Lucrare Dizartatie - Auditul Intern La Institutiile Publice
May 4, 2017 | Author: Ana Goloborodco | Category: N/A
Short Description
Download Lucrare Dizartatie - Auditul Intern La Institutiile Publice...
Description
……………………………………………………………………………….........3 PREZENTAREA GENERALĂ A INSTITUŢIEI……………………………..…………………...4 1.1. Scurt istoric al instituţiei……………………………………………………………….………..4 1.2. Structura organizatorică şi funcţională…………………………………………………………5 1.3.
Cadrul
normativ
care
reglementează
activitatea
instituţiei……………………………………...8
CADRUL GENERAL AL AUDITULUI INTERN………………………………………………..9 2.1. Definiţia, rolul şi obiectivele auditului intern……………………….………………………...9 2.2. Aspecte legale şi organizatorice privind auditul intern……………………………………….5 2.3. Domeniul de aplicare şi caracteristicile auditului intern…………………………………….19
DERULAREA UNEI MISIUNI DE AUDIT………………………………………..……………..23 3.1.
Pregătirea misiunii de audit audit public intern…………………………………………….24
3.1.1. Iniţierea auditului...................................................................................................................24 3.1.2. Colectarea şi prelucrarea informaţiilor…………………….………………………………..25 3.1.3. Analiza riscurilor………………………………………………………………………........28 3.1.4. Elaborarea programului misiunii de audit public intern.........................................................32 3.1.5. Deschiderea intervenţiei la faţa locului..................................................................................33 3.2.
Desfăşurarea propiu-zisă a auditului......................................................................................33 3.2.1.
Colectarea
dovezilor
şi
utilizarea
instrumentelor
aplicabile...................................................33 3.2.2. Şedinţa de închidere...............................................................................................................35 3.3.
Raportarea...............................................................................................................................35
3.3.1. Elaborarea proiectului de Raport de audit public intern........................................................35 3.3.2. Reuniunea de conciliere.........................................................................................................37 3.3.3. Difuzarea Raportului de audit public intern (Raport final)………………………………...37 3.3.4. Urmărirea recomandărilor…………………………………………………………………..37 CONCLUZII……………………………………………………………………………… ………..38
BIBLIOGRAFIE…………………………………………………………………………………....40 Lucrul cel mai important nu este numărul de idei adunate în mintea ta,ci legătura care le uneşte”. TITU MAIORESCU
INTRODUCERE Întro economie globală şi bazată pe cunoştinţe, în care informaţia reprezintă al doilea factor important după resursele umane, auditul şi controlul sistemelor informaţionale devine din ce în ce mai important, ca urmare a impactului competitive pe care îl are tehnologia informaţiei asupra mediului de afaceri. Mediul economic, tehnologia, se află în continuă schimbare. Ceea ce a fost valabil ”ieri”, poate fi depăşit ”mâine”. În consecinţă, menţinerea echilibrului necesită permanente acţiuni corective. Auditorul viitorului se va confrunta şi în multe cazuri deja se confruntă, cu competiţia agenţilor fiscali, consultanţilor de afaceri, contabililor necalificaţi, analiştilor financiari şi a diverşilor alţi consultanţi. De aceea auditorii trebuie să se axeze pe punctele lor tari tradiţionale, precum independenţa şi grija pentru interesul public, prin migrarea către activităţi cu o valoare adăugată înaltă, urmărind să-şi dezvolte cunoştinţele printr-o perfecţionare continuă. Orice profesie, şi cea de auditor, are drept caracteristică fundamentală acceptarea responsabilităţii acesteia faţă de public. Interesul public reprezintă binele comunităţii de indivizi şi instituţii pe care o deserveşte un auditor profesionist. Funcţia de auditor intern are o apariţie relativ recentă în viaţa unei întreprinderi sau instituţii. Apariţia auditorilor interni a fost generată de criza economică din anul 1929 din S.U.A., care în perioada crizei au căpătat cunoştinţe necesare, şi au fost folosiţi şi în continuare. Deşi ei au lărgit puţin căte puţin domeniul de aplicare, funcţia de audit intern este încă la primii ei paşi, astfel că doar începând cu anii ’80 originalitatea şi particularităţile auditului intern se conturează cu adevărat. Se poate spune, “Auditorul intern nu este cineva care face lucrurile, ci este cineva care priveşte cum sunt făcute aceste lucruri”.
Potrivit legislaţiei actuale privind auditul public intern, defineşte la art.2, activitatea de audit intern ca fiind „activitatea funcţional independentă şi obiectivă, care dă asigurări şi consiliere conducerii pentru buna administrare a veniturilor şi cheltuielilor publice, perfecţionând activităţile entităţii publice; ajută entitatea publică să îşi îndeplinească obiectivele printr-o abordare sistematică şi metodică, care evaluează şi îmbunătăţeşte eficienţa şi eficacitatea sistemului de conducere bazat pe gestiunea riscului, a controlului şi a proceselor de administrare”1. Această definiţie stabileşte câteva trăsături caracteristice auditului public intern, care se pot enunţa astfel: a) Auditul public intern este o activitate desfăşurată în cadrul entităţilor publice2. Fiind o activitate desfăşurată la nivelul sectorului administraţie publică, aceasta este reglementată pe baza legilor şi normelor elaborate de Ministerul Finanţelor Publice. Normele elaborate au caracter general, fiecare sector de activitate având obligaţia să-şi elaboreze norme proprii în funcţie de specificul activităţii. b) Auditul public intern este o activitate independentă. Activitatea de audit trebuie să fie independentă, iar auditorii interni trebuie să fie obiectivi în realizarea sarcinilor lor. Aceste trăsături reies din standardele elaborate de I.I.A. şi se referă la independenţa organizaţională (auditorul intern raportează la cel mai înalt nivel de conducere al entităţii). Această activitate este asigurată de persoane care au calitatea de angajaţi ai instituţiei la care efectuează auditul, însă pentru a li se asigura independenţa, aceştia sunt organizaţi la nivelul unui serviciu funcţional aflat în subordinea directă a conducătorului instituţiei publice, iar angajarea sau destituirea acestor persoane se face numai cu acordul şefului compartimentului de audit de la instituţia superioară sau aflată în coordonare. c) Auditul public intern este o activitate obiectivă. Obiectivitatea acestei activităţi decurge din faptul că auditorul este o persoană cu un înalt grad de pregătire profesională şi calitatea de auditor îi conferă un grad sporit de independenţă faţă de conducerea instituţiei. În sprijinul obiectivităţii activităţii vine şi Norma de audit nr.1120- „Obiectivitatea individuală”, care arată că „auditorii
1
***Legea nr. 672/2002 privind auditul public intern, publicată în Monitorul Oficial nr. 953 din 24.12.2002, art. 1 şi 2.
2
***Entităţile publice cuprind autorităţile publice, instituţiile publice, companiile/societăţile naţionale, regiile autonome, societăţile
comerciale la care statul sau o unitate administrativ-teritorială este acţionar majoritar.
interni trebuie să aibă o atitudine imparţială lipsită de prejudecăţi şi să evite conflictele de interese”3. Auditorii interni trebuie să evite să evalueze anumite operaţiuni de care au fost responsabili în trecut. Obiectivitatea unui auditor este considerată a fi afectată atunci când acesta realizează o misiune de asigurare pentru o activitate pentru care a fost responsabil în cursul anului precedent. d) Auditul public intern dă asigurări şi consiliere conducerii pentru buna administrare a veniturilor şi cheltuielilor publice. Această trăsătură decurge din faptul că auditorii interni dau dovadă de obiectivitate profesională, colectând, evaluând şi comunicând informaţii legate de activitatea sau procesul examinat. Activitatea de audit intern are ca scop principal informarea managerului în vederea administrării mai eficiente a activităţii entităţii. Auditorul are un rol de consiliere, acesta informând responsabilii departamentelor şi conducătorul unităţii de deficienţele constatate în diversele activităţi auditate în scopul corectării acestor deficienţe. Deci auditorul intern are rolul de a consilia, a asista sau a recomanda şi în nici un caz de a folosi măsuri coercitive în vederea remedierii deficienţelor. Nu trebuie să confundăm auditul public intern, care este o funcţie a conducerii, cu sistemul de control intern, care este un proces prin care conducerea controlează cum se îndeplinesc obiectivele stabilite. Auditul public intern este o funcţie a conducerii la nivelurile unde este organizat, iar sistemul de control intern este un proces prin care conducerea instituţiei publice respective controlează modul cum se îndeplinesc obiectivele stabilite. Sistemul de control intern constituie obiectiv de analiză şi evaluare pentru auditul public intern la toate nivelurile. Obiectivele serviciului de audit public intern, aşa cum sunt reglementate în lege4sunt:a) asigurarea obiectivă şi consilierea destinate să îmbunătăţească sistemele şi activităţile entităţii publice;b) sprijinirea îndeplinirii obiectivelor entităţii publice printr-o abordare sistematică şi metodică prin care se evaluează şi se îmbunătăţeşte eficacitatea sistemului de conducere bazat pe gestiunea riscului, a controlului şi a proceselor administrării. Printr-o abordare mai largă, obiectivele serviciului de audit public intern se pot definii astfel: - ajută entitate publică prin opiniile şi recomandările auditorilor interni; - asigură o mai bună gestionare a riscurilor; - asigură o mai bună administrare şi păstrare a patrimoniului; - asigură o mai bună monitorizare a conformităţii activităţii entităţii publice cu regulile şi procedurile existente; - asigură o evidenţă contabilă şi un management informatic fiabil şi corect;
3
***Norme profesionale ale auditului intern, Ministerul Finanţelor Publice şi Institut de l’Audit Interne (IFACI)
4
***Legea nr. 672/2002, privind auditul public intern, publicată în Monitorul Oficial nr. 953 din 24.12.2002, art. 3.
- îmbunătăţesc calitatea managementului, a controlului şi auditului intern; - îmbunătăţesc eficienţa şi eficacitate operaţiunilor. Pentru realizarea obiectivelor trebuie să se asigure un echilibru între sarcini, competenţe, responsabilităţi şi să se definească proceduri. Procedurile reprezintă paşii ce trebuie urmaţi şi cuprind algoritmul pentru realizarea sarcinilor, exercitarea competenţelor, existenţa activităţilor de control în punctele cheie şi angajarea responsabilităţilor. Pe baza procedurilor, se monitorizează existenţa şi funcţionalitatea controlului intern, ceea ce ne va da posibilitatea să constatăm dacă: este integrat în sistemul de management al fiecărei componente structurale a entităţii publice; intră în grija personalului de la toate nivelurile; oferă o asigurare rezonabilă atingerii obiectivelor, începând cu cele individuale şi terminând cu cele generale. În practică, există două categorii de proceduri: - procedurile generale date de cadrul normativ, respectiv de legi, norme metodologice, precizări/instrucţiuni, elaborate de entitatea publică, în vederea organizării aplicării unor reglementări de rang superior, aprobate de conducătorul entităţii publice sau chiar de guvern; - proceduri specifice pentru fiecare activitate a entităţii publice sub forma metodologilor de lucru, care trebuie să fie: a)
scrise şi formalizate pe suport de hârtie şi/sau electronic, care să conţină pe fluxurilor
operaţiilor, activităţi de control, responsabilităţi, modele de documente cu exemplificări, respectiv formalizate, cunoştinţele individuale şi colective care trebuie stocate şi puse în ordinea care să corespundă scopurilor entităţii publice şi aprobate de management; b) simple şi specifice, pentru ca executanţii să le poată utiliza, cu respectarea cadrului normativ, pentru fiecare domeniu al entităţii publice; c) completate şi actualizate în mod permanent, în funcţie de evoluţia reglementărilor şi practicii în materie; d) aduse la cunoştinţa executanţilor pentru a fi discutate, însuşite şi aplicabile în mod uniform. Potrivit organigramei Ministerului Agriculturii, Alimentaţiei şi Pădurilor aprobată prin Hotărârea Guvernului5, Direcţia Audit Public Intern a fost concepută ca o structură distinctă şi independentă subordonată nemijlocit ministrului, ceea ce corespunde prevederilor legii6. În sfera de activitate a auditului public intern organizat şi exercitat la nivelul Ministerului Agriculturii, Alimentaţiei şi Pădurilor sunt incluse toate direcţiile din minister şi instituţiile publice
5
*** prin anexă la H.G. nr. 362/2002 privind organizarea şi funcţionarea Ministerului Agriculturii, Alimentaţiei şi Pădurilor.
6
*** Legea nr. 672/2002 privind auditul public intern, publicat în Monitorul Oficial nr.953/24.12.2002, art.10, alin.1.
subordonate. Auditul public intern nu este responsabil de nici o activitate sau procedură care va face ulterior obiectul de activitate al auditului public intern. În acelaşi timp, membrii direcţiei de audit public intern nu contribuie sub nici o formă la elaborarea unui act normativ, operaţiuni sau proceduri care ulterior vor fi auditate, nu se implică în nici o activitate internă a vreunei instituţii publice subordonate Ministerului Agriculturii, Alimentaţiei şi Pădurilor. Pentru acţiunile lor întreprinse cu bună-credinţă în exerciţiul atribuţiilor şi în limita acestora, auditorii publici interni nu pot fi sancţionaţi sau trecuţi în altă funcţie. Acestea reprezintă condiţii minime pentru asigurarea independenţei auditului public intern. Obiectivele misiunii de audit public intern sunt: - asigurarea conformităţii procedurilor şi operaţiunilor cu normele juridice – auditul de regularitate; - evaluarea rezultatelor privind obiectivele urmărite şi examinarea impactului efectiv – auditul de performanţă; De remarcat este faptul că, însăşi construcţia şi execuţia bugetului de stat consolidat, se bazează, în prezent întro măsură semnificativă, pe metoda numită „buget pe programe”, care constă în alocarea unor sume de bani (alocaţii bugetare) pentru un proiect/program concret, cuantificate cu ajutorul indicatorilor de performanţă. Obiectivul general al unui audit este acela de a furniza asigurarea că procedurile examinate sunt complete şi întocmite cu acurateţe, iar operaţiile s-au efectuat în conformitate cu legile şi reglementările relevante în vigoare. Identificarea obiectelor auditabile se realizează în 3 faze: - detalierea fiecărei activităţi în operaţii succesive descriind procesul de la realizarea acestei activităţi până la înregistrarea ei (circuitul auditului); - definirea pentru fiecare operaţiune în parte a condiţiilor pe care trebuie să le îndeplinească din punct de vedere al controalelor specifice şi al riscurilor aferente (ce trebuie evitat); - determinarea modalităţilor de funcţionare necesare pentru ca entitatea să atingă obiectivul şi să În definirea tipurilor de audit public intern se arată: a) auditul de sistem reprezintă o evaluare de profunzime a sistemelor de conducere şi control intern, cu scopul de a stabili dacă acestea funcţionează economic, eficace şi eficient pentru identificarea deficienţelor şi formularea de recomandări pentru corectarea acestora; b) auditul performanţei examinează dacă criteriile stabilite pentru implementarea obiectivelor şi sarcinilor entităţii publice sunt corecte pentru evaluarea rezultatelor şi apreciază dacă rezultatele sunt conforme cu obiectivele;
c) auditul de regularitate reprezintă examinarea acţiunilor asupra efectelor financiare pe seama fondurilor publice sau a patrimoniului public, sub aspectul respectării ansamblului principiilor, regulilor procedurale şi metodologice care le sunt aplicabile. Standardele INTOSAI stabilesc că auditul performanţei este: a) auditul economicităţii activităţilor administrative în raport cu principiile şi practicile unui management performant; b) auditul eficienţei utilizării resurselor umane, financiare, a altor resurse, incluzând examinarea sistemelor informaţionale, a modului de măsurare şi urmărire a indicatorilor de performanţă, precum şi a procedurilor urmate de entitatea auditată pentru remedierea deficienţelor identificate; c) auditul eficacităţii performanţei referitoare la îndeplinirea obiectivelor entităţii auditate şi auditul impactului efectiv al activităţii entităţii în comparaţie cu impactul planificat al acesteia. Se consideră că un audit al performanţei este un audit al economicităţii, eficienţei şi eficacităţii, o combinaţie a două dintre acestea sau poate fi un audit complet ce înglobează toate cele trei componente. Auditul performanţei analizează dacă „banii publici au fost bine cheltuiţi”, examinându-se în principal măsurile întreprinse de entităţile auditate cu privire la respectarea principiilor economicităţii, eficienţei şi eficacităţii. Acest tip de audit solicită adesea auditorului examinarea rezultatelor din punct de vedere al celor „3E”, folosind raţionamentul său profesional. Măsurarea performanţei rezultatelor în raport cu obiectivele propuse în concordanţă cu cei „3E” constituie o necesitate pentru managerii de la toate nivelele. Întrebările de bază la care încearcă să răspundă auditul performanţei sunt: - s-a lucrat în mod corect? – s-a făcut ceea ce trebuia? La prima întrebare auditorul urmăreşte să cunoască dacă executivul a respectat reglementările şi cerinţele strategiei stabilite sau operează în concordanţă cu buna practică în domeniu. Sfera de examinare a auditorilor se extinde dacă se continuă cu a doua întrebare, respectiv dacă „s-a făcut ceea ce trebuia” sau altfel spus, dacă au fost întreprinse măsurile stabilite. Auditorul performanţei poate de fapt, să constate că una din măsurile alese, este ineficientă. Auditorul verifică dacă un angajament public este în totalitate fezabil, însă va trebui totuşi să fie precaut şi să nu-şi depăşească mandatul şi obiectivele stabilite prin extinderea procedurilor de examinare în zona politicului. În realizarea auditului eficacităţii unei activităţi, entităţi, auditorul, prin examinările sale, încearcă să găsească răspunsuri la următoarele întrebări: - sunt atinse obiectivele de politică managerială cu mijloacele utilizate, respectiv sunt obţinute rezultatele programate? - mijloacele utilizate şi rezultatele obţinute sunt compatibile cu obiectivele politicii manageriale? - reprezintă impactul programat un rezultat direct al politicii manageriale şi nu unul datorat altor circumstanţe? Pentru a aprecia măsura în care obiectivele au fost atinse, întrebările auditorului trebuie să fie
formulate întro manieră care să permită obţinerea de răspunsuri utile realizării unei evaluări cât mai pertinente. Auditul de regularitate sau de conformitate, constă în examinarea acţiunilor asupra efectelor financiare pe seama fondurilor publice sau a patrimoniului public, sub aspectul respectării ansamblului principiilor, regulilor procedurale şi metodologice, conform normelor legale. Auditul de regularitate compară regula cu realitatea, ceea ce ar trebui să fie cu ceea ce este, pe baza unui sistem de referinţe. Regularitatea se observă în raport cu regulile interne ale entităţii, iar conformitatea se stabileşte în raport cu dispoziţiile legale şi reglementate. În ambele cazuri se compară realitatea cu sistemul de referinţă propus. Auditul de regularitate parcurge următoarea filieră: - informarea cu privire la ceea ce ar trebui să fie; - semnalarea dezechilibrelor, a aplicaţiilor care nu s-au efectuat, a interpretărilor greşite a dispoziţiilor stabilite; - analiza cauzelor şi consecinţelor; - recomandarea a ceea ce trebuie făcut pentru ca pe viitor să fie aplicate regulile; - raportarea rezultatelor celui auditat. Auditul de sistem prezintă o evaluare de profunzime a sistemelor de conducere şi control intern, cu scopul de a stabili dacă acestea funcţionează economic, eficace şi eficient, pentru identificarea deficienţelor şi formularea de recomandări pentru corectarea acestora. Aflat pe treapta superioară a evoluţiei auditului intern, auditul de sistem reprezintă o confruntare între politicile şi strategiile entităţii pentru verificarea coerenţei globale a sistemului. Auditul de sistem fiind un audit care vizează analiza riscurilor prezintă următoarele caracteristici: - este potrivit entităţilor care au atins un nivel foarte matur al gestionării riscurilor; - este ceea ce se doreşte şi în România; - nu este principalul punct de interes al actualei legi a auditului intern; - preia un risc major deja identificat; - auditează cât de bine este gestionat acest risc de către organizaţie;
Activitatea de audit intern se desfăşoară pe baza unui cadru metodologic general care a fost elaborat în conformitate cu standardele de audit intern şi buna practică internaţională recunoscută în domeniu. Acesta cuprinde: normele aplicabile compartimentului de audit intern şi auditorilor interni (normele de calificare şi normelor de funcţionare) şi prezintă în detaliu sistemul derulării misiunilor de audit intern, astfel încât auditorii să aibă la dispoziţie un îndrumar complet pentru activitatea desfăşurată. Pe baza acestui cadru metodologic general, entităţile din sistemul public şi-au dezvoltat
propriile metodologii de audit intern după care îşi desfăşoară activitatea, necesitate derivată din caracterul de independenţă profesională a auditorilor interni în exercitarea funcţiei. De asemenea, pentru auditarea corespunzătoare a fondurilor europene trebuie elaborate norme specifice, ca cerinţă a trecerii la utilizarea fondurilor în sistem descentralizat. Pregătirea unui plan de sarcini de audit este vitală, ca fază în procesul de auditare. Auditarea implică colectarea şi analizarea unor informaţii suficiente spre a se ajunge la concluzii vitale. Resursele disponibile pentru acest proces sunt totdeauna limitate. Elaborarea planului de auditare este „motorul” necesar spre a reconcilia activitatea de controale ce trebuie efectuate, cu resursele disponibile pentru îndeplinirea lor. Un bun plan de audit este unul care, implementat în mod adecvat, prezintă probabilitatea maximă de îndeplinire a obiectivului auditării, respectându-se resursele disponibile şi cu o minimă alocare de resurse pentru acele sarcini din plan care se dovedesc, pe parcurs, ca fiind necesare. Pregătirea unui plan de sarcini de audit trebuie să ia în considerare riscul şi materialitatea, bazată pe înţelegerea structurii organizaţionale a instituţiei sau domeniului auditat, a programelor şi activităţilor sale precum şi a mediului informatic în care funcţionează acesta. Planul trebuie să stabilească cum şi când va avea loc controlul şi cât de multe informaţii necesare pentru auditare sunt obţinute pentru a fundamenta concluziile şi recomandările în urma auditului. Un plan de audit trebuie să cuprindă următoarele elemente7: 1. Cadrul legal de efectuare al auditării; 2. Scurtă descriere a activităţii, programului sau a organizaţiei auditate, incluzând şi rezultatele auditărilor din anii precedenţi, precum şi impactul acestora; 3. Motivele pentru care se face auditul; 4. Factorii care influenţează procesul de audit, mai ales restricţiile de resurse materiale; 5. Evaluarea riscurilor; 6. Obiectivele auditului, anvergura sa şi modul abordării (praguri de resurse alocate, sistemele ce trebuie evaluate şi testate, metodologii planificate spre a se utiliza, strategii de eşantionare, dimensiunea anticipată a eşantionului); 7. Resurse necesare: auditorii utilizaţi, experţi din exterior, cerinţe privind deplasările, bugetele alocate; 8. Preţul care va fi cerut pentru efectuarea auditului (dacă este cazul); 9. Responsabilităţi pentru instituţia de audit; 10. Datele pentru efectuarea diferitelor etape ale auditului, incluzând şi data prevăzută pentru proiectul de raport final; 7
Ana Morariu, Gheorghe Suciu, Flavia Stoian, Audit intern şi Guvernanţă Coorporativă, Editura Universitară, Bucureşti,2008, pp.128-129
11. Forma raportului final de control, conţinutul său, şi beneficiarii acestuia; Pe parcursul fazei de planificare a sarcinilor auditului, auditorul principal trebuie să se asigure că obţine următoarele rezultate, pe care le transmite celor în drept să le ştie: - auditorul principal trebuie să facă cunoscut cadrul legal şi temeiul legal care stă la baza controlului, şi să transmită modificările legislaţiei în vigoare; - să obţină cât se poate de multe informaţii spre a înţelege modul de funcţionare a domeniului, organizaţiei sau activităţii care constituie obiectul auditării; - să stabilească canalele potrivite de contact, informare şi relaţii cu organizaţia controlată. Auditul intern este o activitate planificată. În această etapă auditorii îşi definesc planul de activitate viitor, atât cel strategic cât şi cel anual, focalizând domeniile în care se pot manifesta riscuri semnificative care pot limita sau chiar împiedica entitatea publică să-şi atingă obiectivele programate. Auditul public intern are următoare organizare: - Comitetul pentru Auditul Public Intern (CAPI) - Unitatea Centrală de Armonizare pentru Auditul Public Intern (UCAAPI) - compartimentele de audit public intern din entităţile publice8. Compartimentul de audit public intern se organizează astfel: - conducătorul instituţiei publice are obligaţia instituirii cadrului organizatoric şi funcţional necesar desfăşurării activităţii de audit public intern; - la instituţiile publice mici, care nu sunt subordonate altor entităţi publice, auditul public intern se limitează la auditul de regularitate şi se efectuează de compartimentele de audit public intern ale Ministerului Finanţelor Publice; - conducătorul entităţii publice subordonate poate stabili şi menţine un compartiment funcţional de audit public intern, cu acordul entităţii publice de la nivelul ierarhic imediat superior, iar dacă acest compartiment nu se înfiinţează, auditul entităţii respective se efectuează de compartimentul de audit public intern al entităţii publice de la nivelul ierarhic imediat superior9. Compartimentul de audit public intern se constituie în subordinea directă a conducerii unităţii. Prin atribuţiile sale, el nu trebuie să fie implicat în elaborarea procedurilor de control intern şi în desfăşurarea activităţilor supuse auditului public intern10. Compartimentul de audit public intern au următoarele atribuţii: - elaborează norme metodologice specifice entităţii publice în care îşi desfăşoară activitatea, cu avizul UCAAPI sau organului ierarhic superior, în cazul entităţilor publice subordonate; 8
Legea nr.672/2002 privind auditul public intern, publicată în Monitorul Oficial nr. 953/24.12.2002, art.4
9
Legea nr.672/2002 privind auditul public intern, publicată în Monitorul Oficial nr. 953/2002, art.9
10
Legea nr.672/2002 privind auditul public intern, publicat în Monitorul Oficial nr. 953/2002, art.10
- elaborează proiectul planului anual de audit public intern; - efectuează activităţi de audit public intern pentru a evalua dacă sistemele de management financiar şi control ale entităţii publice sunt transparente şi sunt conforme cu normele de legalitate, regularitate, economicitate, eficienţă şi eficacitate; - informează UCAAPI despre recomandările neînsuşite de conducătorul entităţii publice auditate, precum şi despre consecinţele acestora; - raportează periodic asupra constatărilor, concluziilor şi recomandărilor rezultate din activităţile de audit; - elaborează raportul anual al activităţii de audit public intern; - în cazul identificării unor nereguli sau posibile prejudicii, raportează imediat conducătorului entităţii publice şi structurii de control intern abilitate11.
Domeniile auditate cuprind în mare măsură funcţiile suport (procesul bugetar, financiarcontabilitate, achiziţii publice, resurse umane, juridic, informatică) şi mai puţin funcţiile specifice ale entităţilor publice. Auditul public intern se exercită asupra tuturor activităţilor desfăşurate întro entitate publică, inclusiv asupra activităţilor entităţilor subordonate, cu privire la formarea şi utilizarea fondurilor publice , precum şi la administrarea patrimoniului public. Indiferent de tipul de audit pe care-l desfăşoară, auditorii publici trebuie să reunească în dosarul de lucru documente suficiente şi cu valoare probatorie, mai ales în ceea ce priveşte baza planificării documentelor auditate, activitatea desfăşurată şi constatările auditorului12. Compartimentul de audit public intern auditează, cel puţin o dată la trei ani, având următoarele obiective, fără a se limita la acestea: - angajamentele bugetare şi legale din care derivă direct sau indirect obligaţii de plată, inclusiv din fondurile comunitare; - plăţile asumate prin angajamente bugetare şi legale, inclusiv din fondurile comunitare; - vânzarea, gajarea concesionarea sau închirierea de bunuri din domeniul privat al statului ori al unităţilor administrativ-teritoriale; - concesionarea sau închirierea de bunuri din domeniul public al statului ori al unităţilor administrativ-teritoriale; - constituirea veniturilor publice, respectiv modul de autorizare şi stabilire a titlurilor de creanţă, precum şi a facilităţilor acordate la încasarea acestora; - alocarea creditelor bugetare; 11
I.G.Ţara, M.Bucurean, „Auditul public intern”, în revista Controlul economic financiar nr. 6/2004, pp. 28-30.
12
M. Ghiţă, E. Vasile, M. Popescu, “ Documenţia auditului”, în revista Control economic financiar nr. 6/2004, pp. 31-32.
- sistemul contabil şi fiabilitatea acestuia; - sistemul de luare a deciziilor; - sistemul de conducere şi control, precum şi riscurile asociate unor astfel de sisteme; - sistemele informatice13. Proiectul planului de audit public intern se elaborează de compartimentul de audit public intern, pe baza evaluării riscului asociat diferitelor structuri, activităţi, programe/proiecte sau operaţiuni, precum şi prin preluarea sugestiilor conducătorului entităţii publice, prin consultare cu entităţile publice ierarhic superioare, ţinând seama de recomandările Curţii de Conturi. Conducătorul entităţii publice aprobă anual proiectul planului de audit public intern. Planul de audit cuprinde următoarele elemente:- scopul misiunii de audit;- obiectivele misiunii de audit; - identificarea activităţii sau operaţiunii supuse auditului intern;- identificarea unităţii la care se va desfăşura acţiuni de auditare;- durata acţiunii de auditare;- perioada supusă auditării;- numărul de auditori antrenaţi în acţiunea de auditare;- precizarea elementelor ce presupun utilizarea unor cunoştinţe de specialitate;- numărul de auditori care urmează să fie atraşi în acţiunile de audit intern din cadrul structurilor deconcentrate; La baza activităţii de certificare a situaţilor financiare stau următoarele principii: - exhaustivitatea – toate operaţiunile care privesc entitatea publică sunt înregistrate în contabilitate pe baza documentelor justificative; - realitatea – toate informaţiile prezentate prin conturile anuale trebuie să poată fi justificate şi certificate; - corecta înregistrare în contabilitate şi corecta prezentare în conturile anuale a operaţiunilor. Raportul privind certificarea situaţiilor financiare se caracterizează prin faptul că: - cuprinde o prezentare sintetică a modului de efectuare, a materialelor, documentelor şi a actelor examinate, a tehnicilor, metodelor şi a procedurilor utilizate; - se întocmeşte în trei exemplare: unul însoţeşte situaţiile financiare, al doilea rămâne la auditor, iar al treilea rămâne la cel auditat. Şeful compartimentului de audit public intern este responsabil cu supervizarea tuturor etapelor de desfăşurare a misiunii de audit public intern. Auditorii interni prezintă şefului structurii de audit public intern sau persoanei desemnate, documentele din dosarul permanent al misiunii de audit public intern, pentru supervizare. Scopul acţiunii exercitate de câtre supervizor este de a asigura că obiectivele misiunii de audit public intern au fost atinse în condiţii de calitate, astfel: a) oferă instrucţiunile necesare derulării misiunii de audit intern; 13
Legea nr.672/2002, privind auditul public intern, publicat în Monitorul Oficial nr. 953/2002, art.13 şi 14.
b) verifică executarea corectă a programului misiunii de audit; c) verifică existenţa elementelor probante; d) verifică dacă redactarea raportului de audit public intern, atât cel intermediar cât şi cel final, este exactă, clară, concisă, şi se efectuează in termenele fixate. Şeful compartimentului de audit public intern trebuie să elaboreze „ Programul de asigurare şi îmbunătăţire a calităţii” prin respectarea normelor metodologice generale şi specifice a Codului etic al auditorului intern, a Standardelor internaţionale de audit intern şi a bunei practici internaţionale specifică auditorilor interni. Programul de asigurare şi îmbunătăţire a calităţii înseamnă o evaluare permanentă şi calitativă a misiunilor de audit intern. Pentru apreciera modului de realizare a obiectivelor activităţii de audit intern, periodic se efectuează o serie de evaluări interne şi externe, cum ar fi: - autoevaluarea realizată în compartimentele de audit intern; - evaluarea realizată de structurile de audit din entităţile ierarhic superioare pentru unităţile din subordine; - evaluările realizate de către UCAAPI – pentru entităţile administraţiei publice centrale şi de către structurile de audit intern ale direcţiilor finanţelor publice judeţene – pentru entităţile administraţiei publice locale; - evaluările externe realizate de Curtea de Conturi a României, Comisia Europeană şi alte organisme abilitate.
Etapele de derulare a misiunii de audit presupune parcurgerea următoarelor etape: pregătirea misiunii (iniţierea auditului); intervenţia la faţa locului (desfăşurarea misiunii); raportul de audit (încheierea misiunii); urmărirea recomandărilor. Etapele, procedurile şi documentele aferente fiecărei proceduri pot fi sintetizate astfel: Pregătirea misiunii presupune următoarele activităţi/operaţiuni: Iniţierea auditului se realizează prin elaborarea: ordinului de serviciu, declaraţiei de independenţă, şi notificarea privind declanşarea misiunii de audit public intern. Colectarea şi prelucarea informaţiilor preliminare se realizează cu ajutorul testelor şi a tabloului aspectelor pozitive şi negative posibile. Prin analiza aspectelor pozitive şi negative se urmăreşete identifcarea obiectelor auditabile, definite sub aspectele caracteristicilor specifice şi ale riscurilor asociate.
În baza programului de audit public intern se întocmeşte programul preliminar al intervenţiilor la faţa locului. Acesta prezintă în mod detaliat lucrările pe care auditorii îşi propun să le efectueze. Şedinţa de deschidere se derulează la unitatea auditată, cu pariciparea auditorilor interni şi a personalului entităţii auditate şi aspectele importante discutate sunt consemnate în minuta şedinţei de deschidere. Intervenţia la faţa locului presupune următoarele: Colectarea dovezilor şi utilizarea instrumentelor aplicabile este etapa elaborării listelor de verificare, chestionare şi teste. În urma colectării dovezilor se trece la analiza şi prelucrarea informaţiilor colectate pe baza cărora se emite Fişa de identificare şi analiză a problemei şi în cazul existenţei unor iregularităţi se întocmeşte Formularul de constatare şi raportare a iregularităţilor. Înainte de întocmirea proiectului raportului de audit public intern auditorii efectuează revizuirea, pentru a se asigura că documentele de lucru sunt pregătite în mod corespunzător. Şedinţa de închidere are drept scop prezentarea opiniei auditorilor interni, a recomandărilor finale şi a calendarului de implementare a recomandărilor şi intocmirea minutei şedinţei de închidere. Raportul de evaluare presupune următoarele: Elaborarea raportului de audit privind obiectivul misiunii, presupune întocmirea raportului de audit public intern. Transmiterea proiectului raportului de audit intern privind obiectivele misiunii se transmite la structura auditată prin adresă de transmitere. În cadrul reuniunii de conciliere se analizează constatările şi concluziile în vederea acceptării recomandărilor formulate, întocmindu-se minuta reuniunii de conciliere. - finalizarea raportului de audit intern privind obiectivul misiunii; document elaborat: raportul de audit( forma finală). - difuzarea raportului de audit intern; documente elaborate: nota de prezentare a raportului spre aprobare, nota de transmitere. - arhivarea raportului şi documentelor misiunii; documente elaborate: dosarele misiunii de audit intern. - supervizarea misiunii presupune asigurarea că obiectivele misiunii de audit public intern au fost atinse în condiţii de calitate; document elaborat: lista de supervizare a documentelor. Urmărirea documentelor presupune urmărirea stadiului implementării recomandărilor, etapă în care se întocmeşte, fişa de urmărire a recomandărilor. Studiul de caz ales se referă la o misiune de audit privind sistemele informatice la: Direcţia Agricolă şi Dezvoltare Rurală Neamţ. Instituţia publică are organizat, conform Legii nr.672/2002 privind auditul public intern şi Normele
Generale privind exercitarea activităţii de audit public intern aprobat prin O.M.F. nr. 38/2003, un compartiment de audit format din două persoane, ec. Crăciun Didina şi Liviu Bumbu, şef compartiment. De menţionat este faptul că, în practică, pentru asigurarea supervizării în bune condiţii a misiunii de audit intern, compartimentul de audit trebuie să fie compus din minim trei persoane, una din acestea îndeplinind funcţia de supervizor. Având în vedere faptul că Direcţia Agricolă şi Dezvoltare Rurală Neamţ încă nu are definitivat un manual de proceduri interne cu referire la activităţile IT, că legislaţia în domeniul sistemelor IT nu există, auditorii au elaborat chestionarele listă de verificare şi testele de control privind evaluarea eficienţei şi eficacităţii controalelor interne în ceea ce priveşte operaţiunile IT, pe baza criteriilor stabilite în standardul ISO 17799, precum şi prin consultarea standardelor internaţionale în domeniu. Operaţiunile supuse auditării au fost detaliate pe subactivităţi în chestionarele listă de verificare, în scopul de a aprecia cât mai riguros riscul asociat fiecărei operaţiuni (activităţi). În vederea realizării misiunii de audit cu tema:”Evaluarea modului de organizare şi desfăşurare a activităţii în domeniul IT, în cadrul instituţiilor subordonate ministerului” din planul de audit aprobat de conducerea Ministerului Agriculturii şi Dezvoltării Rurale pentru anul 2008, au fost transmise în anexă obiectivele obligatorii, obiective comunicate de U.C.A.A.P.I. sub a cărui coordonare se desfăşoară această misiune. Un exemplar din raportul de audit elaborat, avizat de către conducătorul entităţii publice în cauză, va fi înaintat la M.A.D.R. Direcţia de audit la termenul fixat; Pe baza rapoartelor de audit primite, Direcţia de Audit din M.A.D.R. va întocmi o sinteză care va fi înaintată la U.C.A.A.P.I.; După avizarea rapoartelor de audit, la nivelul entităţii publice cuprinse în evaluare, se va întocmi programul de acţiune în vederea implementării recomandărilor cuprinse în rapoarte; Un exemplar din program va fi înaintat la Direcţia de Audit din M.A.D.R. În funcţie de termenele de implemetare a recomandărilor Direcţia de Audit din M.A.D.R. va transmite la U.C.A.A.P.I. informări privind modul de implementare a recomandărilor şi rezultatelor obţinute14. 3.1.1. Iniţierea auditului Ordinul de serviciu a fost întocmit şi semnat de şeful Compartimentului de Audit Public Intern, pe baza planului anual de audit public intern, pentru anul 2008, aprobat de către directorul instituţiei Tiberiu Tudoran, în conformitatea cu prevederile Legii nr. 672/2002 privind auditul public intern şi 14
*** Sursă, Ministerul Agriculturii şi Dezvoltării Rurale, Direcţia Pentru Agricultură şi Dezvoltare Rurală Neamţ
ale Normelor Generale privind exercitarea activităţii de audit public intern, aprobate prin Ordinul ministrului finanţelor publice nr. 423/2004. În ordinul de serviciu s-a menţionat că se va efectua o misiune de audit intern privind sistemele informatice la Departamentul IT în perioada 30.0331.05.2008. Scopul misiunii este de a da asigurări că aplicarea măsurilor pentru sistemele informatice este în conformitate cu cadrul legal şi normativ, iar obiectivele se referă la: Logistica IT, reţeaua de calculatoare, gestiunea adreselor de e-mail, gestiunea licenţelor IT. (menţionez că obiectivele din cadrul entităţii, au fost mult mai numeroase, dar având în vedere spaţiul foarte restrâns de care dispun, am selectat pe cele mai importante, din punctul meu de vedere.) În cadrul misiunii se va efectua un audit de sistem şi de regularitate. Echipa de audit public intern este format din auditorii Crăciun Didina şi Liviu Bumbu. Ordinul de serviciu a fost semnat de şeful cmpartimentului audit intern Liviu Bumbu. Declaraţia de independenţă a fost dată de fiecare auditor intern la începutul misiunii de audit. Codul privind conduita etică a auditorului intern reprezintă un ansamblu de principii şi reguli de conduită care trebuie să guverneze activitatea auditorilor interni. Scopul Codului privind conduita etică a auditorului intern este de a promova cultura etică în viziunea globală a profesiei de auditor intern. Codul privind conduita etică a auditorului intern cuprinde regulile pe care auditorii interni trebuie să le respecte. În exercitarea atribuţiilor lor, auditorii interni trebuie să respecte în primul rând principiul independenţei. Reglementările privind independenţa, sunt în general, fundamentate pe trei principii de bază, a căror încălcare va afecta independenţa auditorului: - un auditor nu poate avea o funcţie de managment; - un auditor nu poate audita propria sa activitate; - un auditor nu poate avea rol de apărător al clientului său. Notificarea privind declanşarea misiunii de audit public intern
a fost emisă, cu 15 zile înainte
de declanşarea misiunii de audit public intern, în conformitate cu Planul de audit intern pe anul 2008. În această notificare au fost aduse la cunoştinţa şefului compartimentului că se va efectua o misiune de audit intern cu tema Sistemele informatice la Departamentul IT. Auditul va examina responsabilităţile asumate de către Departamentul IT şi va determina dacă acesta îşi îndeplineşte obligaţiile în mod eficient şi efectiv. În notificare s-a propus ca în şedinţa de deschidere, stabilit de comun acord, să se discute despre diverse aspecte ale misiunii de audit, care vor cuprinde:
prezentarea auditorilor, prezentarea
principalelor obiective ale misiunii de audit, programul intervenţiei la faţa locului, scopul misiunii de audit intern şi alte aspecte, considerate importante. Pentru o mai bună înţelegere a activităţii, s-a cerut punerea la dispoziţia auditorilor, următoarea
documentaţie: legile şi reglementările ce se aplică activităţilor din entitatea publică, organigrama Compartimentelor cu care sunt în colaborare, aceste activităţi, fişele posturilor, toate procedurile scrise care descriu sarcinile ce trebuie realizate pe linia sistemelor informatice, un exemplar al rapoartelor, notelor, dosarelor anterioare care se referă la această temă.
Pentru neînţelegeri sau
întrebări privind această acţiune, persoana de contact a fost numit doamna ec. Crăciun Didina – auditor – din cadrul compartimentului de audit intern. Notificarea a fost semnat de
şeful
compartimentului Liviu Bumbu. 3.1.2. Colectarea şi prelucrarea informaţiilor În etapa de colectare auditorii au colectat informaţii cu caracter general despre Departamentul IT, şi s-a urmărit ca aceste informaţii să fie pertinente şi utile în vederea atingerii următoarelor scopuri: a) identificarea principalelor elemente ale contextului instituţional în care Departamentul IT îşi desfăşoară activitatea; b) cunoaşterea organizării Departamentului IT, a tehnicilor sale de lucru şi a diferitelor nivele de administrare, conform organigramei; c) identificarea punctelor cheie ale funcţionării Departamentului IT şi ale sistemelor sale de control, pentru evaluarea prealabilă a punctelor tari şi slabe; d) identificarea şi evaluarea riscurilor cu incidenţă semnificativă; e) identificarea informaţiilor probante necesare pentru atingerea obiectivelor misiunii auditului public intern şi selecţionării tehnicilor de investigare adecvate. Personalul de conducere şi din Departamentul IT a oferit documentele şi informaţiile solicitate, în termenele stabilite, precum şi tot sprijinul necesar desfăşurării în bune condiţii a misiunii de audit public intern. În etepa de prelucare a informaţiilor s-a analizat următoarele aspecte: a) regulamentele de organizare şi funcţioanre, organigrama, fişe ale posturilor,circuitul documentelor al Departamentului IT; b) cadrul normativ ce reglementează Departamentul IT; c) factori susceptibili de a împiedica buna desfăşurare a misiunii de audit public intern; d) rezultatele controalelor precedente; e) informaţiile externe referitoare la activitatea Departamentului IT. Pentru colectarea şi prelucrarea informaţiilor s-a ales varianta „Chestionarul de luare la cunoştinţă” care cuprinde întrebări formulate de auditori, şi răspunsurile sunt date de conducerea entităţii publice. Întrebările sunt foarte numeroase şi pentru o bună înţelegere a acestei misiuni de audit voi alege pe cele care au o relevanţă semnificativă pentru fundamentarea unor concluzii cât mai reale şi
exprimarea unei opinii pertinente. Principala condiţie a acestui volum semnificativ de documente este validitatea informaţiei pe care o coţine. Auditorul nu lucrează plecând de la ipoteze, ci se bazează pe certitudini astfel încât informaţiile culese să fie fiabile, relevante şi utile, iar constatările făcute să fie justificate şi, în consecinţă, incontestabile. Caracterul just al elementelor probante se apreciează în funcţie de relevanţa şi fiabilitatea lor. În unele situaţii, auditorul se sprijină pe elemnete probante care nu sunt concludente prin ele însele, dar care contribuie la definitivarea concluziilor. Certitudinea auditorului sporeşte în cazul în care elementele probante din surse diferite sunt concordante între ele. Întrebări formulate şi răspunsurile date: Există organigrama Departamentului IT? Da. Există proceduri scrise care definesc activitate fiecărui compartiment în parte? Nu. Există un grafic de relaţii privind circuitul documentelor la nivelul Departamentului IT? Da. (Incomplet). Există la nivelul instituţiei o politică sau o strategie în domeniul IT? Nu. Există un inventar al riscurilor relevante pentru instituţie în ceea ce priveşte tehnologia informaţiei? Nu. Conducerea instituţiei este preocupată de IT? Da. La nivelul conducerii instituţiei au fost făcute demersuri, astfel încât, în cadrul strategiei eleborate la nivelul instituţiei să fie precizate distinct obiectivele IT. Conducerea este înştiinţată permanent despre riscurile la care este supusă instituţia în domeniul IT? Nu. Care sunt pricipalele activităţi desfăşurate de Departamentul IT din cadrul instituţiei? - fundamentează strategia de dezvoltare a sistemului informatic al instituţiei şi o propune spre aprobare conducerii; - proiectează, în colaborare cu celelalte compartimente, conceptul sistemului informatic al instituţiei în corelare cu sistemul informaţional şi cu metodologiile şi procedurile aprobate; - asigură dezvoltarea şi exploatarea infrastructurii sistemului informatic al instituţiei; - stabileşte necesarul de software şi de aplicaţii informatice în vederea asigurării funcţionalităţii sistemului informatic şi a sistemului de conducere a instituţiei; - acordă asistenţă şi consultaţă de specialitate tuturor compartimentelor din cadrul structurii de organizare; - colaborează la perfecţionarea personalului din cadrul tuturor compartimentelor instituţiei în domeniul IT şi al utilizării computerului şi a tehnicilor informatice; - asigură păstrarea securităţii datelor şi siguranţa, din acest punct de vedere, a sistemului informatic;
- urmăreşte evoluţia tehnologiei informaţiei pe plan intern şi internaţional şi propune achiziţionarea de licenţe pentru toate produsele program care să fie utilizate în cadrul sistemului informatic al instituţiei; - asigură întreţinerea aplicaţiilor şi a echipamentelor din componenţa sistemului informatic; - întocmeşte necesarul periodic de materiale consumabile pentru tehnica de calcul şi celelalte echipamente de birotică; - asigură funcţionarea reţelei Internet şi gestionează serviciul de poştă electronică; - asigură întreţinerea reţelei informatice a instituţiei; - proiectează şi gestionează baza de date a instituţiei; Care este varianta utilizată pentru transferul în siguranţă al mesajelor: criptarea mesajului sau criptarea canalului de comunicaţie? Se utilizează o combinare a celor două moduri de criptare. Care este tipul de reţea utilizată în cadrul instituţiei? Există o combinaţie între reţea inel şi reţea stea. Există posibilitatea de a planifica şi monitoriza performanţa IT? Nu. Nu există proceduri în acest sens. Este descrisă structura switch-uri-lor în reţeaua internă a instituţiei? Da. Sunt descrise sistemele de operare şi modul cum se fac update-urile de securitate? Da. Fiabilitatea elementelor probante colectate este apreciată în funcţie de originea lor internă sau externă, de natura lor scrisă sau orală şi de circumstanţele în care s-au obţinut, astfel: - probele de audit din surse externe sunt mai credibile decât cele obţinute din cadrul organizaţiei; - probele de audit obţinute din cadrul organizaţie sunt mai credibile atunci când controlul intern este de încredere; - probele de audit obţinute direct de auditor sunt mai credibile decât cele obţinute din cadrul organizaţiei; - probele de audit sub formă de documente scrise sunt mai credibile decât declaraţiile orale. Determinante pentru evaluarea relevanţei probelor sunt şi: - independenţa celui care furnizează probele; - calificarea indivizilor care furnizează informaţiile; - obiectivitatea probelor; - „vârsta”probelor. Probele culese în misiunea de audit au fost variate, iar tehnicile folosite în procesul de culegere a probelor au fost: - verificarea structurilor organizatorice ale sistemului informatic. O structură organizatrică trebuie să asigure o separare a funcţiilor incompatibile;
- verificarea politicilor interne şi procedurilor de lucru; - verificarea standardelor ce vizează domeniul IT; - verificarea documentaţiei sistemului informatic, şi anume: documentaţia de dezvoltare a sistemului informatic, specificaţiile de proiectare şi cerinţele funcţionale, documentele operaţionale, fişierele de tip jurnal şi fişierele de tip istoric a modificării programelor sursă, manualele utilizatorilor, manualele de operare, documentele relative la securitate, rapoartele de asigurare a calităţii; - intervievarea personalului din departamentul IT; - observarea performanţei sistemului şi a utilizatorilor săi. 3.1.3. Analiza riscurilor Deşi tehnologiile informaţionale pot amelioara controlul intern al unei companii, ele pot, de asemenea, afecta riscul general de control al companiei. Numeroase riscuri asociate sistemelor manuale sînt diminuate şi, în numeroase cazuri, chiar eliminate. Totuşi apar noi riscuri specifice mediilor de IT, iar acestea pot conduce la pierderi substanţiale dacă sunt ignorate. De exemplu, imposibilitatea de a recupera informaţii importante din cauza unui blocaj al sistemului informatizat sau utilizarea de informaţii incorecte din cauza unor erori de prelucrare generate de aceste tehnologii ar putea paraliza o organizaţie. Analiza riscurilor este etapa majoră în procesul de audit public intern, care are drept scopuri: identificarea pericolelor din departamentul IT, dacă controalele interne sau procedurile Departamentului IT pot preveni, elimina sau minimiza pericolele, precum şi evaluarea controlului intern al Departamentului IT. De asemenea, analiza riscurilor reprezintă un punct de pornire în elaborarea punctelor tari şi a punctelor slabe. Auditorii interni trebuie să integreze în procesul de identificare şi evaluare a riscurilor semnificative şi pe cele depistate în cursul altor misiuni. Lista centralizatoare a obiectelor auditabile, definite sub aspectele caracteristicilor specifice şi ale riscurilor asociate, constituie suportul analizei riscurilor.
Astfel s-au definit următoarele obiecte
auditabile: (Din numeroasele obiecte auditate în misiunea de audit am selectat câteva, esenţiale, din cauza spaţiului limitat de care dispun). Obiectiv 1. Logistica IT Obiecte auditabile 1.1 Configurare switch-uri:- securizarea fizică a componentelor critice, - protejarea şi etichetarea cablurilor de reţea, - protecţia camerei serverelor, - configurare echipamente IT şi aplicaţi . 1.2 Verificarea modului de asigurare a conectivităţii: - asigurarea şi întreţinerea echipamentelor fizice, - securizarea echipamentelor fizice, - accesul în camera serverelor. Obiectiv
2. Reţeaua de calculatoare Obiecte auditabile 2.1. Verificarea securizării reţelei de calculatoare: - politica de securitate a reţelei, - limitarea accesului în reţea, - configurarea reţelei de calculatoare, - protecţia datelor în reţea, - zona demilitarizată (DML), - protecţia echipamentului de reţea, - recuperarea datelor în caz de dezastru. Obiectiv 3.
Gestiunea licenţelor IT
Obiecte auditabile 3.1. Verificarea situaţiei faptice şi scriptice a licenţelor IT: - evidenţa licenţelor IT, - atribuţii în gestionarea licenţelor IT. 3.2. Analiza dosarului pentru fiecarea staţie de lucru: - evidenţa softului instalat pe fiecare staţie de lucru, - raportări periodice privind situaţia soft-ului pe staţiile de lucru. Obiectiv 4. Gestiunea adreselor de e-mail 4.1. verificarea existenţei politicii de e-mail: - politica de e-mail la nivel de instituţie, - conţinutul politicii de e-mail. 4.2. verificarea politicii de e-mail din punct de vedere al redactării, comunicării şi implementării: redactarea politicii de e-mail, - comunicarea politicii de e-mail. Aprecierea unui risc are la bază două estimări: - mărimea/nivelul pierderii care poate să rezulte ca urmare a producerii riscului; - probabilitatea ca riscul să revină. Efectuarea analizei riscurilor s-a efectuat prin parcurgerea următorilor paşi: a) identificarea activităţilor auditabile, respectiv a obiectelor auditabile. S-au analizat şi interdependenţele existente între acestea, fixându-se perimetrul de analiză; b) identificarea ameninţărilor, riscurilor inerente posibile, asociate acestor activităţi, prin determinarea impactului financiar al acestora; c) stabilirea criteriilor de analiză a riscului. d) stabilirea nivelului riscului pentru fiecare criteriu, prin utilizarea unei scări de valori de valori pe trei niveluri. e) stabilirea punctajului total al criteriului utilizat. S-a atribuit un factor de greutate şi un nivel de risc fiecărui criteriu. Produsul acestor doi factori dă punctajul pentru criteriul respectiv, iar suma punctajelor pentru o anumită acitivitate auditabilă conduce la determinarea punctajului total al riscului activităţii respective. Formula utilizată pentru obţinerea punctajului total este: T=∑P(i)xN(i), unde:
P(i)= ponderea riscului pentru fiecare criteriu; N(i)= nivelul riscurilor pentru fiecare criteriu utilizat; f) clasarea riscurilor, pe baza punctajelor totale obţinute anterior, în: risc mic, risc mediu, risc mare. g) ierarhizarea activităţilor ce urmează a fi auditate, respectiv elaborarea tabelului puncte tari şi puncte slabe. Tabelul permite ierarhizarea riscurilor în scopul orientării activităţii de audit public intern, respectiv stabilirea tematicii în detaliu. Măsurarea riscurilor depinde de probabilitatea de apariţie a riscului şi de gravitatea consecinţelor evenimentului. Pentru realizarea măsurii riscurilor s-a utilizat drept instrument de măsurare criteriile de apreciere. - Aprecierea controlului intern s-a făcut pe baza unei analize a calităţii controlului intern al entităţii, pe trei niveluri: control intern corespunzător - nivel 1, control intern insuficient – nivel 2, control intern cu lipsuri grave – nivel 3. - Măsurarea gravităţii consecinţelor evenimentului (nivelul impactului), reprezintă efectele riscului în cazul producerii sale şi s-a exprimat pe o scară valorică pe trei niveluri: impact slab – nivel 1, impact mediu – nivel 2, impact important – nivel 3. - Vulnerabilitatea s-a exprimat pe trei niveluri: vulnerabilitate redusă – nivel 1, vulnerabilitate medie – nivel 2, vulnerabilitate mare – nivel 3. În urma aprecierilor, auditorii au stabilit faptul că ponderea criteriilor
de analiză a riscului este
următoarea: - aprecierea controlului intern – 40%; - aprecierea cantitativă (impact financiar) – 26%; - aprecierea calitativă (vulnerabilitate) – 34%. În acest context, dacă mediul de control intern din cadrul organizaţiei este unul format, puternic, acest lucru conduce la obţinerea de către auditori a unei asigurări de 40% privind acest mediu. Totodată în cadrul acestui mediu de control puternic, auditorii pot obţine o asigurare de 26% respectiv 34% privind impactul operaţiilor financiare şi vulnerabilitatea entităţii. În urma calculării punctajelor totale au rezultat urmatoarele clase de risc cu punctajele aferente: - risc mic (N1) – punctaj 1.0 - 1.5 - risc mediu (N2) – punctaj 1.6 – 2.0 - risc mare (N3) – punctaj 2.0 – 2.5 Tabelul nr.1- Nivelul riscurilor
Factori de risc Ponderea (Fi)
factorilor
Nivelul de apreciere a riscului (Ni) de
risc (Pi)
Aprecierea
P1- 40%
controlului
N1
Există
N2
proceduri Există proceduri, sunt Nu
şi se aplică
intern F1
Aprecierea
există
cunoscute, dar nu se proceduri aplică
P2- 26%
cantitativă F2
Aprecierea
N3
Impact
financiar Impact financiar mediu
slab
P3- 34%
calitativă F3
Vulnerabilitate
Impact
financiar
important
Vulnerabilitate medie
redusă
Vulnerabilitate mare
Aceste clase de risc şi intervale de punctaj aferente fiecărei clase de risc au fost stabilite de auditori, iar obiectele auditabile care au obţinut un scor mai mare sau egal cu 2 vor face obiectul atenţiei auditorilor. Ponderea atribuită pentru fiecare factor de risc a fost stabilit în funcţie de importanţa acestuia pentru activitatea auditată şi însumate trebuie să fie obligatoriu 100. Punctajul total al riscului se realizează prin înmulţirea, pe fiecare risc identificat, a nivelului şi ponderilor factorilor de risc şi însumarea acestora. Atribuirea notelor la criteriile avute în vedere la analiza riscului, s-a realizat de către auditorul intern, pe baza judecăţii profesionale şi a experienţei acestuia. Punctele tari şi punctele slabe sunt exprimate calitativ şi cantitativ în funcţie de rezultatele aşteptate şi de condiţiile de obţinere a acestora. Riscurile asociate obiectivelor, activităţiilor şi nivelul impactului au fost stabilite astfel, cu ajutorul documentului Tabelul puncte tari şi puncte slabe. Configurare switch-uri 1. Securizarea fizică a componentelor critice, riscuri de nivel mediu: proceduri neadecvate cu privire la echipamentele şi suporturile de date scoase din uz, păstrarea neadecvată a componentelor critice. 2. Protejarea şi etichetarea cablurilor de reţea, risc de nivel scăzut: cablurile de reţea nu sunt protejate corespunzător sau sunt neetichetate.
3. Protecţia camerei serverelor, risc de nivel mediu: în camera serverelor nu sunt în funcţiune sisteme de prevenire a incendiilor, aer condiţionat. 4. Configurarea echipamentelor IT şi aplicaţiilor, riscuri de nivel mediu: configuraţiile echipamentelor IT şi ale aplicaţiilor nu sunt menţinute în mod formal în alte locaţii decât sistemele, structura switch-urilor nu conferă securitate sporită. 5. Asigurarea şi întreţinerea echipamentelor fizice, risc de nivel scăzut. nu toate componentele critice sunt securizate fizic. 6. Securizarea echipamentelor fizice, riscuri de nivel mediu: echipamente care nu sunt corect întreţinute, echipamente neprotejate pentru a preveni riscul distrugerii accidentale. 7. Accesul în camera serverelor, riscuri de nivel mediu: nu există cartele de acces sau registre în camera serverelor, distrugerea fizică a cablurilor. Verificarea securizării reţelei de calculatoare 1. Politica de securitate a reţelei, riscuri de nivel ridicat: inexistenţa unei politici de securitate a reţelei de calculatoare la nivelul instituţiei, neinstalarea unui firewall adecvat între propria reţea de calculatoare şi toate celelalte legături externe, sistemul de securitate al reţelei nu generează un raport zilnic, instituţia nu dispune de o diagramă logică a infrastructurii firewall. 2. Limitarea accesului în reţea, riscuri de nivel mediu: neimplementarea procedurilor în vederea limitării accesului la calculatoare după terminarea orelor de program, accesul neautorizat al personalului la serverul de reţea, informaţiile pot fi furate sau distruse, persoane neautorizate pot accesa sau manipula datele de pe server, instalarea de către programatori, cu bună ştiinţă, a unor programe inadecvate. 3. Configurarea reţelei de calculatoare, risc de nivel ridicat: schimbările de configurare ale reţelei nu sunt testate sau aprobate în prealabil. 4. Protecţia datelor în reţea, riscuri de nivel ridicat: neutilizarea unor mijloace de protecţie a datelor transmise din propria reţea către alte reţele, neverificarea accesului la distanţă prin punctul de control firewall, software programat să distrugă sistemul sau anumite date. 5. Zona demiltarizată (DML),riscuri de nivel mediu: neevaluarea gazdelor din cadrul zonei demilitarizate în scopul stabilirii adecvării acestora, punctele de control firewall pot să nu prevină atacurile Java şi ActiveX. 6. Protecţia echipamentului de reţea, risc de nivel mediu: echipamentul de reţea nu este protejat împotriva factorilor de mediu cum ar fi căderile de tensiune, inundaţii, umiditate.
7. Recuperarea datelor în caz de dezastru, risc de nivel ridicat: inexistenţa unui plan de recuperare a datelor în caz de dezastru. Verificarea situaţiei faptice şi scriptice a licenţelor IT 1. Evidenţa licenţelor IT, riscuri de nivel mediu: nu este ţinută evidenţa situaţiei scriptice a licenţelor IT, nu este ţinută evidenţa situaţiei faptice a licenţelor IT, unele licenţe nu au documente de provenienţă. 2. Atribuţii în gestioanrea licenţelor IT, risc de nivel mediu: nu este numită o persoană cu responsabilităţi în urmărirea şi gestionarea licenţelor IT. Analiza dosarului pentru fiecare staţie de lucru 1. Evidenţa softului instalat pe fiecare staţie de lucru, riscuri de nivel mediu: pentru fiecare calculator nu s-antocmit un dosar cu privire la soft-ul instalat pe acesta, posibilitatea utilizării unor programe software fără licenţă. 2. Raportări periodice privind situaţia soft-ului pe staţiile de lucru, risc de nivel mediu: neîntocmirea unor rapoarte periodice cu privire la situaţia staţiilor de lucru şi a softului autorizat. Verificarea existenţei politicii de e-mail 1. Politica de e-mail la nivelul instituţiei, riscuri de nivel mediu: inexistenţa unei politici de e-mail adecvat la nivelul instituţiei, politica de e-mail nu este integrată politicii Internet. 2. Conţinutul politicii de e-mail, riscuri de nivel mediu: comunicaţiile de e-mail nu sunt folosite doar pentru a servi scopurile instituţiei, inexistenţa unor limitări în ceea ce priveşte primirea-transmiterea unui fişier ataşat unui mesaj, pentru mesajele stocate, log-urile nu sunt protejate împotriva accesului neautorizat. Verificarea politicii de e-mail din punct de vedere al redactării, comunicării şi implementării 1. Redactarea politicii de e-mail, riscuri de nivel mediu: politica de e-mail nu este redactată clar, concis, nu este uşor de citit şi înţeles de către personalul instituţiei, politica de e-mail nu a fost redactată cu implicarea unor compartimente de specialitate. 2. Comunicarea politicii de e-mail, risc de nivel mediu: personalului instituţiei nu i-au fost comunicate prevederile politicii de e-mail. Ierarhizarea riscurilor selectate, realizată prin documentul Tabelul puncte tari şi puncte slabe a contribuit la identificarea a 20 riscuri, ataşate unor obiecte auditabile, care au fost evaluate ca fiind puncte slabe, iar 2 riscuri au fost identificate ca fiind puncte tari. În stabilirea punctelor tari şi a celor slabe auditorii au avut în vedere cele trei clase de risc identificate în etapa de analiză a riscurilor, respectiv au asociat riscului mic puncte tari iar riscului mediu şi mare un punct slab. Evaluarea ierarhizării obiectelor auditabile în documentul Tematica în detaliu a misiunii de audit
intern, au fost preluate obiectivele şi obiectele auditabile, considerate ca fiind puncte slabe, ocazie cu care au fost renumerotate, şi ulterior stabilită corespondenţa cu paragrafele din raportul de audit intern. 3.1.4 Elaborarea programului misiunii de audit public intern Tematica în detaliu cuprinde totalitatea domeniilor/obiectelor de auditat selectate, este semnată de şeful compartimentului de audit public intern şi adusă la cunoştinţa principalilor responsabili ai structurii auditate în cadrul şedinţei de deschidere. În baza tematicii detaliate se întocmeşte programul de audit public intern care este un document intern de lucru al compartimentului de audit public intern. Acesta cuprinde pe fiecare obiectiv din tematica detaliată acţiunile concrete de efectuat necesare atingerii obiectivului, precum şi repartizarea acestora pe fiecare auditor intern. Scopul programului de audit public intern este de a asigura şeful compartimentului de audit public intern că au fost luate în considerare toate aspectele referitoare la obiectivele misiunii de audit public intern şi asigură repartizarea sarcinilor şi planificarea activităţilor, de către supervizor. În baza programului de audit public intern se întocmeşte programul preliminar al intervenţiilor la faţa locului. Acesta prezintă în mod detaliat lucrările pe care auditorii interni îşi propun să le efectueze, respectiv studiile, cuantificările, testele, validarea acestora cu materiale probante şi perioadele în care se realizează aceste verificări la faţa locului. 3.1.5 Deschiderea intervenţiei la faţa locului Şedinţa de deschidere a intervenţiei la faţa locului se derulează la Departamentul IT, cu participarea auditorilor interni şi a personalului Departamentului IT. În cadrul şedinţei de deschidere a fost prezentat auditorul intern, domeniul auditabil şi obiectivele de auditat. De asemenea au fost prezentate activităţile care urmează a fi auditate, fiind stabilite termenele de raportare de către auditorul intern, a stadiului de verificare, termene care au fost cuprinse în Programul misiunii de audit public intern. S-a acceptat calendarul întâlnirilor dintre auditorul intern şi cei auditaţi, astfel ca cei auditaţi să poată oferii documentele şi informaţiile solicitate de auditorul intern în termenele stabilite. Recomandările formulate ca urmare a eventualelor disfuncţionalităţi constatate vor fi discutate şi analizate cu structura auditată, inclusiv calendarul implementării şi persoanele răspunzătoare cu implementarea recomandărilor. 3.2.1. Colectarea dovezilor şi utilizarea instrumentelor aplicabile Scopul acestei proceduri îl reprezintă efectuarea testărilor stabilite prin programul de audit aprobat şi obţinerea de probe, dovezi suficiente şi relevante pentru formularea constatărilor, concluziilor şi recomandărilor. Colectarea dovezilor s-a făcut pornind de la „Programul intervenţiei la faţa locului” unde au fost planificate şi elaborate listele de verificare şi testările care vor fi efectuate. Pe baza acestor testări şi având în vedere rezultatele obţinute s-a trecut la întocmirea
„Fişelor de identificare şi analiză a problemelor” şi a „Formularelor de constatare şi raportare a iregularităţilor”. Auditorii interni au avut în vedere şi „Tabloul de prezentare a circuitului auditului” care oferă informaţii utile în colectarea dovezilor. Principalele tehnici de audit public intern folosite, au fost: Verificarea, care asigură validarea, confirmarea, concordanţa cu legile şi regulamentele intrne, precum şi eficacitatea controalelor interne. Această tehnică a fost realizată prin: - comparaţie pentru anumite tranzacţii curente care sunt puse în corespondenţă cu tranzacţii trecute sau similare, cu legi sau regulamente sau cu alte criterii rezonabile; - examinare pentru detectarea unor erori în completarea documentelor sau pentru examinarea vulnerabilităţilor unor sisteme; - garantare pentru verificarea realităţii anumitor tranzacţii prin examinarea documentelor înregistrate, de la articolul înregistrat către documentele justificative; - urmărire pentru a vedea dacă toate tranzacţiile reale au fost înregistrate. Observarea fizică, pe baza căreia se poate forma o părere proprie privind modul de întocmire a documentelor. Interviul care oferă posibilitatea lămuririi unor aspecte legate de organizarea şi desfăşurarea activităţilor. Analiza care constă în descompunerea unei structuri în elemente, care pot fi izolate, identificate, cuantificate, şi măsurate distinct. Principalele instrumente de audit intern folosite, au fost: Chestionarele - care cuprind întrebări pe care le formulează auditorii interni. a) chestionarul de luare la cunoştinţă (CLC) - care conţin întrebări referitoare la locul pe care îl ocupă Departamentul IT în structura din care face parte, organizarea internă, funcţionarea acestuia; b) chestionarul de control intern (CCI) - ghidează auditorii interni în activitatea de identificare obiectivă a disfuncţiilor şi cauzelor reale ale acestor disfuncţii; c) chestionarul-listă de verificare (CLV) – este utilizat pentru stabilirea condiţiilor pe care trebuie să le îndeplinească fiecare domeniu auditabil. Cuprind un set de întrebări standard privind obiectivele definite, responsabilităţile, metodele şi mijloacele financiare, tehnice şi de informare, precum şi resursele umane existente. Pe parcursul desfăşurării misiunii de audit, pentru a culege probe cât mai relevante şi suficiente auditorii au desfăşurat două categorii de teste: a) teste de conformitate, pentru verificarea conformităţii controlului intern cu politicile, normele interne stabilite de managmentul instituţiei; b) teste de fond, pentru a verifica integritatea datelor şi altor informaţii de sistem. Având în vedere obiectivele controlului intern, care se pot rezuma în asigurarea validităţii,
exhaustivităţii, acurateţei şi confidenţialităţii resurselor informaţionale din cadrul instituţiei, auditorul, prin intermediul testelor de conformitate, a verificat existenţa şi eficienţa controlului intern. Prin aceste teste, auditorul a urmărit conformitatea controlului intern existent în cadrul instituţiei cu politicile şi procedurile managmentului, cât şi consecvenţa de aplicare a acestui control. În mod practic, există o relaţie direct proporţională între nivelul controlului intern şi volumul testelor de fond ce sunt necesare a fi desfăşurate.
Datorită rezultatelor testelor de conformitate
care conferă prezenţa unui control intern eficient, auditorul a aplicat un număr minim de teste de fond. În urma testelor de conformitate, s-au identificat patru categorii de mecanisme de control intern: - controlul restrictiv ce are ca efect reducerea probabilităţii unui atac deliberat; - controlul preventiv ce protejează vulnerabilităţile cunoscute sau presupuse şi reduc impactul unui atac reuşit; - controlul corectiv ce reduce efectul unui atac prin supravegherea corectitudinii şi integrităţii datelor; - controlul detectiv ce descoperă atacuri iniţiate sau în desfăşurare şi alarmează sistemul corespunzător.
AMENINŢAR E
CONTROL RESTRICTI V
CONTROL CORECTIV
MINIMIZEAZĂCREEAZĂ ATAC CONTROL DETECTIV
EXPLOATEAZĂ VULNERABILITATE A
DESCOPERĂ
DECLANŞEAZĂ PROTEJEAZĂ
IMPACT
REZULTĂ ÎN
CONTROL PREVENTIV
REDUCE
Figura nr.1 Controalele accesului în sistem
DESCREŞTE
În urma procedurii de colectare a dovezilor s-au identificat anumite probleme şi s-a trecut la întocmirea” Fişelor de identificare şi analiză a problemelor”. Fişa de identificare şi analiză a problemei, nr.1 Problema: Stocarea necorespunzătoare a backup-urilor. Constatări: Nu a fost asigurată o locaţie astfel încât backup-urile să fie corect jurnalizate şi stocate. Cauze: Nu există un spaţiu amenajat corespunzător, precum nici o persoană desemnată cu păstrarea în bune condiţii a backup-urilor. Consecinţe: Posibilitatea deteriorării anumitor copii de siguranţă, astfel încât în cazul ”căderii” sistemului ca urmare a unor cauze hardware sau software, să fie imposibilă refacerea acestui sistem. Recomandări: Alocarea unei camere, amenajată corespunzător, în vederea gestionării corecte a backup-urilor. Fişa de identificare şi analiză a problemei, nr.2 Problema: Neaprobarea cercetării şi monitorizării informaţiilor electronice. Constatări: Nu s-a emis un Odin/Decizie/Act intern care să specifice care sunt persoanele cu atribuţii de cercetare şi monitorizare a informaţiilor electronice, precum şi persoane cu atribuţii de a intercepta, revizui sau divulga conţinutul mesajelor trimise sau primite de personalul instituţiei prin e-mail. Cauze: Inexistenţa unor procedure formalizate la nivelul instituţiei cu privire la manipularea informaţiilor în format electronic. Aceste procedure formalizate trebuie să fie puse în corespondenţă cu politica de e-mail. Consecinţe: Posibilitatea interceptării, accesării sau divulgării conţinutului unor informaţii electronice de către personal neautorizat. Recomandări: Stabilirea prin Ordin/Decizie/Act intern a unei persoane din cadrul Departamentului IT, cu atribuţii de monitorizare şi, dacă este cazul, de cercetare a informaţiilor electronice transmise/primite de către personalul instituţiei prin e-mail. Această persoană trebuie să asigure condiţiile de confidenţialitate şi integritate a datelor şi informaţiilor pe care le monitorizează. Fişa de identificare şi analiză a problemei, nr.3 Problema: Neformalizarea unei politici de e-mail la nivelul instituţiei. Constatări: La nivelul instituţiei nu a fost stabilită o politică de e-mail care să îndeplinească următoarele condiţii: să fie scrisă clar, concis, astfel încât să poată fi uşor de citi şi de înţeles; redactarea să se facă cu implicarea personalului IT, a resurselor umane sau altor structure funcţionale; să fie aprobat semnat de conducere; să fie distribuit un plan care să prevadă un instructaj cu privire la riscurile la care se supun angajaţii dacă nu urmează punctele transmise prin politica în cauză; să fie actualizată permanent.
Cauze: Departamentul IT nu dispune de suficient personal care să se ocupe de redactarea şi actualizarea permanentă a politicii de e-mail. Consecinţe: Grad scăzut de asigurare a integrităţii şi confidenţialităţii datelor şi informaţiilor transmise sau primite de utilizatori în format electronic, prin e-mail. Recomandări: Desemnarea unui grup de lucru cu atribuţii de redactare, comunicare şi implementare a politicii de e-mail la nivelul insituţiei. 3.2.2. Şedinţa de închidere În Şedinţa de închidere a fost prezentat către Departamentul IT obiectivele care au fost supuse auditării. Constatările efectuate
au fost discutate
pentru fiecare obiectiv auditat şi au fost
prezentate dovezile care susţin aceste constatări. S-a insistat asupra consecinţelor posibile în cazul în care aspectele constatate nu vor fi soluţionate. Au fost prezentate părţii auditate recomandările care urmează a fi implementate pentru eliminarea deficienţelor. Auditorii interni consideră că deficienţele constate în misiunea de audit public intern efectuată pot fi eliminate prin implementarea recomandărilor formulate. Ca finalitate a şedinţei s-a întocmit “ Minuta Şedinţei de Închidere”. 3.3.1.Elaborarea proiectului de Raport de audit public intern La sfărşitul misiunii de audit public intern, auditoria interni au elaborate un proiect de raport de audit public intern, care reflectă cadrul general, obiectivele, constatările, concluzile şi recomandările. În urma verificărilor s-au constatat următoarele: 1. Obiectivul de audit: Reţeaua de calculatoare Constatări cu caracter negativ: Nu a fost asigurată o locaţie astfel încât backup-urile să fie corect jurnalizate şi stocate. Consecinţe: posibilitatea deteriorării anumitor copii de siguranţă, astfel încât în cazul “căderii” sistemului ca urmare a unor cauze hardware sau software, să fie imposibilă refacerea acestui sistem. Recomandări: Alocarea unei camere, amenajată corespunzător, în vederea gestionării corecte a backup-urilor. 2. Obiectivul de audit: Logistica IT Constatări cu caracter pozitiv: Reţeaua internă a Instituţiei este bazat pe o structură de switch-uri 3COM Gigabit Switch 5, având o serie de facilităţi care conferă securitate sporită, optimizează traficul în reţea şi oferă, de asemenea redundanţă. Switch-urile pot fi configurate de la distanţă prin interfaţă Web, fiecare din ele având un IP static. Conectarea se face pe bază de user şi parolă; mai există două conturi, unul de supervizare unde se fac doar setări de parametri care nu implică securitatea, respectiv un user unde se poate vizualiza
configuraţia switch-ului. Echipamentele IT sunt corect întreţinute , fiind totodată plasate şi protejate pentru a se preveni riscul distrugerii accidentale. 3. Obiectivul de audit: Gestiunea licenţelor IT Constatări cu caracter pozitiv:
La nivelul Departamentului IT există o evidenţă a situaţiei
scriptice a licenţelor IT. De asemenea, pentru licenţele utilizate există documente de provenienţă. Pentru fiecare staţie de lucru a fost încheiat un proces-verbal cu privire la soft-ul instalat pe fiecare calculator, astfel încât toate programele instalate să fie autorizate. Constatări cu caracter negativ: Nu s-a emis un Odin/Decizie/Act intern care să specifice care sunt persoanele cu atribuţii de cercetare şi monitorizare a informaţiilor electronice, precum şi persoane cu atribuţii de a intercepta, revizui sau divulga conţinutul mesajelor trimise sau primite de personalul instituţiei prin e-mail. La nivelul instituţiei nu a fost stabilită o politică de e-mail care să îndeplinească următoarele condiţii: să fie scrisă clar, concis, astfel încât să poată fi uşor de citi şi de înţeles; redactarea să se facă cu implicarea personalului IT, a resurselor umane sau altor structure funcţionale; să fie aprobat semnat de conducere; să fie distribuit un plan care să prevadă un instructaj cu privire la riscurile la care se supun angajaţii dacă nu urmează punctele transmise prin politica în cauză; să fie actualizată permanent. Cauze: Inexistenţa unor proceduri formalizate la nivelul instituţiei cu privire la manipularea informaţiilor în format electronic. Aceste proceduri formalizate trebuie să fie puse în corespondenţă cu politica de e-mail. Departamentul IT nu dispune de suficient personal care să se ocupe de redactarea şi actualizarea permanentă a politicii de e-mail. Consecinţe: Posibilitatea interceptării, accesării sau divulgării conţinutului unor informaţii electronice de către personal neautorizat. Grad scăzut de asigurare a integrităţii şi confidenţialităţii datelor şi informaţiilor transmise sau primite de utilizatori în format electronic, prin e-mail. Recomandări: Stabilirea prin Ordin/Decizie/Act intern a unei persoane din cadrul Departamentului IT, cu atribuţii de monitorizare şi, dacă este cazul, de cercetare a informaţiilor electronice transmise/primite de către personalul instituţiei prin e-mail. Această persoană trebuie să asigure condiţiile de confidenţialitate şi integritate a datelor şi informaţiilor pe care le monitorizează. Desemnarea unui grup de lucru cu atribuţii de redactare, comunicare şi implementare a politicii de e-mail la nivelul insituţiei. Având în vedere constatările din Raportul de audit public intern, concluziile sunt următoarele: Exceptând obiectivele de audit pentru care au fost formulate recomandări, în cadrul instituţiei se
respect şi se realizează un control adecvat referitor la Logistica IT, Gestiunea licenţelor IT. Deficienţele menţionate în Raportul de audit public intern pot fi înlăturate prin implementarea recomandărilor formulate de auditorul intern. Proiectul de Raport de audit public intern se transmite la Departamentul IT, iar acesta va trimite în maxim 15 zile, punctual său de vedere care va fi analizat de auditorii interni. 3.3.2. Reuniunea de conciliere Scopul reuniunii de conciliere este de a discuta eliminarea eventualelor divergenţe existente privind constatările şi recomandările formulate de către auditorii interni în Proiectul raportului de audit public intern, precum şi stabilirea unui plan de acţiune şi a calendarului de implementare a recomandărilor. După aprobarea recomandărilor cuprinse în raportul de audit public intern finalizat, acestea devin obligatorii şi vor fi comunicate Departamentului IT. Aprobarea recomandărilor va fi realizat de către directorul Instituţiei. 3.3.3. Difuzarea Raportului de audit public inter (Raport final) Şeful compartimentului de audit public intern transmite Raportul de audit public intern împreună cu rezultatele concilierii şi punctual de vedere al structurii auditate, conducătorului entităţii publice Tiberiu Tudoran, pentru analiză şi avizare. După avizare, Raportul de audit public intern va fi comunicat Departamentului IT. În cazul în care există recomandări care nu au fost avizate de conducătorul entităţii publice, auditorii interni transmit la organul ierarhic superior sau la UCAAPI, o informare, împreună cu o documentaţie de susţinere. 3.3.4. Urmărirea recomandărilor Obiectivul acestei etape este asigurarea că recomandările menţionate în Raportul de audit intern sunt aplicate întocmai, în termenele stabilite, în mod eficace şi conducerea a evaluat riscul de neaplicare a acestor recomandări. Urmărirea recomandărilor este un proces prin care se constată caracterul adecvat, eficacitatea şi oportunitatea acţiunilor întreprinse de către conducerea entităţii auditate pe baza recomandărilor din Raportul de audit intern. Procedura de urmărire a recomandărilor presupune întocmirea documentului “Fişa de urmărire a recomandărilor” pe baza planului de acţiune şi a calendarului de implementare. Concluzii Cadrul metodologic asociat unei misiuni de audit urmăreşte,obţinerea unei înţelegeri a cerinţelor organizaţiei, identificarea controalelor existente, precum şi evaluarea conformităţii controlului intern, şi identificarea riscurilor. Principiile auditului sunt construite în jurul celor patru premise. În general, un astfel de proces
implică, întro primă etapă, documentarea activităţilor pentru a evidenţia obiectivele controlului, intervievarea managementului şi a personalului Departamentului IT cu scopul de a înţelege cu adevărat cerinţele organizaţiei. Ulterior se urmăreşte identificarea controalelor existente şi analiza măsurilor de control implementate în cadrul organizaţiei; auditorul trebuie să se asigure că documentaţia procesului există şi să evalueze distribuţia, responsabilitatea şi disponibilitatea ei. Evaluarea conformităţii controlului intern este etapa în care auditorul trebuie să se asigure că măsurile de control stabilite sunt în conformitate cu standardele în vigoare şi regulamentele interne, fapt ce-l va determina să obţină probe pe diferite eşantioane. Finalitatea etapei este redată de aplicarea testelor de detaliu şi procedurilor analitice, tocmai pentru a asigura auditorului certitudinea că precesele IT sunt adecvate. Identificarea riscurilor importante ale sistemului informatic, presupune o analiză a slăbiciunilor de control şi vulnerabilităţilor sistemului în vederea aprecierii actualului sau potenţialului impact. În acest sens, auditorul va analiza tehnici analitice şi/sau consultă surse alternative în acord cu obiectivul auditului. Controlul intern întrun sistem informaţional este menit să promoveze atât eficacitatea exploatării căt şi fiabilitatea sistemului. Azităzi, întrun mediu informatizat, verificarea şi aprecierea acestui control, la nivelul unei organizaţii, reprezintă “cheia” care îi conferă auditorului încrederea asupra datelor ce urmează a fi auditate. Verificarea integrităţii datelor este o etapă premergătoare îndeplinirii obiectivelor unei misiuni de audit, deoarece auditorii trebuie să se asigure că rezultatele din rapoartele finale sunt bazate pe date complete, precise şi fiabile. Întrebarea care se ridică însă, este: Cum poate un auditor să evalueze completitudinea, acurateţea şi integritatea datelor furnizate de managementul unei entităţi, pentru asigurarea reuşitei misiunii de audit?? Elementele de fraudă şi eroare cu ajutorul calculatorului nu sunt puţine. Totuşi, mulţi auditori nu conştientizează necesitatea realizării unui control al sistemului informatic şi nu percep această testare a validităţii şi autenticităţii datelor ca fiind direct legată de obiectivele unei misiuni de audit financiar. În general, controlul intern întrun sistem informaţional vizează un control general care afectează mediul activităţilor informatizate şi controlul aplicaţiilor existente în sistem. Din punct de vedere al practicii auditului, nu există însă o distincţie între cele două tipuri de control pentru că în realitate ele se completează reciproc şi, împreună, dau o imagine completă şi corectă asupra sistemului informaţional. Cheia în domeniul auditului este de a recunoaşte că auditul poate avea şi o mai mare valoare dacă analizează aspecte dincolo de problemele financiare tradiţionale şi se focalizează asupra unor puncte de interes pentru un public mai larg. Mulţi auditori consideră astăzi că metodologia de audit
care era potrivită în era industrială s-ar putea să nu fie suficient de dezvoltată pentru era informaţională, când activele sunt intangibile, comerţul este electronic, pieţele sunt globale şi ritmul schimbării este din ce în ce mai accelerat. Ce valori trebuie să ofere auditorii? Trebuie oare să ofere o abordare tradiţională a analizelor periodice ce vizează datele istorice, a datelor bazate pe cost sau a situaţiilor financiare? Oare este necesară o abordare bazată pe date în continuă schimbare, bazate pe valoare şi pe emiterea de informaţii cât mai cuprinzătoare? Oricum auditori viitorului ce vor lucra în comerţ şi industrie vor avea oportunitatea de a deveni o resursă cheie în organizaţiile lor. Pentru a avea succes în noile încercări ei trebuie să-şi diversifice cunoştinţele de bază dincolo de analiza financiară tradiţională către noi domenii precum tehnologia informaţiei, măsurarea performanţelor nefinanciare şi managementul general. Dezvoltările comerţului electronic aduc o mare provocare sistemelor tradiţionale de afaceri şi contabililor care le deservesc. Internetul joacă un rol din ce în ce mai important în răspândirea informaţiei financiare şi de afaceri. Aceasta modifică graniţele internaţionale ale informaţiei şi generează aşteptări asupra raportării la timp de informaţii actualizate, fapt ce determină ca opinia de audit să fie dată mai degrabă asupra sistemului informatic existent în cadrul entităţii, decât asupra datelor din situaţile financiare. Instituţiile publice sunt în permanenţă confruntate cu îmbunătăţirea performanţelor lor . Funcţia de audit intern oferă, din acest punct de vedere, siguranţa rezonabilă că operaţiunile desfăşurate, deciziile luate sunt ”sub control”şi că în acset fel, contribuie la realizarea obiectivelor entităţii. Auditul intern ajută instituţia să îşi atingă obiectivele evaluând procesele sale de management al riscurilor, de control şi de conducere. Auditorii interni pot prin consiliere permanent, să ajute instituţia să identifice, să evalueze şi să implementeze un dispozitiv de management al riscurilor şi de control care să permită stăpânirea acestor riscuri. Misiunile de audit scot în evidenţă anomaliile şi punctele slabe semnifcative din cadrul proceselor ce se desfăşoară la nivelul instituţiei, astfel încât să poată fi remediate sau atenuate consecinţele acestora. Prin împărtăşirea cunoştinţelor, auditul public intern permite schiţarea perspectivelor şi contribuie la progress. În loc de încheiere…………Dacă Dumnezeu mi-ar mai da o bucăţică de viaţă “ Aş da valoare lucrurilor mărunte, dar nu pentru ce valorează ele, ci mai curând pentru ceea ce ele semnifică …..; de-abia acum înţeleg că pentru fiecare minut în care închidem ochii pierdem şaizeci de secunde de lumină. Aş merge în timp ce alţii ar sta pe loc, aş rămâne treaz în timp ce toţi ceilalţi ar dormi. Aş asculta în timp ce alţii ar vorbi….”
Gabriela Garcia Marquez
Doamne, cât respect pentru lumina minţii, care este informaţia. Şi cum să nu fie protejată pe
măsură?15 Victoria este un vârf al curajului şi la capătul acestuia se află libertatea care vine odată cu conştiinţa faptului că nicio putere pământească nu te poate înfrânge. Tăria de caracter este unicul lucru fără de care nu poţi trăi şi doar curajul convingerilor proprii este cel care face posibilă schimbarea.
BIBLIOGRAFIE 1. Ionela-Corina Chersan (coordonator), Control şi Audit Intern, Editura Universităţii “Al.I.Cuza” Iaşi, 2008 2. Crăciun, Şt., Auditul financiar şi auditul intern, Editura Economică, Bucureşti, 2004 3. Crăciun, Şt., Auditul intern, evaluare, consiliere, Editura Economică , Bucureşti, 2006 4. Flavia Stoian, Ana Morariu, Suciu Gh., Audit intern şi Guvernanţă Coorporativă, Editura Universitară, Bucureşti, 2008 5. Alvin, A.Arens, James K.Loebbecke, Audit o abordare integrată, Ediţia a 8-a, Editura ARC, 2006 6. Mareş, G., Cristiana Costinescu, Niculae, D.C., Pitulice, M.G., Practica auditului intern, Editura Contaplus, Bucureşti, 2007 7. Roman Aureliana-Geta, Roman, C., Tabără, V., Control financiar şi audit public, Editura Economic, Bucureşti, 2007 8. Dobroţeanu, L., Dobroţeanu, C.L., Audit concepte şi practice, Editura Economică, Bucuresti, 2002 9. Ghiţă, M., Mareş, V., Auditul performanţei publice, Editura CECCAR, Bucureşti, 2002 10. Munteanu, V., Control şi audit financiar-contabil, Editura Lumina Lex, Bucureşti, 2003 11. Boulescu, M., Bârnea, C., Ispir, O., Control financiar intern şi audit intern la entităţile publice, Editura Economică, Bucureşti, 2004 12. Chiţu, A., Pitulice, M., Pitulice, A., Studii de caz privind auditul public intern, Editura 15
Oprea Dumitru, Protecţia şi securitatea sistemelor informaţionale, Editura Universităţii „Al.I.Cuza”, Iaşi, 2006, p.,7
CECCAR, Bucureşti, 2005 13. Morariu, A., Stoian Flavia, Auditul intern- o funcţie cu multiple valenţe, Revista Română de Statistică, nr.3/2007 14. Renard, J., Teoria şi practica auditului intern, Ediţia a patra, Bucureşti, 2002 15. Daniela-Neonilă Mardiros, Scorţescu, F.I., Contabilitate publică, Editura ” Ion Ionescu de la Brad” Iaşi, 2007 16. Nicolae Florina, Dascălu Doina, Auditul intern în instituţiile publice, Editura Economică, Bucureşti, 2006 17. Gabriela Meşniţă, Oprea, D., Dumitriu, F., Analiza sistemelor informaţionale, Editura Universităţii ” Al.I.Cuza”, Iaşi, 2005 18. Oprea, D., Protecţia şi securitatea sistemelor informatice, Editura Universităţii ”Al.I.Cuza”, Iaşi, 2006 19. Năstase, P., Stanciu, V., Dana Boldeanu, Auditul şi controlul sistemelor informaţionale, Editura Economică, Bucureşti, 2007 20. Oprea, D., Munteanu, A., Rusu Daniela, Probleme actuale ale securităţii în sistemele informaţionale pentru afaceri, Editura Polirom, Iaşi, 2003 21. Horomnea, E., Dorina Budugan, Tabără, N., Bazele contabilităţii, Editura Sedcom Libris, Iaşi, 2006 22.***Legea nr. 672 din 19.12.2002, privind auditul public intern, MO nr.953 din 24.12.2002 23.***Ordinul ministrului finanţelor publice nr.423/2004 pentru modificarea şi completarea Normelor generale privind exercitarea activităţii de audit public intern aprobate prin OMFP nr. 38/2003 24.***Norme profesionale ale auditului intern, Minsterul Finanţelor Publice şi Institutul Auditorilor Interni (IFACI)
View more...
Comments
