supraveghere a societăţilor bancare din cadrul BNR, la termenul stabilit (15 aprilie),
împreună cu o copie a codului fiscal, procesul-verbal al Adunării Generale a Acţionarilor,
o copie a balanţei de verificare a conturilor sintetice, raporul cenzorilor.
În conformitate cu prevederile articolului 62 din Legea bancară nr 58/1998,
fiecare bancă are obligaţia să publice bilanţul contabil, după aprobarea lui de către
Adunearea Generală a Acţionarilor, împreună cu opinia auditorului independent asupra
acestuia.
Un exemplar al raportului anual întocmit de auditorul independent se depune de
către fiecare bancă, până cel târziu la data de 31 mai a anului următor, la
Decizia/Departamentul general(ă) de supraveghere a societăţilor bancare din cadrul BNR.
29
Raportul auditorului trebuie să cuprindă opinia sa din care să rezulte dacă
situaţiile financiare prezintă o imagine fidelă a condiţiei băncii, referirii în ceea ce
priveşte practicile şi procedurile controlului intern şi ale cenzorilor, precum şi
recomandările făcute băncii pentru remedierea eventualelor practici şi proceduri
necorespunzătoare.
Analiza la bilanţ este deosebit de importantă în ceea ce priveşte stabilirea modului
de întocmire a documentelor financiar-contabile, ea permiţând cunoaşterea metodelor
contabile utilizate la :
Evaluarea elementelor patrimoniale;
Calculul amortizărilor şi provizioanelor;
Determinarea şi clasificarea angajamentelor financiare;
Înregistrarea în evidenţele contabile a modificărilor capitalului;
Stabilirea şi înregistrarea diferenţelor de conversie;
Înregistrarea veniturilor şi cheltuielilor şi analiza profitabilităţii societăţii
bancare.
Pentru a-şi exprima opinia în legatură cu sistemul contabil şi capacitatea acestuia
de a reflecta o imagine fidelă, clară şi completă cu privire la patrimoniu, situaţia
financiară şi rezultatele exerciţiului înscrise în conturile anuale, auditorul trebuie să aibă
acces nelimitat la documente şi proceduri, la structurile financiar-contabile şi la operatori,
până la nivelul administratorilor şi al preşedintelui băncii.
În cazul în care există anumite limite de acces, acestea trebuie aduse la cunoştinţa
auditorului în scris, de către managementul societăţii bancare, pentru a fi excluse din
misiunea de audit.
Prin acţiunile desfăşurate, auditorul trebuie să răspundă următoarele
cerinţe/problematici privind:
Organizarea şi conducerea lucrărilor de stabilire a situaţiei patrimoniului şi a
bilanţului de închidere a exerciţiului;
Respectarea metodelor şi procedurilor de închidere a conturilor şi sintezei
corespunzătoare a informaţiilor preluate din evidenţa contabilă;
Organizarea periodică a inventarierii patrimoniului şi valorificarea
corespunzătoare a rezultatelor acesteia;
30
Realizarea strategiilor şi opţiunilor de gestionare a patrimoniului;
Modul de efectuare a controlului intern, modalitatea de stabilire a
responsabilităţilor la nivelul societăţilor bancare, precum şi modul de soluţionare
a deficienţelor constatate;
Modul de respectare a deciziilor conducerii societăţii bancare;
Asigurarea permanentă a protecţiei valorilor patrimoniale.
În urma analizei corespunzătoare a activităţii desfăşurate de societatea bancară şi
a obţinerii de răspunsuri concludente asupra problemelor contabile mai sus prezentate,
auditorul trebuie să continue cu evaluarea obiectivelor, procedurilor, documentelor şi
modului de valorificare a concluziilor de către management.
Activitatea asupra căreia trebuie să-ţi orienteze atenţia auditorul este foarte vastă
fapt pentru care acesta trebuie să decidă asupra căror domenii, activităţii şi obiective îşi
va concentra preocupările.
Auditorul trebuie să evalueze riscul care poate apărea în prelucrarea informaţiilor
selecţionate:
Riscul de eşantionare (Auditorul trebuie să corespundă la întrebarea: au fost
reţinute pentru control toate operaţiunile semnificative?)
Operaţiunile înregistrate în contabilitate sunt reale şi concrete, conforme cu
reglementările în domeniu:
Procedurile utilizate de auditor pentru valorificarea constatărilor controlului intern
trebuie să ţină seama de :
Mărimea şi gradul de complexitate a activităţii băncii pe care o auditează;
Pragurile de semnificaţie pe care şi le-a stabilit la diferite activităţi, produse şi
servicii ale băncii;
Conţinutul şi importanţa problemelor cuprinse în documentele controlului intern,
nivelul măsurilor propuse şi însuşite de management.
Înaintea redactării raportului final, aprecierile personale pe care auditorul şi le-a
conturat sunt examinate împreună cu managerii diferitelor structuri, departamente şi
filiale
31
3. Auditul securitatii tranzactiilor in domeniul bancar
32
Se identifică controalele existente care asigură completitudinea şi acurateţea
introducerii:
• Dacă controalele introducerii include utilizarea de totaluri de control,
sunt comparate totalurile generate de calculator cu totalurile stabilite
independent?
• Ce rapoarte obţin utilizatorii pentru a verifica şi monitoriza operarea
aplicaţiei (totaluri de control, sumarizări, numărarea erorilor, rapoarte de
excepţii, etc)?
• Se determină cum sunt evitate sau identificate tranzacţiile duplicat?
• Se determină dacăşi cum sunt datele primite de la alte aplicaţii validate
pentru completitudine şi acurateţe.
2. Controalele de procesare
Controalele de procesare asigură că tranzacţiile sunt acceptate de către
calculator, procesate cu o logică validă, trecându-se prin toate fazele procesării şi
actualizate în fişierele de date corecte.
• se identifică controalele existente pentru asigurarea
• se documentează procedurile de reconciliere ale utilizatorului final care
faciliteazăcompletitudinea şi acurateţea procesării;
• ce rapoarte obţin utilizatorii pentru a verifica şi monitoriza operarea
aplicaţiei?
• se descrie cum se verifică totalurile de control;
• se descrie orice comparare a rezultatelor acţiunilor la cele anterioare
pentru verificări rezonabile;
• cum verifică utilizatorii actualizările fişierelor contra autorizaţiilor?
• se determină dacă procedurile de reconciliere speciale trebuie săfie
aplicate la sfârşitul lunii, anului fiscal, etc.
3. Corectarea erorii
• Se determină impactul pe care datele şi erorile de procesare le au asupra
procesării;
33
• Se determină dacăerorile sunt separate într-un fişier suspensiv;
• Se determină dacă acest fişier este cumulativ sau nu;
• Se verifică rapoartele de erori pentru a determina dacă sunt de mărime
rezonabilă;
• Se determină cum sunt corectate erorile;
• Se determină dacă tranzacţiile corectate sunt autorizate;
• Se verifică dacă tranzacţiile corectate sunt reintroduse în procesarea
principală fie la punctul iniţial de introducere fie printr-un proces de
corectare a erorii speciale;
• Se determină dacă procesul de corectare a erorii înlocuieşte articolele
din fişierul suspensiv;
• Se determină promptitudinea corectării erorii;
• Se identifică cum monitorizează utilizatorii finali erorile rămase şi
desfăşoară în timp util investigaţiile suplimentare;
• Există o separare adecvată a sarcinilor (custodie, autorizare, înregistrare
şi reconciliere periodică) pentru cei autorizaţi să actualizeze datele?
• Se determină dacă toate reconcilierile şi procedurile de corecţie a
erorilor sunt documentate în documentele utilizatorului final;
• Există un raport de excepţii generat pentru tranzacţiile eronate de mult
timp nerezolvate?
4. Controalele rezultatului
Controalele rezultatului asigură că datele rezultatului sunt raportate în manieră
corectă, vizibilă/disponibilădoar personalului autorizat, adecvat reţinute sau distruse,
supuse procesării necesare pistelor de audit şi dacă sunt eronate, separate de tranzacţiile
valide, corectate şi reintroduse în procesarea principală.
• se identifică dacă rezultatul este distribuit;
• se determină dacă distribuirea reduce expunerile la vizualizarea
neautorizată a informaţiilor sensibile fie prin implicarea imprimantelor
de la locaţia utilizatorului final fie prin utilizarea listelor de verificare a
distribuirii rezultatului;
34
• cum asigură organizaţia ca rapoartele şi fişierele să fie distribuite la
utilizatorii finali corespunzători;
• cine primeşte rapoartele de rezultat? Sunt ele separate de acelea de
desfăşurare a introducerii?
• cum verifică utilizatorul final cătoate rapoartele au fost primite şi că
toate paginile rapoartelor au fost incluse?
• includ rapoartele de rezultat următoarele informaţii de identificare:
o titlul raportului,
o numele/numărul programului de procesare,
o a fost produsă data şi ora raportului,
o perioada acoperită.
• Cum evidenţiază utilizatorul final primirea rapoartelor şi fişierelor (liste
de verificare, semnăturile,etc)?
• Există o separare adecvată a sarcinilor?
• Cum sunt identificate şi distribuite rapoartele confidenţiale?
• Se identifică toate formularele speciale utilizate în procesare şi raportare.
Se determină dacă formularele sensibile sunt protejate;
• Sunt oamenii responsabili cu protecţia documentelor sensibile diferiţi de
cei care păstrează înregistrările contabile respective?
• Există proceduri speciale de generare a rapoartelor sensibile?
5. Documentele utilizatorului final
Documentele utilizatorului sunt sursele primare de informare pentru tot
personalul responsabil pentru utilizarea zilnică a aplicaţiei.
• există documente ale utilizatorului final ce explică iniţierea adecvată a
documentului sursă, autorizaţia, colectarea de date, pregătirea
introducerii, administrarea rapoartelor, corectarea erorii şi păstrarea
rapoartelor/datelor?
• sunt păstrate documentele sursă în aşa fel încât datele pierdute sau
distruse în timpul procesării ulterioare pot fi recreate?
• Fiecare tip de document sursăare o perioadă specifică de păstrare?
35
6. Autorizarea
Controalele de autorizare asigură că toate informaţiile şi datele introduse sau
utilizate în procesare sunt autorizate de către conducere şi reprezentanţii evenimentului
care de fapt are loc.
• Dacă tranzacţiile sunt autorizate manual, ce controale asigură cănu are
loc nici o modificare neautorizată după autorizare, ci înainte de stabilirea
controalelor de introducere?
• Se determină dacă nivelul conducerii corespunzător autorizează
activitatea;
• Dacă autorizarea tranzacţiei este facilitată de către restricţii de acces
logic, se selectează un eşantion de reguli de acces la introducerea şi
actualizarea tranzacţiilor şi se verifică persoana adecvată care are aceste
capacităţi;
• Se identifică orice depăşire permisă sau trecere pe lângă validarea
datelor şi se editează verificările;
• Se determinăcine poate face depăşiri şi se verifică dacă acele persoane
sunt în poziţia de conducere care trebuie să aibă această autoritate;
• Sunt înregistrate automat toate depăşirile aşa încât aceste acţiuni să
poată fi ulterior analizate pentru acurateţe.
7. Separarea îndatoririlor
• Sunt separate îndatoririle astfel încât nici o persoană sănu realizeze mai
mult de una dintre următoarele operaţii:
o autorizarea tranzacţiei
o iniţierea tranzacţiilor
o introducerea tranzacţiei
o distribuirea rezultatului?
• Sunt corectate tranzacţiile respinse necauzate de introducerea de erori de
către utilizatorul care a iniţiat tranzacţia?
36
• Are utilizatorul final responsabilitatea ultimă pentru completitudinea şi
acurateţea tuturor datelor aplicaţiei?
#4.
1. Evaluarea definitiva si analiza punctelor slabe
37
Concluziile auditorilor referitoare la organizarea şi funcţionarea sistemului
contabil şi a sistemului de control intern sunt sintetizate în cadrul unui document inclus
în dosarul permanent. Această sinteză este revăzută în fiecare exerciţiu.
După parcurgerea tuturor etapelor evaluării controlului intern, auditorul poate
întocmi un raport separat către conducere asupra diligentelor întreprinse şi asupra
constatărilor făcute.
Raportul asupra evaluării controlului intern are menirea de a informa conducerea
entităţii asupra slăbiciunilor sistemului contabil şi a sistemului de control intern şi de a
contribui la luarea unor măsuri organizatorice şi metodologice în vederea creşterii
eficacităţii acestor sisteme.
Acest raport trebuie astfel structurat, încât conducerea să aibă posibilitatea să
cunoască rapid concluziile la care au ajuns auditorii. De regulă, raportul asupra aprecierii
controlului intern cuprinde două părţi:
□ O parte introductivă şi de sinteză în care se prezintă testele de proceduri şi
controalele substantive efectuate de auditori, în vederea descrierii, verificării modului de
funcţionare a sistemului contabil şi a sistemului de control intern din bancă. În această
parte a raportului se sintetizează punctele slabe datorate conceperii defectuoase a
sistemelor şi" punctele slabe datorate neajunsurilor constatate în funcţionarea sistemelor,
facându-se propuneri pentru sporirea eficacităţii acestor sisteme.
□ Conţinutul detaliat al raportului este structurat pe domenii semnificative
şi pe criterii ale auditului. în această parte a raportului, problemele şi punctele slabe
(pentru fiecare domeniu semnificativ şi criteriu al auditului) sunt prezentate în ordinea
importanţei lor, făcându-se recomandările necesare, se reiau sfaturile date cu ocazia
misiunilor precedente cărora conducerea nu le-a acordat suficientă atenţie, se evaluează,
dacă este posibil, riscurile de eroare sau de fraudă la care este supusă banca şi care pot
influenţa opinia auditorului asupra situaţiilor financiare anuale.
38
2. Evaluarea sistemelor de control bancar intern de catre autoritatile de
supraveghere
Deşi consiliul de administraţie şi conducerea băncii poartă responsabilitatea
dezvoltării şi menţinerii unui sistem de control intern eficient, autorităţile de
supraveghere trebuie săevalueze adecvarea sistemului de control intern al unei bănci în
funcţie de profilul de risc al acesteia şi atenţia dată de către conducerea băncilor
problemelor semnalate de sistemul de control intern.
Evaluarea realizată de autoritatea de supraveghere trebuie să se refere nu numai
la întreg sistemul de control intern, dar şi la controlul exercitat în anumite zone de
activitate cu risc ridicat, cum ar fi zone caracterizate printr-o profitabilitate neobişnuită,
creştere rapidă, noi produse bancare sau zone depărtate fizic faţă de sediul central.
Totodată, o atenţie deosebită trebuie acordatăzonelor care în trecut au fost
asociate cu deficienţe ale sistemului de control intern şi cu pierderi determinate de aceste
deficienţe. Autoritatea de supraveghere trebuie să urmăreascăşi modificările care au avut
loc în activitatea băncii şi modul în care acestea ar fi trebuit să reflecte sau au avut
impact asupra sistemului de control intern. Astfel de modificări se referă la schimbări în
mediul bancar şi economic, angajarea de personal nou, sisteme informaţionale noi,
activităţi sau domenii ce înregistrează o creştere rapidă, introducerea de noi tehnologii, de
noi produse, restructurări sau reorganizări, expansiunea operaţiunilor în străinătate.
Pentru a evalua calitatea controlului intern, autorităţile de supraveghere pot avea
mai multe abordări. Astfel, acestea pot evalua activitatea departamentului de audit intern
39
al băncii, pe baza analizei documentelor produse, a metodologiei folosite pentru a
identifica, măsura, monitoriza şi controla riscul.
În cazul în care calitatea activităţii departamentului de audit intern este
satisfăcătoare, autoritatea de supraveghere poate utiliza rapoartele auditorilor interni ca
bază pentru identificarea problemelor de control ale băncii sau pentru a identifica ariile
cu risc potenţial pe care auditorii interni nu le-au evaluat recent.
Unele autorităţi de supraveghere folosesc procesul de autoevaluare prin care
conducerea băncii analizează procedurile de control pe fiecare activitate în parte şi
certifică faptul că acestea sunt adecvate. Alţi supraveghetori pot solicita auditarea externă
periodică a anumitor domenii, pentru anumite scopuri.
În final, autorităţile de supraveghere pot combina modalităţile descrise mai
înainte cu propriile lor evaluări şi examinări, la faţa locului, a controlului intern.
Evaluările la faţa locului includ atât o evaluare a activităţilor, cât şi testarea la nivel de
tranzacţie pentru a obţine o verificare independentă a proceselor de control intern ale
băncii. Testarea la nivel de tranzacţii are în vedere adecvarea şi respectarea politicilor,
procedurilor şi limitelor interne, acurateţea şi conţinutul rapoartelor către conducere şi a
situaţiilor financiare, eficacitatea procedurilor de control.
Pentru a evalua eficacitatea celor cinci elemente ale controlului intern dintr-o
bancă, autoritatea de supraveghere trebuie să: -identifice obiectivele controlului intern
care sunt relevante pentru profilul băncii (creditarea, investiţiile, contabilitatea etc);
-evalueze eficacitatea elementelor controlului intern nu numai prin aprecierea politicilor
şi procedurilor, dar şi a documentaţiei, prin discuţii cu personalul (pentru a aprecia
mediul de lucru) şi prin testarea tranzacţiilor; -discute periodic deficienţele identificate şi
recomandările făcute pentru remediere cu consiliul de administraţie şi cu conducerea
băncii; -aprecieze măsurile corective luate şi dacăau fost luate la timp.
Acolo unde legislaţia permite, autorităţile de supraveghere pot înlocui astfel de
inspecţii la faţa locului cu analizarea rapoartelor produse de către auditorii externi la
solicitarea lor. În aceste cazuri, auditorii externi trebuie să evalueze activitatea băncii şi
să testeze tranzacţiile, aşa cu s-a specificat mai sus, în cadrul unor angajamente de audit,
iar supraveghetorii trebuie să evalueze calitatea auditului extern.
40
Indiferent de abordarea folosită, autorităţile de supraveghere trebuie săia în
considerare observaţiile şi recomandările făcute de auditorii externi cu privire la
eficacitatea controlului intern şi săaprecieze modul în care consiliul de administraţie a
răspuns la ceste observaţii şi recomandări.
41
• Se determină dacă activitatea utilizatorului final este adecvat
supervizată.
Interfaţele sistemului
• se determină ce alte aplicaţii interferează (manual sau electronic) cu
această aplicaţie;
• se determină cum verifică sau asigură utilizatorul final că interfaţele
furnizează date complete, adecvate şi autorizate.
Administrarea fişierelor
• se determină perioadele de păstrare pentru diferitele fişiere de date ale
aplicaţiilor cheie;
• se evaluează dacă perioadele de păstrare satisfac raportarea către
conducere, raportarea către autorităţile fiscale şi cerinţele interne de
contabilitate;
• Se determină dacă utilizatorul final, conducerea şi proprietarii de date
sunt conştienţi de perioadele de
• păstrare ale diferitelor fişiere de date ale aplicaţiilor cheie şi dacăaceşti
directori sunt satisfăcuţi cu durata de păstrare.
42