METODOLOGIA PRIVIND MISIUNEA DE AUDIT PUBLIC INTERN

1. Pregtirea misiunii de audit intern Pregtirea misiunii de audit public intern consta n: ntocmirea i aprobarea ordinului de serviciu; Declararea independenei auditorilor interni; Notificarea privind declanarea misiunii de audit public intern; Colectarea i prelucrarea informaiilor; Identificarea obiectivelor auditabile.

Ordinul de serviciu:
Ordinul de serviciu este un mandat acordat de ctre o autoritate calificat n vederea nceperii unei misiuni. Ordinul de serviciu pentru desfurarea activitii de ctre auditorii interni n realizarea misiunilor de audit: Se emite de eful compartimentului de audit public intern, pe baza planului de audit public intern aprobat de conductorul entitii publice; Reprezint mandatul de intervenie dat de ctre compartimentul de audit public intern; Repartizeaz sarcinile de serviciu auditorilor interni, aa nct s poat demara misiunea de audit public intern ; Prevede n mod explicit: scopul, obiectivele, tipul de audit public intern, durata auditului public intern, nominalizarea echipei de auditare.

Procedura:
eful compartimentului de audit public intern: repartizeaz sarcinile de serviciu pe fiecare auditor n parte; ntocmete ordinul de serviciu pe baza planului anual de audit public intern; Personalul de secretariat: aloca un numr Ordinului de serviciu; asigur copii ale Ordinului de serviciu fiecrui membru al echipei de audit; Auditorii iau la cunotin de Ordinul de serviciu i de sarcinile repartizate.

2 Declaraia de independen:
Auditorii de audit public intern nu trebuie s fie supui imixtiunilor externe ncepnd de la stabilirea obiectivelor auditabile, realizarea efectiv a lucrrilor pn la comunicarea rezultatelor acestuia. Auditorii interni alei pentru realizarea unei misiuni de audit public intern ntocmesc o declaraie de independent, cu scopul de a demonstra independena fa de entitatea auditat.

Pentru desemnarea auditorilor interni n vederea efecturii misiunii de audit public intern se verific incompatibilitile personale. Un auditor nu este desemnat acolo unde exist incompatibiliti personale, dect dac repartizarea lui este necesar i pe baza unei justificri din partea conductorului Compartimentului de audit public intern. Dac n timpul efecturii misiunii de audit public intern apare o incompatibilitate, real sau presupusa, auditorii au obligaia s informeze de urgen conducerea.

Procedura
A) auditorii completeaz declaraia de independent; B) eful compartimentului de audit public intern verifica declaraia de independent; identific incompatibilitatea semnalat de ctre auditori i stabilete modalitatea n care aceasta poate fi atenuat; aprob declaraia de independent; C) auditorii: ndosariaz declaraia de independent n dosarul de audit, informeaz de urgen conducerea dac n timpul misiunii apare o incompatibilitate real sau presupusa. 3. Notificarea privind declanarea misiunii de audit public intern

Compartimentul de audit public intern notifica entitate/structur care va fi auditata, cu 15 zile nainte de declanarea misiunii de audit public intern, despre scopul, principalele obiective i durata acestuia. n notificare se precizeaz, de asemenea, tematica de detaliu, precum i faptul c pe parcursul misiunii vor avea loc intervenii la faa locului al cror program se va stabili ulterior, de comun acord.
4. Colectarea i prelucrarea informaiilor.

A. Accesul auditorilor interni la informaii i documente.

Auditorii interni au acces la toate datele i informaiile utile i probante, inclusiv la cele existente n format electronic, pe care le considera relevante pentru scopul i obiectivele misiunii de audit public intern precizate n ordinal de serviciu. Personalul de conducere i de execuie din structura auditata are obligaia s ofere documentele i informaiile solicitate, n termenele stabilite, precum i sprijinul necesar desfurrii n bune condiii a auditului public intern.

B.Colectarea informaiilor.
Colectarea este, n fapt, pregtirea informaiilor n vederea efecturii analizei de risc i pentru identificarea informaiilor necesare, fiabile, pertinente i utile pentru a atinge obiectivele misiunii de audit public intern.

C.Prelucrarea informaiilor
Prelucrarea informaiilor consta n analiza: Entitii auditate i activitii sale: organigrama, regulamente de funcionare, fise ale posturilor, circuitul documentelor;

 Cadrului normativ ce reglementeaz activitatea entitii; Factorii susceptibili de a mpiedica bun desfurare a misiunii de audit public intern; Rezultatelor controalelor precedente; Informaiile externe referitoare la entitatea auditata.

D.Procedura privind colectarea i prelucrarea informaiilor

A)- Auditorii: Identific legile i regulamente aplicabile entitii auditate; Obin organigrama, regulamentele de funcionare, fise ale posturilor, Proceduri scrise ale entitii auditate; Identific personalul responsabil i circuitul documentelor; Obin exemplare ale rapoartelor de audit anterioare; Adun date statistice asupra performanei pentru a-i sprijini n faza de analiz a riscului; Se familiarizeaz cu activitatea entitii auditate. B) conductorul Compartimentului de audit public intern: Revede documentaia; Organizeaz o edin pentru identificarea obiectivelor auditabile i a criteriilor de analiza de risc; Reevalueaz stabilirea obiectivelor, a scopului auditului i a Metodologiei.

5.

Identificarea obiectelor auditabile

Identificarea obiectelor auditabile se realizeaz n 3 etape:

A) detalierea fiecrei activiti n operaii succesive descriind procesul de la realizarea acestei activiti pn la nregistrarea ei; B) definirea pentru fiecare operaiune n parte a condiiilor pe care trebuie s le ndeplineasc din punct de vedere al controalelor specifice i al riscurilor aferente, ce trebuie s fie evitate; C) determinarea modalitilor de funcionare necesare pentru c entitatea s ating obiectivul i s elimine riscul. Lista centralizatoare a obiectivelor auditabile, definite sub aspectele caracteristicilor specifice i ale riscurilor asociate, constituie suportul analizei riscurilor.

6.

Analiza riscurilor

Riscul este posibilitatea de a se produce un eveniment susceptibil de a avea un impact asupra realizrii obiectivelor. Riscul se msoar n termeni de consecine i de probabilitate. Riscul reprezint orice eveniment, aciune, situaie su comportament cu impact nefavorabil asupra capacitii entitii publice de a realiza obiectivele. Categorii de riscuri:

Riscuri de organizare: lipsa unor responsabiliti precise; insuficient organizare a resurselor umane; documentaia insuficient, neactualizarea; Riscuri operaionale: nenregistrarea n rezultate ca urmare a riscului sau a consecinelor justificative; lipsa unui control asupra operaiilor cu risc ridicat; Riscuri financiare: plati nesecurizate; nedetectarea operaiilor cu risc financiar; Riscuri generate de schimbrile legislative, structurale, manageriale. Riscul are dou componente i se bazeaz pe dou estimri: Probabilitatea de apariie, respective probabilitatea c riscul s revin; Nivelul impactului, respectiv gravitatea consecinelor directe i indirecte i durata acestora, se estimeaz gradul de gravitate al pierderii care poate s rezulte c urmare a riscului sau a consecinelor. Analiza riscurilor parcurge urmtoarele faze:

Analiza activitii entitii auditate; Identificarea i evaluarea riscurilor inerente, respectiv a riscurilor de eroare semnificativ a activitilor entitii auditate, cu incident asupra operaiilor financiare; Verificarea existenei controalelor interne, a procedurilor de control intern, precum i evaluarea acestora; Evaluarea punctelor slabe, cuantificarea i mprirea lor pe clase de risc. Msurarea riscului depinde de probabilitatea de apariie a riscului i de gravitatea consecinelor evenimentelor. Probabilitatea de apariie a riscurilor se msoar prin utilizarea a dou criterii: Aprecierea vulnerabilitii entitii, exprimat pe trei nivele: redus, medie, mare. Aprecierea controlului intern: corespunztor, insuficient, cu lipsuri grave.

Intervenia la faa locului

Intervenia la faa locului consta n colectarea documentelor, analiza i evaluarea acestora i cuprinde urmtoarele etape: A) cunoaterea activitii procesului supus verificrii i studierea procedurilor aferente; B) intervievarea personalului auditat; C) verificarea nregistrrilor contabile; D) analiza datelor i informaiilor; E) evaluarea eficienei i eficacitii controlului intern; F) realizarea de testri; G) verificarea modului de realizare a corectrii aciunilor menionate n auditrile precedente.

7.

Tehnici de audit public intern

Principalele tehnici de audit public intern sunt: verificarea, observarea fizic, interviul i analiz. 1. Verificarea asigura validarea, confirmarea, acurateea nregistrrilor, documentelor, declaraiilor, concordan cu legile i regulamentele, precum i eficacitatea controlului intern.

Tehnici de verificare:
Comparatia: confirma identitatea unei informaii dup obinerea acesteia din dou sau mai multe surse diferite; Examinarea: presupune urmrirea n special a detectrii erorilor sau a iregularitilor; Recalcularea: Verificarea calculelor matematice; Confirmarea: solicitarea de informaii din dou sau mai multe surse independente n scopul validrii acesteia. Punerea de acord: procesul de potrivire a dou categorii diferite de nregistrri; Garantarea: verificarea realitii tranzaciilor nregistrate prin examinarea documentelor, de la articolul nregistrat spre documentele justificative. Urmrirea: reprezint verificarea procedurilor de la documentele justificative spre articolul nregistrat. Scopul urmririi este acela de a verifica toate tranzaciile reale au fost nregistrate. 2. Observarea fizic: reprezint modul prin care auditorii interni i formeaz o prere proprie. 3. Interviul: se realizeaz de ctre auditorii interni prin intervievarea persoanelor auditate. Informaiile primite se confirma cu documente; 5. Analiza: consta n descompunerea unei entiti n elemente, care pot fi izolate, identificate, Cuantificate i msurate corect. Instrumente de audit public intern pentru colectarea dovezilor: 1)- Chestionarul: cuprinde ntrebrile pe care le formuleaz auditorii interni.

Tipuri de chestionare:
A) Chestionarul de luare la cunotina cuprinde ntrebri referitoare la contextual socioeconomic, organizarea intern, funcionarea entitii auditate; B) Chestionarul de control intern; ghideaz auditorii interni n activitatea de identificare obiectiv a disfunciilor i cauzelor reale ale acestor disfuncii; C) Chestionarul lista de verificare este utilizat pentru stabilirea condiiilor pe care s le ndeplineasc fiecare domeniu auditabil. Cuprinde un set de ntrebri standard privind obiectivele definite, responsabilitile i metodele mijloacelor financiare, resursele umane existente; 2. Tabloul de prezentare a circuitului auditului (pista de audit) permite: A) Stabilirea fluxurilor informaiilor, atribuiilor i responsabilitilor referitoare la acestea; B) Stabilirea documentaiei justificative complete; C) Reconstituirea operaiilor de la suma total pn la detalii individuale i invers. 3. Fia de identificare i analiza problemelor (FIAS): se ntocmete pentru fiecare disfuncionalitate constatata. Fisa de identificare i analiz a problemelor este un document sintetic care prezint o disfuncie, indica natura problemei, faptele, cauzele, consecinele i recomandrile pentru remediere. Este un document scris care analizeaz fiecare

din funciile entitii i care prezint la fiecare etap posturile de lucru i sarcinile. Acest document constituie, de asemenea, un element n atestrile i procedurile stabilite n programul de audit; Apreciaz dac dovezile obinute sunt suficiente, relevante, competente si folositoare. Colecteaz documente pentru toat misiunea de audit; Pregtesc fiele de identificare i analiz a problemelor; Transmit fiele de identificare i analiza problemelor efului compartimentului de audit public intern; ndosariaz documentele utilizate n cadrul misiunii de audit.

Conductorul Compartimentului de audit public intern:

Analizeaz i aprob testele; Revede i aprob fiele de identificare i analiza problemelor.

Auditorii:
Eticheteaz, numeroteaz i ndosariaz testele i fiele de identificare i analiza problemelor n dosarul permanent. Cnd auditorii ajung la concluzia, bazat pe fiele de identificare i analiz a problemelor, c s-a comis o iregularitate, raporteaz cel mai trziu a doua zi conductorului compartimentului de audit public intern prin transmiterea Formularului de constatare a iregularitilor. Compartimentul de audit public intern informeaz n termen de 3 zile Conductorul entitii publice i structura de control abilitat pentru continuarea verificrilor.

8.

Dosarele de audit public intern:

Dosarele de audit public intern-prin informaiile coninute asigur legtura ntre sarcina de audit, intervenia la faa locului i raportul de audit public i stau la baza formulrii concluziilor auditorilor interni.

Dosarul permanent cuprinde urmtoarele seciuni:

Seciunea A- Raportul de audit public i anexele acestuia: Ordinul de serviciu; Declaraia de independent; Rapoarte: intermediar, final, sinteza recomandrilor; Fiele de identificare i analiza problemelor; Formulare de constatare a iregularitilor; Programul de audit. Seciunea B Administrativa: Notificarea privind declanarea misiunii de audit public intern; Minuta edinei de deschidere; Minuta edinei de nchidere;

 Corespondent cu entitatea auditai. Seciunea C Documentaia misiunii de audit public intern: Strategii interne; Reguli, regularitate i legi aplicabile; natura i locaia nregistrrilor contabile; Informaii financiare; Rapoarte de audit public intern anterioare i externe; Informaii privind posturile cheie/fluxuri de operaii; Documentaia analizei riscului. Seciunea D Supervizarea i revizuirea desfurrii misiunii de audit public intern i a rezultatelor acestuia: Revizuirea raportului de audit public intern; Rspunsurile auditorilor interni la revizuirea raportului de audit public intern.

Dosarul documentelor de lucru

Concluziile, opiniile auditorului se fundamenteaz pe baza informaiilor consemnate n documentele justificative (probe). Informaiile consemnate n documente justificative trebuie s fie: Suficiente cantitativ i calitativ impariale, astfel nct s poat fi considerate fiabile; Pertinente: s corespund cu exactitate obiectivelor auditului; Cu un cost de obinere rezonabil; Dosarul documentelor de lucru cuprinde copii xerox ale documentelor justificative i extrase din documentele justificative care confirm i sprijin concluziile auditorilor interni.

9.

Transmiterea rezultatelor. edina de nchidere a interveniei la faa locului

Fiecare misiune de audit public intern conduce la organizarea unei reuniuni de nchidere, la faa locului, prin care se realizeaz informarea responsabililor entitii auditate asupra observaiilor principale relevante, validarea acestor observaii i aplicarea primelor msuri corective de ctre cei interesai. Intervenia la faa locului are drept scop prezentarea ctre entitatea auditat a opiniei auditorilor interni, a recomandrilor finale din proiectul Raportului de audit public intern i a calendarului de implementare a recomandrilor. Se ntocmete o minut a edinei de nchidere. Raportul de audit public intern: raportul intermediar i raportul final, supravegherea misiunii de audit public intern, urmrirea recomandrilor. Raportul de audit reprezint opiniile scrise ale auditorului i alte constatri, care se bazeaz pe un ansamblu de date financiare certe, rezultate dintr-un audit de regularitate sau deducii ale auditului ca urmare a realizrii unui audit de performan.

10.

Elaborarea proiectului de raport de audit public intern (raport intermediar)

Proiectul de raport de audit public intern:

A. se elaboreaz de auditorii interni la sfritul fiecrei misiuni de audit public intern; B. Reflect: cadrul general, obiectivele, constatrile, concluziile i recomandrile auditorilor publici interni; C. Este nsoit de documente justificative. La elaborarea proiectului Raportului de audit public intern se au n vedere urmtoarele cerine: Constatrile s aparin domeniului misiunii de audit public intern i s fie susinute prin documente justificative corespunztoare; Recomandrile s fie n concordant cu constatrile i s determine reducerea riscurilor poteniale; Raportul s exprime opinia auditorului intern, bazat pe constatrile efectuate; Sa ntocmeasc un document sintetic care prezint o disfuncie, indica natura problemei, faptele, cauzele, consecinele i recomandrile pentru remediere. Principiile ce se au n vedere n elaborarea proiectului Raportului de audit; Evitarea utilizrii expresiilor imprecise, a limbajului abstract;. Promovarea unui limbaj ct mai uzual i a unui stil de exprimare concret; Ierarhizarea constatrilor; Structura raportului de audit public intern se compune din urmtoarele elemente:

Scopul i obiectivele misiunii de audit public intern; Datele de identificare a misiunii de audit public intern: baz legal, ordinul de serviciu, echipa de auditare, unitatea auditat durata aciunii de auditare, perioada auditata; Modul de desfurarea a aciunii de audit public intern: sondaj, documentar, proceduri, metode i tehnici n cursul aciunii de audit public intern; Constatri efectuate; Concluzii i recomandri; Documente anexe: note explicative, note de relaii, acte.

11.

Procedura privind elaborarea proiectului de raport de audit public intern;

Auditorii:
Redacteaz proiectul raportului de audit utiliznd formularul model; Indica pentru fiecare constatare din proiectul raportului de audit dovada corespunztoare; Transmit conductorului compartimentului de audit public intern proiectul raportului de audit, mpreun cu dovezile constatrilor.

Conductorul Compartimentului de audit public intern;

Analizeaz Proiectul raportului de audit; Stabilete dac proiectul n ntregime sau doar pri din acesta se transmit la compartimentul juridic pentru revizuirea din punct de vedere juridic.

Auditorii:
Efectueaz schimbrile propuse de ctre conductorul compartimentului de audit public intern; ndosariaz proiectul de raport de audit, incluznd coreciile aprobate de conductorul compartimentului de audit intern.

12.

Transmiterea proiectului de audit public intern la structura auditata :

Proiectul de Raport de audit public intern se transmite la structura auditata, care poate trimite n maximum 15 zile de la primire punctele sale de vedere. Punctele de vedere primite se analizeaz de ctre auditorii interni.

Procedura:
Conductorul Compartimentului de audit public intern transmite proiectul de Raport de audit la entitatea auditata; Unitatea auditata; Analizeaz proiectul de Raport de audit; Solicita dac este cazul, o reuniune de conciliere; Transmite punctul de vedere la proiectul Raportului de audit n termen de 15 zile de la primirea proiectului de raport de audit. Auditorii, conductorul Compartimentului de audit public intern Revad rspunsurile de la entitatea auditata; Discuta, dac este cazul, pregtirea unei reuniuni de conciliere. Auditorii: Precizeaz n Raportul de audit aspectele reinute din punctul de vedere al entitii auditate, dac este cazul; ndosariaz punctul de vedere al entitii auditate.

13.

Reuniunea de conciliere

n termen de 10 zile de la primirea punctelor de vedere ale entitii auditate la proiectul Raportului de audit, compartimentul de audit public intern - prin auditorii interni organizeaz reuniunea de conciliere cu structura auditata.

Procedura:
A) pregtesc, n termen de 10 zile de la primirea punctului de vedere de la entitatea auditata, reuniunea de conciliere; B) informeaz entitatea auditata asupra locului i datei reuniunii de conciliere;

C) ntocmesc o mnu a reuniunii de conciliere.

14.

Raportul de audit public intern final

Raportul de audit se prelucreaz pentru redactarea final i tiprire. Raportul de audit trebuie s fie complet i s includ i punctul de vedere al entitii. Auditorii sunt responsabili pentru asigurarea unei prezentri de nalt calitate a Raportului de audit i ntocmirea unei liste corecte i complete de difuzare. Procedural auditorii: Constat c toate modificrile aprobate la proiectul de Raport sunt efectuate; Finalizeaz raportul; Constat lista de difuzare dac este complet.

15.

Supervizarea misiunii de audit public intern

Procedura de supervizare: Auditorii prezint conductorului Compartimentului de audit public intern documentele din dosarul permanent al misiunii de audit public intern. Conductorul Compartimentului de audit public intern: Ofer instruciunile necesare derulrii misiunii de audit public intern; Verific executarea corect a Programului de audit public Intern; Verific existena elementelor probante; Verific dac redactarea Raportului de audit public intern este Exact, clar i concisa; Verific dac Raportul de audit public intern este elaborate.

16.

Difuzarea raportului de audit public intern

Raportul de audit public intern finalizat: Se trimit, mpreun cu rezultatul reconcilierii i punctul de vedere al entitii auditate, de ctre compartimentului de audit public intern, conductorului entitii publice care a aprobat misiunea, pentru analiz i avizare. Pentru instituia public, Raportul de audit public intern se transmite spre avizare conductorului acesteia. Dup avizarea recomandrilor cuprinse n Raportul de audit public intern, acestea se comunica structurii auditate; Structura auditat informeaz compartimentul de audit public asupra modului de implementare a recomandrilor, incluznd un calendar al acestora.

STUDIU DE CAZ: SC TELSIM SRL

I. DESCRIEREA SOCIETATII

SC TELSIM SRL
Societatea Telsim SRL a fost infiintata in anul 2001 si are ca obiect de activitate comercializarea produselor si accesoriilor de telefonie mobila si fixa. Societatea lucreza in parteneriat cu Orange Romania si incheie contracte de telefonie mobila in numele acesteia pe langa obiectul sau de activitate principal. Societatea are sediul social in Bucuresti si are 24 de magazine de desfacere in marile orase ale tarii. In prezent firma are 58 de angajati din care 48 sunt agenti de vanzari si isi desfasoara activitatea la magazinele de desfacere din tara, iar restul se ocupa cu problemele financiar contabile la sediul social din Bucuresti. Sistemul informatic al firmei este format la sediul din Bucuresti dintr-o retea LAN ce contine un server si 9 puncte de lucru. Punctele de lucru sunt conectate la server printr-un swich cu 16 porturi UTP, 10/100 Mbps marca ALLIED TELESYN. La magazinele din tara exista un singur punct de lucru conectat la reteaua Internet. Conexiunea de Internet de la sediul central si de la toate punctele de lucru din tara este de tip FiberLink cu linii securizate frnizata de firma RDS. Toti angajatii firmei au acces nelimitat la Internet. Din punct de vedere al performantei calculatoarele prezinta urmatoarele caracteristici:

Server: Procesor Pentium IV 2,4 GHz, carcasa 400W MIDI ATX P4, 40 GB HDD, 512 MB RAM , CD-ROM 52x Sony, Video Intel 845, slot AGP, placa de retea UTP 10/100Mbps PCI, USB, FDD

14 calculatoare achizitionate in anul 2001 de la firma AMD Computers repartizate de la magazinele din tara: Procesor CELERON 1,7 MHz, 20 GB HDD, 128 RAM, CD-ROM 52x , placa de sunet, placa de retea 10/100 Mbps, USB, placa de baza ASUS P4P800S, video MATROX 16 MB, CARCASA TOWER.

10 calculatoare achizitionate in 2004 de la firma Ultra Pro Computers repartizate la magazinele din tara: procesor Intel Pentium IV 2.0 Ghz, carcasa Microtower, 256 RAM, 40 GB HDD, CD-ROM 52x, placa de sunet, placa de retea, USB, placa de baza Intel 945G, video Intel Graphics Media Accelerator 950.

9 calculatoare achizitionate in anul 2006 folosite la sediul din Bucuresti: Procesor Intel Pentium IV 4,3 Ghz, carcasa Middletower, placa de baza Asrock 775I65G, 80 GB HDD, 512 RAM, placa de sunet integrata, placa de retea integrata, USB, Unitate optica Combo CD-RW/DVD, video integrat.

24 imprimante cu jet Canon, PIXMA iP4200 utilizate la magazinele din tara O imprimanta matriciala EPSON LX-1170 II utilizata la sediu O imprimanta laser alb-negru HP LJ-1320N conectata la reteauza de la sediu.

Severul si calculatoarele de la sediu sunt conectate la 3 UPS Guard GS 500A, 500 VA cu urmatoarele caracteristici: protectiectie la fulgere, tehnologie interactiva de control a liniei prin intermediul microprocesorului, LED uri indicatoare, capabilitati de economisire a energiei, reglaj automat al volatajului (AVR), Genius Battery Management (GBM), pornire la rece. Reteaua de la sediu este administrata de catre un specialist in domeniu care se ocupa si de configurarea si buna functionare a calculatoarele de la punctele de lucru din tara. Toate punctele de lucru utilizeaza ca sistem de operare Windows XP, in timp ce serverul utilizeaza sistemul de operare Linux. Utlizatorii Windows mai folosesc si urmatoarele programe: Microsoft Office XP, Adobe Acrobat Reader 7 Profesional. Pentru protectie antivirus calculatoarele si serverul au instalate ultima versiune a programului Bit Defender 10 cu update la zi. Aceasta versiune s-a dovedit eficienta in protectia impotriva tuturor categoriilor de virusi si a mail-urilor de tip spam care afectau sistemele. Tehnologia Antispam BitDefender se bazeaz pe inovaii tehnologice remarcabile, care i permit s se adapteze din mers la noile tehnici de lansare a spam-ului i s nvee preferinele utilizatorului, reducnd astfel la minim numrul mesajelor legitime etichetate ca spam. Bit Defander 10 include si un modul Antispywere care monitorizeaz i previne potenialele ameninri spyware n timp real, nainte ca acestea s afecteze sistemul utilizatorului Impotriva atacurilor externe s-a activat firewall-ul din pachetul Bit Defender 10 care protejeaz datele i intimitatea prin filtrarea traficului la intrare i la ieire, controlnd fiierele de tip cookie, blocnd scripturile maliioase i programele de tipul XXXdialer. Pentru mai multa siguranta s-a activat si firewall-ul integrat in Windows XP la toate punctele de lucru. Pentru organizarea contabilitatii, a evidentei stocurilor si a salariatilor firma a achizitionat un program specializat de la firma Sasory Soft inca din anul 2001, firma Sasory ocupandu-se si de distribuirea si implementarea programului. Aceasta a pus la dispozitia utilizatorilor un manual complex de utilizare a programului si ofera si in prezent asistenta pentru softul achizitionat. Instruirea noior angajati cu privire la functionarea programului si utilizarea functiilor sale se realizeaza de catre angajatii existenti deja familiarizati cu programul. La momentul implementarii nu s-a facut o departajare pe posturi referitoare la accesul in program a angajatilor, fiecare avand acces nelimitat la toate functiile programului. La sediu exista o versiune a programului denumita Easy Cont de tip monouser pentru retea ce permite angajatilor accesul nelimitat in program. La fiecare magazin este instalat un soft de tip monopost simplificat denumit Easy Pct care permite accesul angajatilor doar

la anumite functii de baza.

Cele doua versiuni ale programului au integrat fiecare cate un modul de comunicare cu un alt Easy Cont/Easy Pct aflat la distanta conectat la reteaua Internet. Astfel, angajatii de la punctele de lucru din tara trimit in fiecare seara catre sediu un pachet cu toate datele aferente zilei de lucru. Programul cripteaza automat datele trimise acestea neputand fi citite decat de destinatarul datelor, respectiv serverul de la sediu. La sediu datele trimise sunt descarcate zilnic in program de catre un angajat, urmand fi verificate in cursul lunii si mai apoi validate. La inchiderea fiecarei luni datele sunt salvate pe suport magnetic si pastrate la sediu impreuna cu toata arhiva de date.

Modul de comunicare cu Easy Pct integrat in Easy Cont

Modul de comunicare cu Easy Cont integrat in Easy Pct

II.

MANAGEMENTUL RISCURILOR

1. Riscul securitatii fizice MEDIU

Reteaua este cablata local pe o arie foarte restansa. Exista o alarma monitorizata de o firma de interventie. Caile de acces dispun de sisteme de inchidere performante. Firma isi desfasoara activitatea intr-un spatiu inchiriat intr-o cladire de birouri in care activeaza si alte firme. Desi riscul de patrundere din exterior este foarte redus, angajatii din cladire pot avea acces foarte usor la documentele si bunurile firmei.

2. Riscul de comunicatie: REDUS Extern: conexiune de tip Fiber Link prin linii securizate atat la sediu cat si la toate magazinele din tara. Intern: comunicare la nivel de swich.

3. Riscul privind integritatea datelor: MEDIU Intrare: datele pot fi introduse si de persoane neautorizate sau persoane neinstruite pentru anumite tipuri de operatii. Preluare: preluarea se face automat. Iesire: preluare automata, salvarea se face la inchiderea fiecarei luni si ori de cate ori este nevoie. 4. Riscul de acces: MARE Accesul este necontrolat atat la server cat si la punctele de lucru Comuniarea cu exteriorul este libera

5. Riscul de protectie antivirus: MIC Toate punctele de lucru si serverul au instalat ultima versiune de antivirus Bit Defender 10.

Se efectueaza update zilnic. Sistemul este scanat periodic.

6. Riscul de personal: MARE S-a facut o instruire calificata a angajatilor numai in momentul achizitiei progamului. Accesul la program este necontrolat datorita lipsei unei delimitari clare a functiilor si posturilor. Nu exista parole de acces. Pot exista greseli umane neintentionate.

7. Riscul de management al situatiilor neprevazute: MARE Datele salvate sunt pastrate pe suporturi de date (CD) la sediul firmei

III.

CONTROLUL APLICATIEI

Modul Introducere facturi emise la Easy Pct

Camp pentru introducerea numarului facturii Camp pentru introducerea datei facturii Reper numar generat automat de program in ordine crescatoare ce identifica documentul in program in mod unic Afiseaza stocul existent in momentul introducerii facturii pentru produsul tastat in rubrica produs

Camp pentru tastarea codului care identifica magazinului in cadrul firmei

Adaugare act nou

Afiseaza nomenclatorul de produse

Calculator
Stergere act curent

Renunta la introducerea facturii

Selectare grupa si subgrupa tranzactie in functie de tipul tranzactiei si de modalitatea de plata

Cautare act

Vizualizare act curent

Listare act curent

Cautare tabelara

Acest modul permite introducerea facturilor emise de catre agentii de vanzari de la magazinele din tara. In urma varificarilor efectuate s-a constatat:

Campul pentru tastarea numarului de factura permite doar introducerea de caractere numerice. In caz contrar sistemul trimite un mesaj de avertizare si nu permite continuarea operatiilor de introducere a facturilor pana cand utilizatorul nu introduce un numar valid de factura.

Campul datei facturii permite introducerea datei conditionata de validitatea perioadei in care se lucreaza, respectiv luna si anul calendaristic pentru care se introduce factura. Astfel, nu este posibila introducerea unei facturi afereanta altei perioade in luna si anul curent. Daca aceasta conditie nu este indeplinita sistemul

trimite un mesaj de avertizare si nu permite continuarea operatiilor pana cand nu se introduce o data valida. Reperul este un numar generat automat de program in ordine crescatoare la fiecare initiere de introducere a oricarei inregistrari in program. Scopul reperului este de a identifica in mod unic o inregistrare sau un act introdus in program si de a facilita cautarea acestuia. Daca introducerea facturii a fost abandonata pe parcurs si nu s-a validat inregistrarea, reperul alocat de program va fi definitiv pierdut pentru luna curenta. Reperul poate fi modificat de utilizator. In cazul in care se doreste adaugarea unui produs pe o factura deja introdusa, utilizatorul trebuie sa tasteze reperul aferent facturii deja introduse.

Fiecarui magazin din tara ii corespunde un cod unic pentru facilitarea identificarii tranzaciilor. Campul produs permite introducerea doar a produselor existente in nomenclatorul de produse. O data cu introducerea produselor pe factura se realizeaza si descarcarea din gestiune.

In cazul in care se introduce o cantitate vanduta mai mare decat stocul existent in momentul respectiv, sistemul trimite un mesaj care avertizeaza despre existenta unui stoc negativ la produsul vandut.

Campurile Total si TVA total sunt calculate automat pe baza datelor introduse anterior in campurile Cantitate si Pret FTVA. Campul TVA permite ajustari de catre utilizator.

Selectarea grupei si a subgrupei de tranzactie permite specificarea tipului de tranzactie: cu abonament sau fara abonamnet si a modalitatii de plata a facturii respectiv cu numerar sau prin banca folosind aparatele de POS disponibile in magazin.

In momentul validarii facturii utilizatorul trebuie sa aleaga dintr-o lista schema de contare utilizata avand in vedere ca se pot factura atat marfuri cat si servicii de diferite categorii. Tot atunci se selecteaza si categoria de client: persoana fizica sau juridica. Pentru clientii persoane juridice exista deschisa cate o fisa analitica. Daca clientul este nou, utilizatorul il poate introduce, generandu-se astfel o noua fisa analitica pentru clientul respectiv.

Modulul permite utilizatorul stergerea de facturi introduse, vizualizarea si printarea facturilor emise, cautarea facturilor dupa mai multe criterii: data facturii, numar factura, reper, produs facturat, grupa si subgrupa de tranzactie, denumire client.

Modulul Introducere facturi emise la Easy Cont

Cod de identificare a magazinului Numarul si data facturii Reper alocat Grupa si subgrupa tranzactiei

Schema de contare aleasa

Client

Stoc existent

Adaugare act nou

Nomenclator produse

Calculator

Modificare act curent Stergere act curent

Cautare tabelara Cautare act

Lisare act curent

Renunta la adaugarea facturii

Vizualizare act curent

Modulul de introducere a facturilor emise in Easy Cont are aceleasi caracteristici ca si modulul de introducere a facturilor emise in Easy Pct pentru pastrarea concordantei in momentul trimiterii de date de la punctul de lucru catre sediul central. Pe langa designul diferit acest modul prezinta in plus si optiunea de modificare a unei facturi deja introduse. La Easy Pct acest modul lipseste pentru a limita accesul angajatilor la modificarea actelor.

Modul Introducere facturi primite la Easy Cont

Numarul si data facturii introduse Reper alocat

Data scadenta de plata a facturii Schema de contare Cod de identificare a magazinului Furnizor

Export facturi in Excel Vizualizare act curent Definire sheme de contare

Renuntare

Adaugare act nou Modificare act curent Stergere act curent Cautare tabelara Cautare act Listeaza act curent

Acest modul permite introducerea facturilor primite de la furnizori. Aici sunt incluse atat facturile de la furnizorii de marfuri cat si facturile primite de la furnizorii de servicii. Facturile primite de la furnizori sunt introduse in program numai la sediu pentru a se putea gestiona mai bine evidenta platilor catre acesti furnizori. Modulul este asemanator cu cel de introducere a facturilor emise catre clienti in ceea ce priveste introducerea numarului de factura, a datei facturii, alocarea reperului de catre program, selectarea schemei de contare dintr-o lista cu scheme deja definite de utilizator, selectarea furnizorilor din lista, modificarea actului deja introdus, stergerea, vizualizarea si listarea. Rubrica TVA permite ajustarea sumei de catre utilizator daca cea calculata automat de program nu corespunde cu cea inscrisa pe factura sau daca cota de TVA nu este corespunzatoare. Utilizatorii pot introduce noi scheme de contare si noi furnizori daca acestia nu au fost adaugati anterior.

Modul Adaugare acte la registrul de casa la Easy Pct

Numarul si data actului

Tipul tranzactiei: incasare/plata

Solduri registru de casa

Furnizor sau client in functie de tipul tranzactiei

Vizualizare registru de casa zi curenta

Renuntare

Adaugare act

Stergere act curent Cautare tabelara

Listare act curent

Acest modul permite introducerea documentelor justificative de incasari si plati pentru intocmirea registrului de casa zilnic. Campurile Data, Act Nr. si TVA au aceleasi caracteristici ca si in cazul modulelor precedente. In functie de tipul tranzactiei care poate fi incasare sau plata utilizatorul alege ditr-o lista clientul sau furnizorul dupa caz. Daca acestia sunt noi se permite adaugarea lor in fisele analitice. Soldul initial al zilei se preia automat din ziua precedenta , totusi utilizatorilor le este permisa modificarea soldului in orice moment. De asemenea schema de contare este aleasa de utilizator dintr-o lista predefinita la care mai pot fi adaugate si alte scheme de contare Modulul mai permite stergerea actului curent, vizualizarea registrului de casa din ziua curenta, listarea actului curent, cautarea actului dupa mai multe criterii: numar, data, tipul tranzactiei.

Modul Adaugare acte in regisreu de casa la Easy Cont

Reper generat Numarul si data actului

Tipul tranzactiei

Cod de identificare a magazinului

Schema de contare

Acest modul este similar cu cel de la Easy Pct pentru a permite corespondenta datelor dintre inregistrarile de la punctele de lucru si cele de la sediu. In afara de designul diferit in modulul de la Easy Cont este permisa modificarea in orice moment a actelor introduse pentru registrul de casa.

Modul Adaugare acte in extrase de banca lei la Easy Cont

Reper generat

Numarul si data extrasului de cont

Tipul tranzactiei

Schema de contare

Acest modul permite introducerea extraselor bancare si prezinta aceleasi caracteristici ca si celelate module anterioare in ceea ce priveste tastarea datelor in campuri, selectarea schemei de contare, selectarea clientilor, respectiv a furnizorilor in functie de tipul tranzactiei efectuate. Inainte de intrarea in modul utilizatorul trebuie sa selecteze contul bancar pentru care se doreste adaugarea extraselor.

IV.

CHESTIONARE APLICATE IN PROCESUL AUDITARII SISTEMULUI INFORMATIC

1. Conducere i organizare Nr. crt. Intrebri 1. Unitatea are o strategie de informatizare ?

Da X

Nu

Comentarii

2. Aceast strategie mbrac forma unui document scris care a fost analizat de ctre conducere ? 3. Ce prevede : strategii informaionale ? noi achiziii hard i soft ? noi interfee pentru aplicaii ? 4. Activitatea de procesare automat a datelor este organizat ntr-un compartiment distinct la nivelul unitii ? 5. Angajaii unitii sunt informai despre X restriciile legale i contractuale care afecteaz utilizarea softului ? 6 Exist licene pentru softul utilizat pe fiecare X calculator? 7. Exist dischete/CD-uri de instalare pentru X softul utilizat ? X 8. Sunt folosite versiuni de soft pentru reea? 9. Politicile unitii restricioneaz folosirea X neautorizat a softului ?

Conducerea firmei isi creaza propria strategie informationala dupa ce a consultat parerea administratorului de retea fara ca aceasta strategie sa se concretizeze intr-o forma scrisa. In principal strategia informationala a firmei prevede noi achizitii hard pentru a le reinoi pe cele mai vechi. Firma este de dimensiuni reduse si nu exista un compartiment distinct pentru procesarea automata a datelor.

Softul programului de contabilitate este pentru retea Pentru instalarea programul de contabilitate este necesara tastarea unei parole confirmata numai de catre firma producatoare a softului in momentul instalarii

10. Conducerea unitii nelege responsabilitile X ce i revin pe linia asigurrii controalelor adecvate i supervizrii mediului informatic al firmei ? 11. Exist o persoan responsabil pentru : X identificarea necesitilor n materie de soft i aducerea la cunotina conducerii a acestor necesiti ? identificarea necesitilor n materie de hard ? 12 Utilizatorii snt consultai nainte de a se trece X la achiziionarea sau dezvoltarea de noi componente soft ? 2. Componente hard i soft Da X Nu

Administratorul de retea este cel care aduce la cunostinta conducerii despre necesitatile in materie de hard si soft

Administratorul de retea se consulta cu utilizatorii in ceea ce priveste achizitionarea de noi componente soft

Nr. Intrebri crt. 1. Exist specificaii clare ce s justifice orice

Comentarii

achiziie hard i soft, precum i dezvoltarea softului prin eforturi proprii ? 2. Exist specificaii cu privire la instalarea i X testarea softului i a echipamentelor noi ? 3. Instalarea softului i a echipamentelor noi X este adus la cunotina conducerii ? 4. Exist contracte ncheiate pentru ntreinerea X echipamentelor i softului ?

5. S-a efectuat o revizie prin care s se X determine dac echipamentele i softul achiziionate n anul curent i n cel precedent sunt folosite ?

Pentru intretinerea si actualizarea programului de contabilitate s-a incheiat un contract cu firma producatoare. Administratorul de retea este responsabil cu intretinerea echipamentelor si acelorlalte componente soft Toate echipamentele achizitionate se folosesc.

3.

Integritatea datelor - controlul intrrilor Da Nu Comentarii Controalele efectuate asigura o usoara intelegerea a documentelor sursa si a ecranelor de intrare, in fiecare modul

Nr. Intrebri crt. 1. Controale efectuate asupra documentelorsursa sau a ecranelor de intrare asigura ca: sunt usor de inteles;

 ajuta la reducerea numarului de erori; permit ca doar o singura informatie sa fie intrare pentru sistem la un moment dat; includ instructiuni de completare adecvate. 2. Analiza controalelor asupra accesului la formularele de intrare sau a ecranelor certifica: existenta semnaturilor de autorizare; existenta parolelor si cine le atribuie, cine le schimba, cand sunt schimbate si daca accesarile neautorizate sunt detectate; limitarea optiunilor implicite. 3. Sunt inregistrate toate informatiile? X 4. Informatiile sunt inregistrate in ordine cronologica ? 5. Informatiile sunt inregistrate o singura data ? X X

o singura informatie este de intrare la un moment dat, exista instructiuni adecvate pentru completare Nu exista semnaturi de autorizare, parole de de acces. Toti utilizatorii au acces la toate optiunile programului. X

6. Lipsa sau duplicarea anumitor informatii este X detectata si investigata ?

7. Informatiile care reprezinta intrari pentru sistem sunt aprobate de un responsabil ? 8. Toate informatiile au fost autorizate in mod corespunzator si revizuite ? 9. Toate schimbarile intervenite asupra informatiilor sunt autorizate ? X

In urma controlului s-a constatat ca toate informatiile sut inregistrate Programul sorteaza toate inregistrarile in ordine cronologica In urma controlului s-a constatat ca toate informatiile verificate au fost inregistrate o singura data insa programul permite inregistratea duplicatelor. Lunar, utilizatorii de la sediu verifica concordanta dintre documentele fizice si cele introduse in program de catre angajatii de la magazine pentru a se remedia toate erorile facute de acestia. Intrarile nu sunt aprobate. Toti utilizatorii au dreptul de a valida intrarile Informatiile sunt revizuite lunar dar nu necessita o autorizare. Toti utiliatorii au dreptul de a face modificari asupra inregistrarilor daca in urma verificarilor constata greseli. Nu se necesita o autorizare pentru remedierea greselilor

4.

Integritatea datelor controlul prelucrarii Da Nu X Comentarii

Nr. Intrebri crt. 1. Exista proceduri formale de operare si

utilizare ? 2. Sunt prevazute proceduri de repornire a sistemului in caz de oprire accidentala ? X X X X Programul de contabilitate are un modul care detecteaza toate erorile inregistrate din punct de vedere contabil Verificarea conexiunii la retea, reinitializare prelucrarii si repornirea sistemului daca situatia nu se remediaza. X Fiecare utilizator raporteaza la sfarsitul zilei de lucru superiorului sau ierarhic activitatile desfasurate in cursul zilei respective. Toti utilizatorii au fost instruiti cu privire la repornirea sistemului in caz de oprire. Nu exista proceduri de salvare a copiilor de siguranta.

3. Exista proceduri pentru realizarea copiilor de siguranta ? 4. Exista proceduri pentru pericolul erorilor ? 5. Facem controale prin care sa se determine utilizarea neadecvata a sistemului ? 6. Exista controale prin care sa se detecteze X situatiile neobisnuite ? 7. Care sunt procedurile folosite in cazul intreruperii anormale a prelucrarilor ? 8. Se face o contabilizare a activitatilor care se executa ? 9. Se face o raportare a activitatilor care se executa ? 10. Se face o documentare si o testare ale controalelor prelucrarii: rapoarte asupra exceptiilor; tranczatii automate; totaluri de control; controale in timpul prelucrarii; tranczactii automate intre sisteme; actualizarea datelor. X

5. Nr. crt.

Integritatea datelor - controlul ieirilor Intrebri Da Nu Comentarii

1. Pentru fiecare ieire se determin : numele ; suportul ; frecvena ; mrimea ; controlul efectuat asupra sa ; distribuirea ; modul n care este distrusa. 2. Exist jurnale pentru evidenta distribuiei? 3. Snt prevazute metode de distribuie ? 4. Se asigur securitatea ieirilor pe timpul X tranzitrii ? 6. Distribuia respect principiul trebuie s tie ? 7. In cazul imprimrii rapoartelor pe timpul nopii, acestea snt protejate n mod corespunztor ? 8. Exist proceduri pentru detecia i corecia X erorilor ? 9. Se face o revizie cu privire la pstrarea i distribuirea suporilor de memorare ? 10. Se face o revizie cu privire la distrugerea sau clasarea rapoartelor obinute din sistem : rapoarte ce conin informaii importante ; perioadele de pstrare a rapoartelor ; distrugerea suporilor magnetici.

X X X X Distribuirea datelor se face catre toti utilizatorii Nu exista situatii de imprimare a rapoartelor pe timpul noptii Detectia si corectia erorilor se face la sfarsitul lunii de catre utilizatorii de la sediu

X X

6. Nr.

Securitate administrativ Intrebri Da Nu Comentarii

crt. 1. In cadrul unitii exist o persoan care s rspund de asigurarea securitii informatiilor ? 2. Exist o politic de securitate specific X departamentului sau unitii ? 3. Politica de securitate prevede : obiectivele securitii ; responsabiliti pe linia securitii n cadrul unitii/departamentului ; responsabilitile angajailor pe linia asigurrii securitii ; accesul conform principiului trebuie s tie ; clasificarea informaiilor ; etichetarea informaiilor n acord cu importana lor pentru unitate ; copierea i distribuirea informaiilor ; reviziile periodice n acord cu prevederile legale ; autentificarea i identificarea utilizatorilor ; dreptul de proprietate asupra datelor, autorizarea cererilor de modificare, tergere sau difuzare a datelor ; securitatea comunicaiilor ; dreptul de proprietate asupra softului ; folosirea softului fr licen ; testarea softului ; copiile de siguran ; securitatea fizic ; securitatea personalului (proceduri la angajare, instruire, ncheierea contractului de munc) ; aciuni ce se ntreprind mpotriva nclcrii msurilor de protecie i securitate.

Politica de securitate a firmei prevede: - clasificarea informatiilor, -copierea si distribuirea informatiilor, -revizii periodice, -dreptul de proprietate asupra softului, -testarea softului, - securitatea fizica, - securitatea personalului

4. Politica de securitate a fost adus la cunotina ntregii conduceri?

8. Securitate fizic Nr. Intrebri Da Nu Comentarii

crt. 1. Mediul n care se desfoar activitatea este protejat n mod corespunztor mpotriva incendiilor : exist sisteme de detecie i de alarm mpotriva incendiilor ; sisteme de stingere automat a incendiilor ; locul de depozitare a suporilor de memorare este rezistent la foc ; exist stingtoare de incendii ; personalul este antrenat s fac fa unor astfel de situaii. 2. Sistemul central este amplasat la parterul cldirii sau la ultimul etaj ? 3. Echipamentele sunt protejate mpotriva inundaiilor care s-ar putea produce la nivelul unde sunt amplasate ? 4. Exist sisteme de protecie mpotriva cderilor de tensiune ? 5. Intrarea n aria p. a. d. este protejat n mod corespunztor? 6. Exist un loc de protejare a suporilor de memorare aflat n afara sediului firmei ? 7. Documentaiile programelor, sistemului sunt depozitate la loc sigur cu restricionarea accesului persoanelor neautorizate ? 8. Copiile de siguran ale documentaiilor se afl la loc sigur ? 9. Exist proceduri pentru actualizarea copiilor de siguran ale documentaiilor? 10. Echipamentele sunt protejate mpotriva furturilor? 11. Serverele se afl ntr-o ncpere separat ? 12. Echipamentele de comunicaie sunt protejate n mod corespunztor ?

Exista sisteme de detectie si de stingere automata a incendiilor. Exista stingatoare de incendiu iar personalul este instruit sa faca fata acestor situatii

X X X X X X X X X X

Sistemul central se afla la primul etaj al cladirii Exista riscul de inundatii

Suportii de memorare sunt pastrati la sediul firmei

Serverul se afla in unul din birouri

9. Controlul accesului Nr. Intrebri Da Nu Comentarii

crt. 1. Atribuirea i schimbarea conturilor/parolelor de acces fac obiectul unei aprobri formale ? 2. Accesul la date i soft respect principiul trebuie s tie ? 3. Toate ncercrile de accesare neautorizat a sistemului sunt nregistrate, raportate i investigate ? 4. Politicile i procedurile unitii prevd situaiile n care au acces la sistem i consultanii acesteia ? 5. Staiile de lucru sunt dotate cu soft care s blocheze accesul la reea atunci cnd utilizatorul nu se afl la staia sa ? 10. Controlul documentaiei Nr. Intrebri crt. 1. Exist documentaii standardizate ? 2. Aceste documentaii includ : manuale ale sistemului pentru utilizatori ; documentaia tehnic a programelor ; manuale de utilizare a programelor. 3. Documentaiile aplicaiilor includ cel puin : o prezentare simpl a denumirii intrrilor, fiierelor prelucrrilor i a rapoartelor obinute ; o scurt descriere a ceea ce face aplicaia ; explicarea calculelor pe care le face aplicaia ; instruciuni pentru utilizatori. 4. Documentaia reelei include cel puin : o diagram care s prezinte configuraia reelei cu toate componentele sale ; instruciuni i proceduri pentru administratorul de reea ; instruciuni pentru utilizatori ; manual operaional. 5. Documentaia sistemului este actualizat ? 6. Documentaia sistemului este pstrat ntr-un loc sigur ? X X X X X Nu exista conturi si parole Toti utilizatorii ai acces la date si soft

Da X X

Nu

Comentarii Documentatiile includ manuale de utlizare si instruire a utlizatorilor pentru programul de contabilitate, documentatia tehnica a programelor Manualul de utlizare a programului de contabilitate este complex descriind in detaliu toate, modulele, functiile si controalele existente, chiar si cele care nu sunt necesare utilizarii in cadrul firmei. Documentatia retelei include instructiuni pentru utilizatori, o diagrama care prezinta configuratia retelei

X X

Documentatia sistemului este pastrata la sediul firmei.

11. Nr. crt.

Integritatea softului Intrebri Da Nu Comentarii

1.

2. 3.

4. 5. 6.

Dezvoltarea aplicaiilor se realizeaz n acord cu metodologiile standard de realizare a sistemelor care iau n considerare nevoile utilizatorilor ? Achiziia softului este controlat ? Intreinerea aplicaiilor este controlat n mod adecvat : au loc numai schimbri autorizate ; sunt prevzute procedurile pentru efectuarea schimbrilor de urgen ; noile versiuni ale softului cumprat sunt instalate numai dup ce s-au analizat efectele acestuia ? Se pstreaz o copie de siguran a vechii versiuni ? Utilizarea pachetelor shareware i ,,freeware este controlat ? Originalelor pachetelor soft li se asigur protecie?

Se fac achizitii de soft numai cu autorizare din partea conducerii firmei dupa au fost prezentate consecitele si beneficiile schimbarii de soft

X X X

12. Protecia mpotriva viruilor Nr. Intrebri crt. 1. Conducerea a fost atenionat cu privire la potenialele pericole pe care le implic viruii ? 2. Softul este verificat naintea instalrii ? 3. Hard discurile reparate sau achiziionate sunt verificate nainte de a fi instalate ? 4 Programele shareware i freeware sunt verificate nainte de a fi instalate? 5. Exist proceduri pentru depistarea i eliminarea viruilor? 6. Lucrul cu dischete este controlat ?

Da Nu X X X X X

Comentarii

Antivirusul instalat scaneaza sistemul periodic si depisteaza si elimina virusii daca acestia exista in sistem X

13. Nr. crt.

Transimisia datelor Intrebari

Da

Nu

Comentarii

1. 2. 3.

4.

Se face o identificare a calculatoarelor care X lucreaza in retea ? Se face o verificare a prelucrarilor pe care le efectueaza fiecare utilizator ? Se va verifica daca: doar utilizatorii cu drepturi sunt logati; doar calculatoarele cu drepturi sunt on-line; prelucrarile sunt efectuate de catre utilizatorii cu acest drept de la calculatoare validate; tabelele de autorizare sunt actualizate (vacante, promovari, transferuri, incetarea contractului de munca). Ce metode de control se folosesc: criptarea; autodiagnoza; diagnoza de la distanta; identificarea calculatorului/utilizatorului apelant ?

X X

Programul de contabilitate foloseste criptarea

PLAN DE RECUPERARE IN CAZ DE DEZASTRU

1. Evaluarea riscurilor de afacere si impactul potentialelor pericole. Au fost identificate urmatoarele evenimente care pot avea impact atat in continuarea operatiilor cat si in domeniul financiar-uman: - Producerea unei calamitati naturale: incendiu, cutremur care poate avea ca urmari distrugerea totala a echipamentelor si a datelor salvate; - Producerea de inundatii; - Furtul echipamentelor, a suporturilor pe care sunt pastrate datele, a actelor; - Stergerea tuturor datelor din baza de date de catre un utilizator care nu cunoaste destul de bine funtionarea programului de contabilitate; - Defectarea serverului datorita unei erori a programatorului sau din alte cauze; - Deteriorarea suporturilor pe care sunt pastrate datele datorita unei proaste manupulari sau depozitari; - Pierderea sau distrugerea documentatiilor si copiilor de siguranta ale softurilor instalate; - Indisponibilitatea de a se prezenta la lucru a mai multor angajati in acelasi timp; - Insuficienta personalului datorita demisionarii in masa sau a concedierilor; - Indisponibilitatea firmei care asigura service si consultanta cu privire la utilizarea programului de contabilitate; 2. Clasificarea analizei operatiilor si a elementelor critice: Functionarea sistemului este vitala pentru firma. Avand in vedere ca toate datele sunt transmise on-line de catre agentii de vanzari de la magazine si volumul de activitate este foarte mare nefunctionarea sistemului ar duce la imposibilitatea desfasurarii activitatii. Pe termen foarte scurt aceste functii pot fi realizate manual la un cost foarte mare care presupune deplasarea angajatilor la de la sediu la punctele de lucru din tara, trimiterea actelor fizic prin curierat rapid care, la randul lor genereaza si riscul de pierdere al actelor, de furt, de deteriorare. Personalul angajat la sediu este insuficient pentru realizarea acestor functii chiar si pe termn scurt iar angajarea de personal ar fi ineficienta pe termen scurt datorita costurilor ridicate si a procedurilor de instruiere cu privire la functionarea programului care se realizeaza pe etape. Se impune deci remedierea in cel mai scurt timp a problemelor legate de functionarea sistemului. Datorita faptului ca datele salvate sunt pastrate la sediu, cazul pierderii lor si a distrugerii bazei de date, societatea se poate afla in imposibilitatea de recuperare a acestor date. Acest risc este critic pentru continuarea activitatii firmei. 3. Dezvoltarea unui plan de continuitate a afacerii si proceduri de recuperare in caz de dezastru. Pentru reducerea riscurilor la minim in cazul evenimentelor neprevazute care pot aparea se impune luarea urmatoarelor masuri: - Salvarea datelor introduse in program saptamanal pentru a limita activiatea de reintroducere a datelor pierdute; - Pastrarea unor copii ale datelor salvate si in alta locatie din afara firmei; - Pastratea documentatiei si a soft-urilor achizitionate in alta locatie din afara firmei;

Avand in vedere ca firma are angajati putini ar trebui sa se faca o instruire completa a acestora cu privire la realizarea tuturor sarcinilor ce trebuie efectuate in vederea desfasurarii activitatii; Montarea de sisteme de alarma si camere web care sa monitorizeze impotriva furturilor; Luarea tuturor masurilor necesare prevenirii si stingerii incendiilor; Instruirea adecvata si specializata a tututor angajatilor cu privire la calamitatile naturale; Repartizarea in prealabil a sarcinilor ce revin fiecarui angajat in caz de dezastru; Motivarea salariatilor; Verificarea permanenta a sistemului pentru a se putea descoperi din timp eventualele defectiuni; Mentinerea unei bune colaborari cu o firma care asigura service si consultanta pentru soft-ul de contabilitate;

4. Program de instruire si urmarire: - Este necesara desemnarea de persoane responsabile pentru instruirea angajatilor cu privire la situatiile critice; - De asemenea aceste persoane sunt responsabile de existenta si pastrarea resurselor critice; - Managementul firmei precum si utlizatorii trebuie sa se implice in identificarea sistemelor critice, a timpului de recuperare critic asociat si specificatiile resurselor necesare; 5. Testarea si implementarea planului: Se realizeaza permanent teste care sa verifice elaborarea si pecizia continuitatii in planul afacerii, sa evalueze performanta personalului implicat in exercitiu, pregatirea si perseverenta membrilor echipei, corespondenta intre continuitatea afacerii clientului si furnizorului. 6. Monitorizarea are drept scop: - Evaluarea strategiei de continuitate a afacerii si legaturile sale cu obiectivele afacerii; - Evaluarea planurilor de continuare a afacerilor pentru a se vedea daca acopera toate aspectele; - Verificarea eficientei planului de continuitate a afacerii prin crearea de situatii problema; - Evaluarea abilitatii personalului de a raspunde cat mai eficient in situatiile de urgenta; - Evaluarea in permanenta a depozitarii datelor salvate si pastrate in afara firmei; - Asigurarea ca planul de continuitate a afacerii corespunde cerintelor actuale sau trebuie reelaborat.

V.

RAPORT DE AUDIT

1. Scopul si obiectivele urmarite: Prezentul audit a fost efectuat in scopul: verificarii mediului de functionare a procedurilor de intrare, prelucrare si iesire prevazute de programul informatic; verificarii cuprinderii in procedurile de prelucrare a reglementarilor in vigoare si a posilbilitatii de actualizare a acestor proceduri in functie de modificarile survenite in legislatie; verificarii operatiilor economice si financiare inregistrate in contabilitate astfel incat acestea sa fie efectuate in concordanta stricta cu prevederile actelor normative care le reglementeaza;

Principalele obiective urmarite sunt: Implementarea unei bune practici; Evaluarea situaiei controalelor; Configurarea punctelor cheie pentru securitatea informaiilor; Reducerea frecvenei i/sau impactul incidentelor majore; Alinierea la politica intern ; Integrarea ntr-un program al managementului riscurilor; Realizarea unui plan de recuperare in caz de dezastru si de continuare a afacerii;

2. Probe: In scopul realizarii misiunii sale de audit auditorul a folosit probe fizice, documentare, reprezentari si analize. Auditorul a verificat prin sondaj concordanta dintre documentele existente fizic la societate si inregistrarile aferente acestora in cadrul sistemului informatic. In verificarile sale auditorul a folosit rezultatul unor interogari ale bazei de date, prelucrari efectuate de programul de contabilitate, inregistrari ale tranzactiilor, rezultate obtinute in urma unor comparatii si calcule electuate de auditor. Auditorul a verificat de asemenea politici, proceduri si regulamente interne elaborate de managementul societatii in cauza, gradul de instruire a personalului, documentatia aferenta programelor, echipamentele tehnice utilizate si configuratiile acestora, existenta licentelor de folosire pentru toate soft-urile utlizate de societate. Conducerea societatii a pus la dispozitia societatii toate probele solicitate de auditor, acesta considerand ca probele utilizate au fost suficiente pentru elaborarea unei concluzii. 3. Perioada de acoperire: Perioada auditata a fost 01.07.2008 31.12.2008 4. Natura si intinderea lucrarilor efectuate: Auditarea sistemului informatic s-a facut atat din punct de vedere contabil cat si din punct de vedere al echipamentelor folosite, configuratiilor acestora, riscurilor care ameninta buna desfasurare a activitatii firmei. In efectuarea auditului, auditorul a aplicat normele si standardele de audit in vigoare

n urma cercetrii eantioanelor extrase din documentatia prezentata, precum i a procedurilor, se poate ntocmi o list a controalelor efectuate asupra sistemului informatic. Aceasta presupune controlul: - hardware; - sistemelor de operare; - bazei de date; - reelelor de calculatoare; - operrii n reea; - operaiilor de ieire; - raportrii problemelor de gestionare la nivelul reelei; - raportrii privind disponibilitatea i utilizarea hardware. Pentru fiecare control n parte se va ntocmi un raport n form detaliat ce va conine: I. DENUMIREA CONTROLULUI: Cum suporta IT-ul departamentul?

Descrierea controlului: Problema de Control / Politica de referinta / Cea mai buna practica Impact

AI-2.15.8 Rezultatele testelor ar trebui sa fie pstrate, problemele ar trebui prioritizate urmate apoi a fi corectate.

Procedura de testare A. Sistemele sunt realizate preponderent intern sau nu? Care este gradul de customizare a pachetelor? Cine face modificarile ? (vanzatorul sau sunt facute intern) Procedurile de testare a B. Determinarea aplicatiilor alaturi de procesului de practicile de control vor rezolvare a avea rolul de a: problemei Asigura aplicatiei. mecanisme de incredere pentru testarea eficienta si eliminarea nevoii de retestare datorata slabei documentari.

Comentarii Sistemele sunt achizitionate de la furnizori, tot acestia facand si modificarile

Ori de cate ori apar probleme aceste sunt inregistrate

Problema de Control / Politica de referinta / Cea mai buna practica Impact Procedura de testare Comentarii C. Verifica daca Preveni deviatii AI-2.15.11 informatiile de la metodologia Aprobarea referitoare la standard de testare si de managerului probleme sunt a descoperi erorile la un general este colectate i necesara atunci nivel incipient, care mai inregistrate ori de cand programe cu tarziu s-ar putea dovedi cate ori acestea erori cunoscute costisitoare de eliminat. sunt trimise catre apar. Asigura ca productia de datele utilizate in testare serie. sunt relevante pentru diversele scenarii ale business-ului si ca testarea nu este compromisa datorita duplicarii eforturilor echipelor de testare si dezvoltare. Preveni utilizarea frauduluoas a datelor incluse in testare pentru a comite fraude ce ar putea duce la stricarea imaginii si suspendarea dreptului de a profesa. Asigura toate tipurile de utilizatori prin realizarea de teste si acceptarea de catre soft in mod protocolar AI-4.1.1 Asigura Furnizarea clara a D. Obtinerea unui ca exista un cerintelor operationale Service Level proces care si a nivelelor de service Agreement din defineste cerintele alaturi de practica partea operationale controlului au rolul de departamentului precum si nivelele a: IT. de service care Furniza

Problema de Control / Politica de referinta / Cea mai buna practica Impact sustin scopurile capacitatea de a organizatiei ca dezvolta parte din ciclul de manuale de dezvoltare al utilizare cat mai organizatiei. bune precum si (SDLC). materiale de trening. Asista in implementarea de schimbari prin asigurarea ca cerintele operationale si nivelele de service sunt dezvoltate in timp util si ca asteptarile sunt realiste

Procedura de testare Comentarii Un Business Service Level Agreement este un contract intre departamentul IT si utilizator care stabileste nivelul de performanta a sistemului si de serviciile specifice pe care departamentul IT le va livra.

E. Inteaba Business User Management si determina daca sunt intrunite cererile nivelului contractual de servicii cum sunt: Timpul de raspuns al aplicatiei Validitate a aplicatiei Timpul de procesare al aplicatiei Numele persoanelor dn

Problema de Control / Politica de referinta / Cea mai buna practica Impact

Procedura de testare Comentarii departamentul It specializate in rezolvarea problemelor F. Determina daca exista un proces care sa identifice si sa aduca imbunatatiri continue aplicatiei.

Concluzii:

In urma controalelor facute auditorul a constat: Procedurile folosite corespund reglementarilor in vigoare; Exista posibilitati de actualizare a procedurilor daca apar modificari in legislatie; Eventualele erori care pot aparea in functionarea programului informatic sunt remediate de catre o firma specializata; Fiecare data integistrata in programul de contabilitate se regaseste in continutul unui document la care au acces atat beneficiarii cat si organele de control; Programul informatic asigura listele operatiunilor efectuate in contabilitate pe baza de documente justificative numerotate in ordine cronologica, interzicandu-se inserari, intercalari, precum si orice eliminari sau adaugari ulterioare; Programul asigura reluarea automata in calcul a soldurilor conturilor obtinute anterior; Programul permite inserari, modificari, sau eliminari de date pentru o perioada inchisa; Programul asigura respectarea continutului de informatii prevazut pentru toate tipurile de formulare;

Societatea se confrunta cu o problema grava de risc a securitatii fizice a datelor datorita faptului ca nu exista copii ale datelor salvate si in alte locatii decat la sediul firme; Exista un foarte mare risc de acces deoarece nu exista conturi si niveluri de acces al utilizatorilor la informatiile si functiile programului informatic; Sistemul informatic este protejat corespunzator impotriva virusilor si a atacurilor din exteriorul retelei; Personalul societatii nu este instruit corespunzator cu privire la utilizarea programului de contabilitate;

Recomandri:
Pentru imbunatatirea performantelor si reducerea la minim a riscurilor se impune luarea urmatoarelor masuri: Sa se realize o instruire adecvata a personalului societatii de catre o firma specializata cu privire la utilizarea soft-ului de contabilitate; Sa se realizeze o departajare pe functii si posturi a personalului, iar intrarea in program sa fie restrictionata de utilizarea unui user si a unei parole de acces; Sa se realizeze o monitorizare a operatiilor facute de fiecare user in parte petru a se vedea nivelul de cunostinte al fiecaruia; Sa se efectueze salvari ale datelor din sistem periodic, mai des decat perioda actuala care este de o luna, iar suporturile cu date sa fie pastrate in mai multe locatii din afara firmei; Sa se restrictioneze accesul la Internet al utilizatorilor, folosirea de dischete de catre acestia si instalarea oricarui soft care nu este justificat; Sa se desemneze o persoana responsabila cu descarcarea datelor pe server primite de la magazine zilnic, si cu salvarea pe suporturi magnetice a copiilor de date; Sa se restrictioneze accesul angajatilor la server prin mutarea acestuia intr-o incapere in care are acces doar administratorul de retea si conducerea firmei; Sa se reconfigureze programul de contabilitate astfel incat sa nu se permita inserari, modificari sau eliminari de date pentru o perioada inchisa.

Bibliografie: 1. M. Boulescu, C. Barnea- Audit financiar. Ediia FRM Bucureti 2006. 2. *** Legea 672/2002 privind auditul public intern, M.O. nr. 953/24 dec. 2002. 3. Camera Auditorilor Financiari din Romnia - Audit financiar 2000. Editura Economic Bucureti.2000. 4. Baron, A. M. - Tehnici i metode utilizate n auditul calitii Software, Lucrare de disertaie, Curs de master: Managementul Informatizat al proiectelor, Bucureti, ASE, Facultatea CSIE, 2004 5. Brnda, C. - Auditul sistemelor informatice de gestiune, note de Curs, Timioara, Facultatea de tiine Economice, Universitatea De Vest, 2004

UNIVERSITATEA PETROANI

FACULTATEA DE TIINE SPECIALIZAREA: SISTEME INFORMATICE DE GESTIUNE

REFERAT LA AUDITUL SISTEMELOR INFORMATICE

TEMA: METODOLOGIA PRIVIND MISIUNEA DE AUDIT PUBLIC INTERN STUDIU DE CAZ: SC TELSIM SRL

COORDONATOR:
Lector univ. Dr. ec. Slusariuc Gabriela Corina

MASTERAND: AN DE STUDIU: II AN UNIVERSITAR: 2009-2010

CUPRINS
1. Pregtirea misiunii de audit intern 2. Declaraia de independena 3. Notificarea privind declanarea misiunii de audit public intern 4. Colectarea i prelucrarea informaiilor 5. Identificarea obiectelor auditabile 6. Analiza riscurilor 7. Tehnici de audit public intern 8. Dosarele de audit public intern 9. Transmiterea rezultatelor. edina de nchidere a interveniei la faa locului 10. Elaborarea proiectului de raport de audit public intern (raport intermediar) 11. Procedura privind elaborarea proiectului de raport de audit public intern 12. Transmiterea proiectului de audit public intern la structura auditata 13. Reuniunea de conciliere

14. Raportul de audit public intern final 15. Supervizarea misiunii de audit public intern 16. Difuzarea raportului de audit public intern 17. Studiu de caz: S. C. Telsim SRL 18. Concluzii i recomandri