Raportul de Audit Public Intern
Raportul de audit public intern
I N T R O D U C E R E
Auditorii interni au început să fie specialiști cu experiență, sporind gradul de încredere în rapoartele acestora. În același timp a crescut diversitatea pregătirilor profesionale, a profilelor, a atragerii de experți datorită evoluției funcției și a competenței profesioniștilor. Totodată, economia reală a impus renunțarea înțelesului auditului intern legat numai de funcția finaciar-contabilă și creșterea acoperirii acestuia prin atașarea funcției de audit intern la direcția generală a unei entități. Auditul intern este subordonat conducătorilor entităților devenind un instrument puternic de depistare a riscurilor din organizațiile în care funcționează.
Din anul 2003, în România auditul intern este reglementat și monitorizat de Camera Auditorilor Financiari, organism de utilitate publică fără scop lucrativ, iar responsabilii pentru organizarea activității de audit intern, coordonarea lucrărilor/angajamentelor și semnarea rapoartelor de audit intern trebuie să aibă calitatea de auditor financiar.
Camera Auditorilor Financiari din România a asimilat integral standardele internaționale de audit intern și a elaborat norme de audit intern necesare organizării și exercitării activității, sub forma normelor de calificare și a celor de funcționare, precum și a modalităților practice de aplicare.
De asemenea, Camera Auditorilor Financiari din România fiind nevoită să se racordeze la organismele internaționale, s-a afiliat al Auditorilor Interni și la alte organisme europene și regionale devenind o necesitate de abordare internațională a profesiei.
Auditorul intern, care potrivit legii române trebuie să aibă calitatea de auditor financiar, prin procedeele specifice examinează și prezintă opinii referitoare la audituri operaționale, cum sunt auditul de regularitate sau conformitate și de eficacitate, și la cele legate de management și de strategie.
În practică există o legătură strânsă între auditorii financiari și cei interni, auditorii financiari deseori fiind interesați de toate funcțiile entității pentru că acestea contribuie la generarea de influențe în rezultatele entității și în indicatorii înscriși în situațiile finaciare
În concluzie auditul intern este o profesie și o activitate implicată în a ajuta organizațiile să-și atingă obiectivele declarate. Auditul intern realizează acest lucru folosind o metodologie sistematică pentru analiza proceselor de afaceri, procedurile și activitățile cu scopul de a evidenția problemele organizatorice și de a recomandara soluții.
CAPITOLUL 1
CONCEPTUL DE AUDIT INTERN
1.1. Contextul apariției auditului intern
Utilizarea termenului de audit în accepțiunea folosită în prezent este relativ recentă și se plasează în perioada crizei economice din 1929 din Statele Unite ale Americii, când întreprinderile erau afectate de recesiune economică și trebuiau să plătească sume importante pentru auditorii externi care efectuau certifica rea conturilor tuturor întreprinderilor cotate la bursă.
Marile întreprinderi americane foloseau deja serviciile oferite de Cabinete de Audit Extern, organisme independente care aveau misiunea de a verifica conturile și bilanțurile contabile și de a certifica situațiile financiare finale. Pentru a-și îndeplini atribuțiile, cabinetele de audit efectuau o scrie de lucrări pregătitoare de specialitate, și anume: inventarierea patrimoniului, inspecția conturilor, verificarea soldurilor, diferite sondaje etc., care au crescut semnificativ costurile auditării.
Întreprinderile au început să-și organizeze propriile Cabinete de Audit Intern, în special, pentru reducerea cheltuielilor, prin preluarea efectuării lucrărilor pregătitoare din interiorul entității, iar pentru realizarea activității de certifica re au apelat în continuare de Audit Extern, care aveau dreptul asupra unei supervizări a activității întreprinderilor. Pentru a se distinge între auditorii cabinetelor de audit extern și cei ai organizației supuse auditului, primii au fost numiți auditori externi, iar cei din urmă au fost numiți auditori interni, deoarece făceau parte din întreprindere.
Aceste schimbări au fost benefice, deoarece auditorii externi nu mai își încep activitatea de la zero și pornesc de la rapoartele auditorilor interni, la care adaugă noi constatări rezultate prin aplicarea procedurilor specifice și apoi efectuează certifica rea conturilor organizației auditate.
Cu timpul, auditorii externi au renunțat în totalitate să mai efectueze acțiuni de inventariere și de inspectare a conturilor clienților și au început să realizeze analize, comparații și să justifice cauzele eșecurilor, să dea consultații și soluții, pentru cei care erau responsabili pentru activitatea întreprinderii. în acest fel, în timp, s-au stabilit obiective, instrumente, tehnici și sisteme de raportare distincte pentru auditorii interni, comparativ cu auditorii externi.
După trecerea crizei economice, auditorii au fost utilizați în continuare, deoarece dobândiseră cunoștințele necesare și foloseau tehnici și instrumente specifice domeniului financiar-contabil. In timp, ei au lărgit mereu domeniul de aplicare al auditului și i-au modificat obiectivele, ajungându-se la ideea necesității existenței unei funcții a activității de audit intern în interiorul organizațiilor.
Noua funcție de audit intern va mai păstra mult timp conotațiile financiar-contabile în memoria colectivă, datorită eredității sale, respectiv activitatea de certificare a conturilor.
În România, auditul intern a fost adoptat ca un termen la modă în domeniul controlului financiar, însă cu timpul s-a reușit decantarea conceptelor de control intern și audit intern. în prezent, există o problemă cu înțelegerea sistemului de control intern, care fiind obiect al auditului intern, înglobează toate activitățile de control intern realizate în interiorul unei entități și riscurile asociate acestora.
1.2. Evoluția auditului intern
Scopul inițial al Institutului Auditorilor Interni (HA) fost acela de standardizarea activității de audit intern, plecând de la definirea conceptelor, stabilirea obiectivelor și continuând cu organizarea și exercitarea acestuia.
În timp, a avut loc o deplasare a obiectivelor auditului intern, respectiv de la furnizarea de informații pentru manager, spre o colaborare cu auditul extern, căruia îi asigură o materie primă prelucrată, devenind totodată o activitate de sine stătătoare.
Începând din 1950, IIA a emis norme proprii de audit intern, diferite de cele ale auditului extern. În timp, acestea s-au generalizat și din 1970 au devenit standarde de audit intern, care sunt într-o permanentă mișcare datorită evoluției societății ce se confruntă mereu cu noi provocări.
Auditorii interni și managerul trebuie priviți ca parteneri și nu ca adversari, având aceleași obiective, printre care eficacitatea actului de management și atingerea țintelor propuse. Managerii trebuie să înțeleagă recomandările auditorilor, să perceapă ajutorul pe care îl primesc pentru stăpânirea riscurilor care apar și evoluează continuu.
Auditul intern este considerat ca fiind ultimul nivel al sistemului de control intern al entității. Auditorii interni izolați sunt ineficienți și de aceea ei trebuie să lucreze în echipă. Competențele profesionale ale auditorului intern produc adevărate beneficii pentru entitate, printr-o evaluare sistematică, pe baza standardelor de audit și a celor mai bune practici, a politicilor, procedurilor și operațiilor realizate de entitate.
Auditul intern prin activitățile pe care le desfășoară adaugă valoare atât prin evaluarea sistemului de control intern și prin analiza riscurilor asociate activităților audiabile, cât și prin recomandările cuprinse în raportul întocmit și transmise în scopul asigurării atingerii obiectivelor organizației. Auditul intern nu poate da un certificat că toate activitățile sunt protejate sau că nu există disfuncții, din singurul motiv important relativitatea controlului intern – care este obiectul său de activitate.
Auditorii interni evaluează sistemul de control intern al entității și dau o asigurare rezonabilă managementului general referitoare la funcționalitatea acestuia.
Auditul intern este o profesie care s-a redefinit mereu de-a lungul anilor, din dorința de a răspunde necesităților în continuă schimbare ale entităților. Axat, la început, pe probleme contabile, obiectivele auditului intern s-au deplasat spre depistarea principalelor riscuri ale entităților și evaluarea controlului intern al acestora.
Activitatea Compartimentului de Audit intern se află într-o relație de complementaritate cu Comitetul de audit, respectiv:
• auditul intern oferă Comitetului de audit o analiză imparțială și profesionistă asupra riscurilor organizației și contribuie la îmbunătățirea informării sale și a Consiliului de administrație, în ceea ce privește securitatea acesteia;
• Comitetul de audit garantează și consacră independența auditului intern.
În acest fel, cele două structuri contribuie la guvernarea eficientă a organizațiilor, dar în moduri de abordare diferite.
Profesia de audit intern se bazează pe un cadru de referință flexibil, recunoscut în întreaga lume, care se adaptează la particularitățile legislative și de reglementare ale fiecărei țări, cu respectarea regulilor specifice ce guvernează diferite sectoare de activitate și cultura organizației respective.
Cadrul de referință al auditului intern cuprinde:
conceptul de audit intern, care precizează câteva elemente indispensabile:
– auditul intern efectuează misiuni de asigurare și consiliere;
– domeniile sale de responsabilitate sunt riscul, controlul intern și administrarea entității;
– finalitatea auditului intern este aceea de a adăuga valoare organizațiilor;
codul deontologic, care furnizează auditorilor interni principiile și valorile ce le permit să-și orienteze practica profesională în funcție de contextul specific;
standardele profesionale pentru practica auditului intern, care ghidează auditorii în vederea îndeplinirii misiunilor și în gestionarea activităților specifice;
standardele de implementare practică care comentează și explică standardele și recomandă cele mai bune practici;
sprijinul pentru dezvoltarea profesională, constituit în principal din lucrări și articole de doctrină, din documente ale colocviilor, conferințelor și seminariilor.
1.3. Definirea conceptului de audit intern
Funcția de audit intern a cunoscut transformări succesive până la stabilizarea definirii conceptului. Aceste abordări progresive au scos în evidență o serie de elemente, care trebuie reținute pentru conturarea cadrului în care se înscrie auditul intern.
Din analiza evoluției funcției auditului intern, până în prezent, putem aprecia
următoarele elemente de implicare în viața entității auditate, și anume:
– consiliere acordată managerului;
– ajutorul acordat salariaților, fără a-i judeca;
– independența și obiectivitatea totală a auditorilor interni.
Consiliere acordată managerului
Auditul intern reprezintă o funcție de asistență a managerului, pentru a-i permite să-și administreze mai bine activitățile. Componenta de asistență, de consiliere atașată auditului intern, il distinge categoric de orice acțiune de control sau inspecție și este unanim recunoscută ca având tendințe de evoluție în continuare.
Profesionalismul auditorului intern este arta și maniera de a emite o judecată de valoare asupra instrumentelor și tehnicilor folosite, cum ar fi; reguli, proceduri, instrucțiuni, sisteme informatice, tipuri de organizare ș.a. care reprezintă ansamblul activităților de control utilizate de managerul instituției sau de responsabilul unui loc de muncă, recunoscut de specialiști drept control intern.
Rolul auditorului intern este acela de a asista managerul pentru abordările practice succesive deja elaborate și prin analiza ansamblului să contribuie la îmbunătățirea sistemului de control intern și a muncii cu mai multă securitate și eficacitate.
În consecință, se acceptă unanim că auditorul intern consiliază, asistă, recomandă, dar nu decide, obligația lui fiind de a reprezenta un mijloc care să contribuie la îmbunătățirea controlului pe care fiecare manager îl are asupra activităților sale și a celor în coordonare, în vederea atingerii obiectivelor controlului intern.
Pentru realizarea acestor atribuții auditorul intern dispune de o serie de atuuri fată de management, și anume:
– standarde profesionale internaționale;
– buna practică recunoscută în domeniu, care îi dă autoritate;
– tehnici și instrumente, care-i garantează eficacitatea;
– independența de spirit, care îi asigură autonomia să conceapă ipoteze și să formuleze recomandări;
– cercetarea și gândirea lui este detașată de constrângerile și obligațiile unei activități permanente de gestionare zilnică a unui serviciu.
Obiectivele auditului intern au în vedere un control asupra activităților, care să conducă la îmbunătățirea performanței existente și nu la judecarea acestuia, așa cum specialistul în fiscalitate ajută la o mai bună aplicare a regimului fiscal. Chiar dacă responsabilul este judecat în urma rapoartelor sale de audit, acesta nu este obiectivul auditului intern.
Realizările auditului intern nu trebuie puse în discuție de cel auditat, iar dacă totuși acest lucru este făcut, să se efectueze într-o manieră pozitivă. Spre exemplu, este cazul unei insuficiențe, nereguli importante descoperită de auditorul intern, care imediat o aduce la cunoștința managerului și pe care acesta o va soluționa fără întârziere. în acest caz, disfuncția semnalată prin raportul de audit intern a dus la o acțiune corectivă, care a avut ca rezultat și aprecierea auditorului ca un responsabil dinamic și eficace.
Responsabilitățile auditorului intern trebuie să aibă în vedere că adesea analiza cauzelor unei nereguli scoate la iveală existența unor puncte slabe care își au originea în insuficiențe asupra cărora responsabilul nu are un bun control. Cu această ocazie, se observă că soluțiile trebuie să vină pe cale ierarhică sau chiar de la nivelul organizației, dacă sunt probleme de dimensiune culturală, de formare profesională, de buget, de organizare, de natură informatică ș.a.
Această situație paradoxală, adesea întâlnită, îi stimulează logica celui auditat care constată că auditorul intern confirmă insuficiențele semnalate chiar de el. Din prezentarea de mai sus, rezultă că in aceasta constă consilierea concretă și fără echivoc acordată managerului de către auditorii interni.
Independența și obiectivitatea totală a auditorilor interni
Funcția de audit intern nu trebuie să suporte influențe și presiuni care ar putea fi contrare obiectivelor fixate. Standardele profesionale de audit intern definesc principiul independenței sub două aspecte:
– independența compartimentului în cadrul organizației, de aceea el trebuie să funcționeze subordonat celui mai înalt nivel ierarhic;
– independența auditorului intern, prin practicarea obiectivității, adică auditorii interni trebuie să fie independenți de activitățile pe care le auditează.
Independența auditorilor interni trebuie să aibă la bază eliminarea practicii de supraîncărcare a auditorilor cu lucrări care nu ar trebui săi revină lor. Spre exemplu: definirea de reguli și proceduri de lucru, exercitare, acțiunilor de evaluare și supervizare ale salariaților, chiar și temporar, participarea la elaborarea sistemelor informatice, activitatea de organizare, acțiuni de control financiar propriu-zis sau inspecții ș.a.
Fenomenul cel mai grav care rezultă de aici este că auditorii aflați în această situație nu mai pot audita domeniul respectiv, deoarece și-au pierdui independența și obiectivitatea. Dacă apar asemenea cazuri, mai ales la entități mici și mijlocii, când din motive structurale suntem obligați să încredințăm auditorilor asemenea acțiuni, se impune să evaluăm riscurile și consecințele inevitabile în timp.
Independența și obiectivitatea sunt abateri de la funcția de audit intern, care dăunează eficacității și rigorii muncii de audit.
Respectarea standardului privind independența presupune unele reguli:
• auditul intern nu trebuie să aibă în subordine vreun serviciu operațional;
• auditorul intern să poată avea acces în orice moment la persoanele de la toate nivelele ierarhice, la bunuri, la informații, la sistemele electronice de calcul;
• recomandările pe care le formulează să nu constituie în nici un caz măsuri obligatorii pentru management.
Organizarea funcției de audit intern în subordinea nivelului ierarhic cel mai înalt nu este suficientă; mai trebuie ca fiecare, în cadrul activității sale, să poată da dovadă de obiectivitate, acesta fiind de altfel unul din principiile fundamentale ale codului deontologic. A fi obiectiv înseamnă să realizezi o apreciere în totală neutralitate, înseamnă a nu avea idei preconcepute, ci o atitudine imparțială. De aceea, standardele profesionale consideră că obiectivitatea este afectată și atunci când auditorul auditează o entitate/activitate/program a cărei responsabilitate și-a asumat-o în cursul timpului.
Realizăm că idealul absolut nu va fi atins nici în audit, de aceea vorbim despre riscul de audit, un risc rezidual după trecerea auditorului intern. Obiectivitatea rămâne scopul care trebuie atins, fiecare având datoria să facă tot posibilul pentru a se apropia cât mai mult de acest deziderat. Independența și obiectivitatea este deseori controversată, mai ales de către auditorii interni care nu înțeleg această independență atunci când se află într-o structură ierarhică.
În realitate, independența auditorului intern este supusă unei duble limitări:
• auditorul intern, ca orice responsabil din organizație, trebuie să se conformeze strategiei și politicii Direcției generale;
• auditorul intern trebuie să fie independent în exercitarea funcției sale, dar respectând standardele de audit intern. Aceasta este o limitare deontologică, dar neînsoțită de sancțiune, și de aceea auditorul intern trebuie să-și impună în mod conștient respectarea standardelor profesionale.
Auditul intern este o activitate independentă și obiectivă, care dă unei organizații o asigurare în ceea ce privește gradul de control deținut asupra operațiunilor, o îndrumă pentru a-i îmbunătăți operațiunile, și contribuie la adăugarea unui plus de valoare. Auditul intern ajută această organizație să își atingă obiectivele, evaluând, printr-o abordare sistematică și metodică, procesele sale de management al riscurilor, de control și de conducere a întreprinderii, și făcând propuneri pentru a le consolida eficacitatea.
1.4. Caracteristicile auditului intern
Organizarea funcției de audit intern în cadrul entităților impune luarea în considerație a următoarelor caracteristici:
– universalitatea;
– independența;
– periodicitatea.
a) Universalitatea funcției de audit intern trebuie înțeleasă în raport de aria de aplicabilitate, scopul, rolul și profesionismul persoanelor implicate în realizarea acestei funcții.
Auditul intern există și funcționează în toate organizațiile, oricare ar fi domeniul de activitate al acestora.
Auditul intern cuprinde toate activitățile desfășurate în cadrul unei entități, de aici universalitatea funcției.
Normele internaționale de audit precizează ca auditorul intern nu trebuie să cunoască toate meseriile din lume. El nu poate să fie la fel de bun ca cel care face zilnic aceeași lucrare.
Auditorul intern trebuie să aibă o bună cunoaștere a mediului pe care îl auditează, să înțeleagă și să-și însușească cultura organizației.
b) Independenta auditului intern trebuie sa aibă o gândire neîncorsetată, fără idei preconcepute, ca de exemplu: "totul merge foarte bine sau totul merge foarte prost".
Auditorul intern este o activitate independentă, de asigurare a îndeplinirii obiectivelor și de consultanță, concepută în scopul de a adăuga valoare și de a îmbunătății activitățile unei organizații. În momentul în care managerul entității apelează la auditor, auditul intern devine o funcție responsabilă, caracterizată prin independență.
c) Periodicitatea auditului intern este o funcție permanentă în cadrul unei entități, dar și una periodică pentru cei auditați. Frecvența auditurilor va fi determinată de activitatea de evaluare a riscurilor.
Astfel, auditorii interni pot audita o entitate 8 – 12 săptămâni și apoi să revină după o perioada de 2-3 ani, în funcție de riscurile care apar.
Auditul intern este o funcție periodică deoarece se realizează conform unui plan și pe baza unor programe de activitate, comunicate și aprobate anticipat.
CAPITOLUL 2
CADRUL NORMATIV ȘI METODOLOGIE
2.1. Normele generale privind organizarea și funcționarea auditului public intern în baza prevederilor legii nr. 672/2003 din cadrul Senatului României
DISPOZIȚII GENERALE
Definirea auditului intern.
Auditul public intern reprezintă o ativitate independentă și obiectivă, care dă asigurări și consiliere conducerii pentru buna administrare a veniturilor și cheltuielilor publice, perfecționând activitățile entității publice. Ajută entitatea publică să-și îndeplinească obiectivele printr-o abordare sistematică și metodică, care evaluează și îmbunătățește eficiența și eficacitatea sistemului de conducere bazat pe gestiunea riscului, a controlului și a proceselor de administrare.
Tipuri de audit.
Legea privind auditul public intern definește următoarele tipuri de audit:
a). Auditul de sistem – reprezintă o evaluare de profunzime a sistemelor de conducere și control intern, cu scopul de a stabili dacă acestea funcționează economic, eficace și eficient pentru identificarea deficiențelor și formularea de recomandări pentru corectarea acestora;
b). Auditul performanței – examinază dacă criteriile stabilite pentru implementarea obiectivelor și sarcinilor entității publice sunt corecte pentru evaluarea rezultatelor și apreciază dacă rezultatele sunt conforme cu obiectivele;
c). Auditul de regularitate – reprezintă examinarea acțiunilor asupra efectelor financiare pe seama fondurilor publice sau a patrimoniului public, sub aspectul respectării ansamblului principiilor, regulilor procedurale și metodologice, care le sunt capabile.
STRUCTURILE DE AUDIT PUBLIC INTERN ÎN ROMÂNIA
3. Organizarea auditului public intern
În conformitate cu art. 4 din Legea privind auditul public intern, auditul public intern este organizat astfel:
a). UCAAPI – structură distinctă în cadrul Ministerului Finanțelor Publice, este în directa subordonare a ministrului finanțelor publice, având atribuții de coordonare, evaluare și sinteză în domeniul activității de audit public intern la nivel național, efectuează misiuni de audit public intern de interes național cu implicații multisectoriale și misiuni de audit public intern la entitățile publice centrale care derulează anual bugete mai mici de 5 milioane lei și nu au organizat compartiment de audit public intern; conducătorul UCAAPI este numit de ministrul finanțelor publice cu avizul Comitetului pentru audit public intern.
b). CAPI – Comitetul pentru audit public intern, organism cu caracter consultativ, este constituit din 11 membri, dintre care 10 specialiști din afara Ministerului Finanțelor Publice și directorul Unității Centrale de Armonizare pentru Auditul Public Intern, denumită în continuare UCAAPI; acesta acționează în vederea definirii strategiei și îmbunătățirii activității de audit intern în sectorul public;
c). Compartimentele de audit public intern din entitățile publice – structuri funcționale de bază în domeniul auditului public intern, care exercită efectiv funcția de audit public intern.
Organizarea auditului public intern la nivelul Senatului României
În baza Ordinului nr. 38/2003 al Ministerului Finanțelor s-au publicat în M.O. nr. 131 bis din 28.02.2003, Normele metodologice generale pentru organizarea și funcționarea auditului intern, iar în baza acestui cadru general s-au elaborat Normele Metodologice proprii ale Senatului României, ca ordonator principal de credite.
La nivelul Senatului României s-a organizat compartimentul de audit intern în baza Ordinului nr. 130/03.04.2000, emis de Secretarul General al Senatului României, în calitate de ordonator principal de credite (Anexa 28) .
În baza Hotărârii Biroului Permanent al Senatului României, compartimentul de audit public intern s-a transformat în biroul de audit public intern, iar în temeiul dispozițiilor O.G. nr. 72/2001, prin Hotărârea Biroului Permanent al Senatului României nr. 9/17.10.2001, și-a schimbat denumirea în biroul de audit public intern.
Biroul de audit public intern este în subordinea directă a Secretarului General al Senatului României, în calitate de ordonator principal de credite.
4. Atribuțiile Biroului Audit
În conformitate cu art. 11 din legea auditului public intern, atribuțiile biroului de audit sunt (Anexa 29):
a). elaborează norme metodologice specifice Senatului României, cu avizul UCAAPI;
b). elaborează proiectul planului de audit public intern;
c). efectuează activități de audit public intern pentru a evalua dacă sistemele de management financiar și control ale Senatului României sunt transparente și sunt conforme cu normele de legalitate, regularitate, economicitate, eficiență și eficacitate;
Biroul de audit public intern se exercită asupra tuturor activităților desfășurate în Senatul României, cu privire la utilizarea fondurilor publice, precum și la administrarea patrimoniului public.
Biroul de audit public intern auditează, cel puțin o dată la 3 ani, fără a se limita la acestea, următoarele:
angajamentele bugetare și legale din care derivă direct sau indirect obligatorii de plată, inclusiv din fonduri comunitare;
plățile asumate prin angajamente bugetare și legale, inclusiv din fondurile comunitare;
vânzarea, gajarea, concesionarea sau închirierea de bunuri din domeniul privat al statului sau al unităților administrativ teritoriale;
alocarea creditelor bugetare;
sistemul contabil și fiabilitatea acestuia;
sistemul de luare a deciziilor;
sistemele de conducere și control, precum și riscurile asociate unor astfel de sisteme;
sistemele informatice.
d). Informează UCAAPI despre recomandările neînsușite de către Secretarul general al Senatului României, precum și despre consecințele acestora;
Biroul de audit public intern transmite , sinteze ale recomandărilor neînsușite de către Secretarul General al Senatului României și consecințele neimplementării acestora, însoțite de documentația relevantă, în termen de 10 zile de la încheierea trimestrului;
e). Raportează periodic asupra constatărilor, concluziilor și recomandărilor rezultate din activitățile sale de audit;
Biroul de audit public intern transmite , la solicitarea acestora, rapoarte periodice privind constatările, concluziile și recomandările rezultate din activitatea lor de audit intern.
f). Elaborează raportul anual al activității de audit public intern
Raportul anual al activității de audit public intern cuprinde următoarele informații minimale: constatări, recomandări și concluzii rezultate din activitatea de audit public intern, progresele înregistrate prin implementarea recomandărilor, iregularități sau posibile prejudicii constatate în timpul misiunilor de audit public intern, precum și informații referitoare la pregătirea profesională.
Rapoartele anuale privind activitatea de audit public intern se transmit , până la data de 25 ianuarie.
g). În cazul identificării unor iregularități sau posibile prejudicii, raportează imediat Secretarului General al Senatului României și structurii de control intern abilitate.
În situația în care în timpul misiunilor de audit public intern se constată abateri de la regulile procedurale și metodologice, respectiv de la prevederile legale, aplicabile structurii, activității sau operațiunii auditate, auditorii interni trebuie să înștiințeze pe Secretarul Generl în termen de 3 zile.
Cazurile de identificare a iregularități sau posibile prejudicii identificate se cuprind în raportările periodice și anuale.
În cazul indentificării unor iregularități majore auditorul intern poate continua misiunea sau poate să o suspende cu acordul Secretarului General al Senatlui României, dacă din rezultatele preliminare ale verificării se estimează că prin continuarea acesteia nu se ating obiectivele sabilite (limitarea accesului, informații suficiente, etc.).
C. Normele aplicabile Biroului audit și auditorilor interni
5. Norme de calificare
– Carta auditului intern și Codul privind conduita etică a auditorului intern
Carta auditorului intern definește obiectivele, drepturile și obligațiile auditului intern și este elaborată de către șeful biroului audit și aprobat de Secretarul General al Senatului României.
Carta auditului intern informează despre obiectivele și metodele de audit, clarifică misiunea de audit, fixează regulile de lucru între auditor și auditat și promovează regulile de conduită.
Codul privind conduita etică a auditorului intern carecprezintă un ansamblu de principii și reguli de conduită care trebuie să guverneze activitatea auditorilor interni. Scopul Codului privind conduita etică a auditorului este de a promova cultura etică în viziunea globală a profesiei de auditor intern. Codul privind conduita etică a auditorului intern cuprinde regulile pe care auditorii interni trebuie să le respecte în exercitarea atribuțiilor.
– Independență și obiectivitate
Independența organizatorică.
Biroul de audit public intern funcționează în subordinea directă a Secretarului General al Senatului României, exercitând o funcție distinctă și independentă de activitățile Senatului României. Prin atribuțiile sale, biroul audit nu trebuie să fie implicat în elaborarea procedurilor de control intern.
Activitatea de audit public intern nu trebuie să fie supusă ingerințelor externe începând de la stabilirea obiectivelor de audit, realizarea efectivă a lucrărilor specifice misiunii și până la comunicarea rezultatelor acesteia.
– Numire, destituirea șeful biroului de audit public intern
Șeful biroului de audit public intern este numit, destituit de către Secretarul General al Senatului României, cu avizul UCAAPI astfel:
A). Numirea șefului biroului de audit public intern din Senatul României se face numai cu avizul prealabil al UCAAPI, în conformitate cu procedura stabilită de aceasta, astfel:
Candidații pentru funcția de șef al biroului de audit public intern depun următoarele documente: curriculum vitae; minim 2 scrisori de recomandare; o lucrare de concepție privind organizarea și exercitatea auditului public intern în Senatul României; o declarație privind respectarea prevederilor art. 20,alin.(1) din Legea nr. 672/2002, referitoare la incompatibilitățile auditorilor interni;
Avizarea candidaților se face în termen de 10 zile de la data depunerii documentelor, prin analizarea acestora și prin consultări directe;
După obținerea avizului favorabil, numirea șefului birolului de audit public intern se face de Secretarul General al Senatului României, în conformitate cu prevederile legale referitoare la organizarea și desfășurarea concursurilor pentru ocuparea acestei funcții;
În cazul în care avizul este nefavorabil, candidatul respectiv nu poate participa la concursul organizat pentru ocuparea acestei funcții.
B). Destituirea șefului biroului de audit public intern, din cadrul Senatului României se face numai cu avizul prealabil al UCAAPI, în conformitate cu procedura stabilită de aceasta, astfel:
Pentru destituirea șefului biroului de audit public intern , Secretarul General al Senatului României comunică UCAAPI despre intenția de destituire, precum și despre motivele destituirii;
UCAAPI analizează motivele, efectuează investigații, are consultări directe cu șeful biroului de audit public intern care este propus pentru destituire, după caz, și în termen de 10 zile prezintă în scris avizul favorabil sau nefavorabil privind destituirea;
În cazul obținerii unui aviz favorabil destituirii, Secretarului General al Senatului României procedează în conformitate cu prevederile legale;
În cazul obținerii unui aviz nefavorabil, destituirea nu este posibilă
– Numirea, revocarea auditorilor interni
Numirea și revocarea auditorilor interni se face de Secretarul General al Senatului României în concordanță cu regulamentul propriu de funcționare a senatului României.
– Pierderea independenței și obiectivității auditorilor interni
Persoanele care sunt soți, rude sau afini până la gradul al patrulea inclusiv, cu Secretarul General al Senatului României, nu pot fi auditori interni în cadrul Senatului României.
Auditorii interni nu pot fi desemnați să efectueze misiuni de audit public intern la o structură daca sunt soți, rude sau afini până la gradul al patrulea inclusiv, cu conducătorul acesteia sau cu cel care coordonează activitatea.
Auditorii interni nu trebuie implicați în vreun fel în îndeplinirea activităților pe care în mod potențial le pot audita și nici în elaborarea și implementarea sistemelor de control intern ale Senatului României.
Auditorii interni care au responsabilități în derularea programelor finanțate integral sau parțial de Uniunea Europeană, nu trebuie implicați în auditarea acestor programe.
Auditoriilor interni nu trebuie să li se încredințeze misiuni de audit public intern în sectoarele de activitate în care aceștia au deținut funcții sau au fost implicați în alt mod. Această interdicție se poate ridica după trecerea unei perioade de 3 ani.
Auditorii interni care se găsesc într-una din situațiile prevăzute mai sus, au obligația de a informa de îndată în scris, pe Secretarul General și șeful biroului de audit.
– Competența și conștiința profesională
Pregătirea și experiența auditorilor interni constituie un element esențial în atingerea eficacității activității de audit.
Auditorii interni trebuie să posede cunoștințe, îndemânare și alte competențe necesare pentru a-și exercita atribuțiile și responsabilitățile individuale, mai ales:
competența în vederea aplicării normelor, procedurilor și tehnicilor de audit;
competența în ceea ce privește principiile și tehnicile contabile;
cunoașterea principiilor de bază în economie, în domeniul juridic și în domeniul tehnologiilor informatice;
cunoștințe suficiente pentru a identifica elementele de iregularitate, de a detecta și a preveni fraudele, nefiind în sarcina auditorilor interni investigarea acestora;
capacitatea de a comunica oral și în scris, de a putea expune clar și eficient obiectivele, constatările și recomandările fiecărei misiuni de audit public intern.
Biroul de audit public intern trebuie să dispună în mod colectiv de toată competența și experiența necesară în realizarea misiunilor de audit public intern.
Indiferent de natura lor, misiunile de audit public intern vor fi încredințate acelor persoane cu o pregătire și experiență corespunzătoare nivelului de complexitate al sarcinii.
Biroul de audit public intern trebuie să dispună de metodologii și sisteme IT moderne, de metode de analiză analitică, eșantioane statistice și instrumente de control a sistemelor informatice.
Șeful Biroul de audit public intern trebuie să se asigure că pentru fiecare misiune de audit public intern, auditorii desemnați posedă cunoștințele, îndemânarea și competențele necesare pentru desfășurarea corectă a fiecărei misiunii.
– Conștiința profesională
Auditorii interni trebuie să depună toate eforturile în exercitarea atribuțiilor și să ia în considerare următoarele elemente:
perioada de lucru necesară pentru atingerea obiectivelor misiunii de audit public intern;
complexitatea și importanța domeniilor auditate;
pertinența și eficacitatea procesului de management al riscurilor și de control intern;
probabilitatea existenței erorilor, iregularităților, disfuncționalităților sau a fraudei;
costurile implementării unor activități de control suplimentare în raport cu avantajele preconizate.
– Pregătirea profesională continuă
Auditorii interni trebuie să își îmbunătățească cunoștințele și practica profesională printr-o pregătire continuă.
Șeful Biroul de audit public intern și conducerea Secretarul General al Senatului României, vor asigura condițiile necesare perfecționării profesionale, perioada destinată acestui scop prin lege fiind de minimum 15 zile pe an .
– Programul de asigurare și îmbunătățire a calității
Șeful Biroul de audit public intern trebuie să elaboreze un program de asigurare și îmbunătățire a aclității sub toate aspectele activității de audit public intern. Programul trebuie să asigure că normele, instrucțiunile și codul etic sunt respectate de auditorii interni.
– Evaluarea programului de calitate
Auditul public intern necesită adoptarea unui proces permanent de supraveghere și evaluare a eficacității globale a programului de calitate. Acest proces trebuie să permită evaluări interne și externe.
Evaluarea internă
Evaluarea internă presupune efectuarea de controale permanente, prin care șeful biroului audit examinează eficacitatea normelor de audit public intern pentru a verifica dacă procedurile de asigurare a calității misiunilor de audit intern sunt aplicate în mod satisfăcător, garantând calitatea rapoartelor de audit public intern. În acest cadru supervizarea realizării misiunilor de audit public intern vă permite depistarea deficiențelor, inițierea îmbunătățirilor necesare unei derulări corespunzătoare a viitoarelor misiuni de audit public intern și planificarea activităților de perfecționare profesională.
Evaluarea externă
Evaluarea externă este efectuată de către UCAAPI prin:
Verificarea respectării normelor, instrucțiunilor și a Codului privind conduita etică a auditorului intern, cel puțin o dată la 5 ani, inițiindu-se măsurile corective necesare în colaborare cu Secretarul General al Senatului României;
Avizarea numirii/destituirii șefului Biroul de audit public intern.
6. Planificarea activității de audit public intern bazată pe analiza riscurilor.
Elaborarea planului de audit public intern.
Planul de audit public intern se întocmește anual de către Biroul de audit public intern (Anexa 31). Selectarea misiunilor de audit public intern se face în funcție de următoarele elemente fundamentare:
a). Evaluare ariscului asociat diferitelor structuri, activități, programe/proiecte sau operațiuni;
b). Criteriile semnal/sugestiile Secretarului General, respectiv: deficiențe constatate anterior în rapoartele de audit; deficiențe constatate în procesele-verbale încheiate în urma inspecțiilor; deficiențe consemnate în rapoartele Curții de Conturi; alte informații și indicii referitoare la disfuncționalități sau abateri; aprecieri ale unor specialiști, experți etc. cu privire la structura și dinamica unor riscuri interne sau de sistem; analiza unor trenduri pe termen lung privind unele aspecte ale funcționării sistemului; evaluarea impactului unor modificări petrecute în mediul în care evoluează sistemul auditat;
c). Temele defalcate din planul anual al UCAAPI. Secretarul General este obligat să ia toate măsurile organizatorice pentru ca tematicile ordonate de UCAAPI să fie introduse în planul anual de audit public intern al Senatului României, realizate în bune condiții și rapoarte în temeiul fixat;
d). Respectarea periodicității în auditare, cel puțin o dată la 3 ani;
e). Recomandările Curții de Conturi.
Proiectul planului anual de audit public intern este întocmit până la data de 30 noiembrie a anului precedent anului pentru care se elaborează.
Secterarul General al Senatului României aprobă proiectul planului anual de audit public intern până la 20 decembrie a anului precedent.
Planul anual de audit public intern reprezintă un document oficial. El este păstrat în arhiva Senatului României împreună cu referatul de justificare în conformitate cu prevederile Legii Arhivelor Naționale.
Referatul de justificare
Proiectul planului anual de audit public intern este însoțit de un referat de justificare a modului în care sunt selectate misiunile de audit cuprinse în plan.
Referatul de justificare trebuie să cuprindă pentru fiecare misiune de audit public intern, rezultatele analizei riscului asociat (anexa la referatul de justificare), criteriile semnal și alte elemente de fundamentare, care au fost avute în vedere la selectarea misiunii respective.
Structura planului de audit intern
Planul anual de audit intern are următoarea structură:
– Scopul acțiunii de auditare;
– Obiectivele acțiunii de auditare;
– Identificarea/descrierea activității/operațiunii supuse auditului public intern;
– Identificarea/descrierea entității/antităților sau a structurilor organizatorice la care se va desfășura acțiunea de auditare;
– Durata acțiunii de auditare;
– Perioada supusă auditării,
– Numărul de auditori proprii antrenați în acțiunea de auditare;
Actualizarea planului de audit public intern
Actualizarea planului de audit public intern se face în funcție de:
– Modificările legislative sau organizatorice, care schimbă gradul de semnificație a auditării anumitor operațiuni, activități sau acțiuni ale sistemului;
– Solicitările UCAAPI de a introduce/înlocui/elimina unele misiuni din planul de audit intern.
Actualizarea planului de audit public intern se realizează prin întocmirea unui referat de modificare a planului de audit public intern, aprobat de Secretarul General al Senatului României.
Gestiunea resurselor umane
Biroul audit este responsabil pentru organizarea și desfășurarea activităților de audit public intern și trebuie să asigure resursele necesare îndeplinirii planului de audit public intern în mod eficient.
Biroul audit elaborează norme specifice Senatului României, cu avizul UCAAPI.
Raportul de audit public intern finalizat, împreună cu rezultatele concilierii, este transmis Secretarului General care a aprobat misiunea, pentru analiză și avizare .
Biroul de audit public intern asigură:
a). raportarea periodică asupra constatărilor, concluziilor și recomandărilor rezultate din activitățile sale de audit;
b). elaborarea raportului anual al activității de audit public intern;
c). în cazul identificării unor iregularități sau posibile prejudicii, se raportează imediat Secretarului General și structurii de control intern abilitate;
d). informarea UCAAPI despre recomandările neînsușite de către Secretarul General, precum și despre consecințele acestora;
e). verificarea și raportarea asupra progreselor înregistrate în implementarea recomandărilor.
Obiectivele aferente unei activități de audit public intern
Evaluarea managementului riscurilor
Auditul public intern trebuie să sprijine pe Secretarul General în identificarea și evaluarea riscurilor semnificative contribuind la îmbunătățirea sistemelor de management al riscurilor. Auditul public intern trebuie să supravegheze și să evalueze eficacitatea acestui sistem.
Auditul public intern trebuie să evalueze riscurile aferente operațiilor și sistemelor informatice ale Senatului României, privind:
fiabilitatea și integritatea informațiilor financiare și operaționale;
eficacitatea și eficiența operațiilor;
protejarea patrimoniului;
respectarea legilor, reglementărilor și contractelor.
În cursul misiunilor, auditorii interni vor identifica toate riscurile, inclusiv cele care exced perimetrul misiunii, în cazul în care acestea sunt semnificative.
Evaluarea sistemelor de control
Auditul public intern ajută pe Secretarul General să mențină un sistem de control adecvat prin evaluarea eficacității și eficienței acestuia, contribuind la îmbunătățirea lui continuă.
Evaluarea pertinenței și eficacității sistemului de control intern se va face pe baza rezultatelor evaluării riscurilor și va viza operațiile și sistemele informatice ale Senatului României din următoarele puncte de vedere:
fiabilității și integrității informațiilor financiare și operaționale;
eficacității și eficienței operațiilor;
protejării patrimoniului;
respectării legilor, reglementărilor și procedurilor
În cursul misiunilor, auditorului intern trebuie să examineze procedurile de control intern în acordul cu obiectivele misiunii în vederea identificării tuturor deficiențelor semnificative ale acestora.
Auditorii interni trebuie să analizeze operațiile și activitățile și să determine măsura în care rezultatele corespund obiectivelor stabilite și dacă operațiile/activitățole sunt aplicate sau realizate conform prevederilor.
Pentru evaluarea sistemului de control sunt necesare utilizarea unor criterii adecvate. Auditorii interni trebuie să determine măsura în care Secretarul General al Senatului României a definit criterii adecvate de apreciere și dacă obiectivele au fost realizate. Dacă aceste criterii sunt adecvate, acestea pot fi utilizate și de auditorii interni în evaluarea sistemului de control intern.
Dacă acestea sunt inadecvate, auditorii interni trebuie, împreună cu Secretarul General, să elaboreze în mod corespunzător aceste criterii .
7. Schema generală privind misiunea de audit public intern
Graficul prezentat mai jos oferă o viziune globală asupra procesului de audit public intern.
DERULAREA MISIUNII DE AUDIT PUBLIC INTERN
Tabel nr. 1. Derularea misiunii de audit public intern
Sursa : Norme metodologice privind organizarea și funcționarea auditului intern în baza prevederilor Legii nr. 672/2002 privind auditul intern , avizate de Ministerul Finanțelor Publice, 2004
8. Pregătire misiunii de audit public intern
Ordinul de serviciu.
Ordinul de serviciu se întocmește de șeful Biroul de audit public intern, pe baza planului anual de audit public intern aprobat de către Secretarul General al Senatului României. Ordinul de serviciu reprezintă mandatul de intervenție dat de către Biroul de audit public intern.
Ordinul de serviciu repartizează sarcinile de serviciu auditorilor interni, astfel încât aceștia să poată demara misiunea de audit.
Declarația de independență
Independența auditorilor interni selectați pentru realizarea unei misiuni de audit public intern, trebuie declarată. În acest sens fiecare auditor intern trebuie să întocmească o declarație de independență.
Notificarea privind declanșarea misiunii de audit
Biroul de audit public intern notifică entitatea/structura auditată cu 15 zile înainte de declanșarea misiunii de audit public intern, despre scopul, principalele obiective, durata acesteia, precum și despre faptul că pe parcursul misiunii vor avea loc intervenții la fața locului al căror program va fi stabilit ulterior, de comun acord .
Colectarea și prelucrarea informațiilor
Colectarea informațiilor
În acestă etapă auditorii interni solicită și colectează informații cu caracter general despre structura auditată. Aceste informații trebuie să fie pertinente și utile pentru a atinge următoarele scopuri:
a). identificarea principalelor elemente ale contextului instituțional și socio-economic în care structura auditată își desfășoară activitatea;
b). cunoașterea organizării structurii auditate, a tehnicilor sale de lucru și a diferitelor nivele de administrare, conform organigramei;
c). identificarea punctelor cheie ale funcționării structurii auditate și ale sistemelor sale de control, pentru o evaluare prealabilă a punctelor tari și slabe;
d). identificarea și evaluarea riscurilor cu incidență semnificativă;
e). identificarea informațiilor probante necesare pentru atingerea obiectivelor controlului și selecționării tehnicilor de investigare adecvate.
Prelucrarea informațiilor.
Prelucrarea informațiilor constă în:
a). analiza structuii auditate și activității sale (organigrama, regulamente de funcționare, fișe ale posturilor, circuitul documentelor);
b). analiza cadrului normativ ce reglementează activitatea structurii auditate,
c). analiza factorilor susceptibili de a împiedica buna desfășurare a misiunii de audit public intern;
d). analiza rezultatelor controalelor precedente;
e). analiza informațiilor externe referitoare la structura auditată.
Identificarea obiectelor auditabile
Obiectul auditabil.
Obiectul auditabil reprezintă activitatea elementară a domeniului auditat, ale cărei caracteristici pot fi definite teoretic și comparate cu realitatea practică .
Etapele identificării obiectelor auditabile
Identificarea obiectelor auditabile se realizează în 3 etape:
a). detalierea fiecărei activități în operații succesive descriind procesul de la realizarea acestei activități până la înregistrarea ei (circuitul auditului);
b). definirea pentru fiecare operațiune în parte a condițiilor pe care trebuie să le îndeplinească din punct de vedere al controalelor specifice și al riscurilor aferente (ce trebuie să fie evitate);
c). determinarea modalităților de funcționare necesare pentru ca structura să atingă obiectivul și să elimine riscul.
Lista centralizatoare a obiectelor auditabile
Lista centralizatoare a obiectelor audirtabile, definite sub aspectele caracteristicilor specifice și ale riscurilor asociate, constituie suportul analizei riscurilor.
Analiza riscurilor
Definirea riscurilor
Riscul reprezintă orice eveniment, acțiune, situație sau comportament cu impact nefavorabil asupra capacității Senatului României de a realiza obiective.
Categorii de riscuri
Categorii de riscuri:
a). Riscuri de organizare (ne formalizarea procedurilor): lipsa unor responsabilități precise; insuficienta organizare a resurselor umane; documentația insuficientă, neactualizată;
b). Riscuri operaționale: neînregistrarea în evidențele contabile; arhivare necorespunzătoare a documentelor justificative; lipsa unui control asupra operațiilor cu risc ridicat;
c). Riscuri financiare: plăți nesecurizate, nedetectarea operațiilor cu risc financiar;
d). Riscuri generate de schimbările legislative, structurale, manageriale etc.
Componentele riscului
Componentele riscului sunt:
probabilitatea de apariție;
nivelul impactului, respectiv gravitatea consecințelor și durata acestora.
Scopul analizei riscurilor
Analiza riscului reprezintă o etapă majoră în procesul de audit public intern, care are drept scopuri:
a). să identifice pericolele din structura auditată;
b). să identifice dacă contoalele interne sau procedurile structurii auditate pot preveni, elimina sau minimiza pericolele;
c). să evalueze structura/evoluția contolului intern al structurii auditate;
Fazele analizei riscurilor
Fazele analizei riscurilor sunt următoarele:
a). analiza activității structurii auditate;
b). identificarea și evaluarea riscurilor inerente, respectiv a riscurilor, de eroare semnificativă a activităților structurii auditate, cu incidență asupra operațiilor financiare;
c). verificarea existenței controalelor interne, a procedurilor de control intern, precum și evaluarea acestora;
d). evaluarea punctelor slabe, cuantificarea și împărțirea lor pe clase de risc.
Auditorii interni trebuie să integreze în procesul de identificare și evaluare a riscurilor semnificative și pe cele depistate în cursul altor misiuni.
Măsurarea riscurilor
Măsurarea riscurilor depinde de probabilitatea de apariție a riscului și de gravitatea consecințelor evenimentului. Pentru realizarea măsurării riscurilor se utilizează drept instrumente de măsurare, criteriile de apreciere.
* Măsurarea probabilității
Criteriile utilizate pentru măsurarea probabilității de apariție riscului sunt:
a). aprecierea vulnerabilității entității;
b). aprecierea controlului intern.
Probabilitatea de apariție a riscului variază de la imposibilitate la certitudine și este exprimată pe o scră de valori pe trei nivele:
probabilitate mică;
probabilitate medie;
probabilitate mare.
a). Aprecierea vulnerabilității entității
Pentru a efectua aprecierea, auditorul va examina toți factorii cu incidență asupra vulnerabilității domeniului auditabil, cum ar fi:
resursele umane;
complexitatea prelucrării operațiilor;
mijloacele tehnice existente.
Vulnerabilitatea se exprimă pe trei nivele:
vulnerabilitate redusă;
vulnerabilitate medie;
vulneravilitate mare.
b). Aprecierea controlului intern
Aprecierea controlului intern se face pe baza unei analize a calității controlului intern al entității, pe trei nivele:
control intern corespunzător;
control intern insuficient;
control intern cu lipsuri grave.
* Măsurarea gravității consecințelor evenimentului (nivelul impactului).
Nivelul impactului reprezintă efectele riscului în cazul producerii sale și se poate exprima pe o scară valorică de la trei nivele:
impact scăzut;
impact moderat;
impact ridicat.
Metoda – model de analiză a riscurilor
Prezentele norme metodologice exemplifică efectuarea analizei riscurilor prin parcurgerea următorilor pași:
a). identificarea (listarea operațiilor/activităților auditabile, respectiv a obiectelor auditabile. În acestă fază se analizează și se identifică activitățile/operațiile precum și interdependențele existente între acestea, fixându-se perimetrul de analiză;
b). identificarea amenințărilor, riscurilor inerente imposibile, asociate acestor operațiuni/activități, prin determinarea impactului financiar al acestora;
c). stabilirea criteriilor de analiză a riscului. Recomandăm utilizarea criteriilor: aprecierea controlului intern, aprecierea cantitativă și aprecierea calitativă;
d). stabilirea nivelului riscului pentru fiecare criteriu, prin utilizarea unei scări de valori pe trei nivele;
e). stabilirea punctajului total al criteriului utilizat (T). Se atribuie un factor de greutate și un nivel de risc fiecărui criteriu. Produsul acestor doi factori dă punctajul pentru criteriul respectiv iar suma punctajelor pentru o anumită operație/activitate auditabilă conduce la determinarea punctajului total al riscului operație/activității respective. Punctajul total al riscului se obține utilizând formulele:
n
T= Σ Pi x Ni
i = 1
Unde:
Pi= ponderea riscului pentru fiecare criteriu;
Ni= nivelul riscurilor pentru fiecare criteriu utilizat;
sau
T = N1 x N2x…..x Ni, unde
N = nivelul riscurilor pentru fiecare criteriu utilizat.
f). clasarea riscurilor, pe baza punctajelor totale obținute anterior, în: risc mic, risc mediu, risc mare;
g). ierarhizarea/operațiunilor activitățiilor ce urmează a fi auditate, respectiv elaborarea tabelului puncte tari și puncte slabe. Tabelul punctelor tari și punctelor slabe orezintă sintetic rezultatul evaluării fiecărei activități/operațiuni/teme analizate și permite ierarhizarea riscurilor în scopul orientării activității de audit public intern respectiv stabilirea tematecii în detaliu.
Elaborarea tematicii în detaliu a misiunii de audit public intern.
Tematica în detaliu cuprinde totalitatea domeniilor/obiectelor de auditat selectate (obiectivele de îndeplinit), este semnată de șeful biroului de audit public intern și adusă la cunoștința principalilor responsabili ai structurii auditate în cadrul ședinței de deschidere.
Programul de audit public intern.
Programul de audit public intern este un document intern de lucru al biroului de audit public intern, care se întocmește în baza tematicii detaliate. Cuprinde pe fiecare obiectiv din tematica detaliată acțiunile concrete de efectuat necesare atingerii obiectivului, precum și repartizarea acestora pe fiecare auditor intern.
Programul de audit public intern are drept scopuri:
a). asigură șeful biroului de audit public intern că au fost luate în considerare toate aspectele referitoare la obiectivele misiunii de audit public intern;
b). asigură repartizarea sarcinilor și planificarea activităților, de către supervizor.
Programul preliminar al intervențiilor la fața locului
Programul preliminar al intervențiilor la fața locului se întocmește în baza programului de audit public intern și reprezintă în mod detaliat lucrările pe care auditorii interni își propun să le efectueze, respectiv studiile, cuantificările, testele, validarea acestora cu materiale probante și perioadele în care se realizează aceste verificări la fața locului.
Deschiderea intervenției la fața locului
Ședința de deschidere
Ședința de deschidere a intervenției la fața locului se derulează la unitatea auditată, cu participarea auditorilor interni și a personalului entității/structurii auditate.
Ordinea de zi a ședinței de deschidere trebuie să cuprindă:
a). prezentarea auditorilor interni;
b). prezentarea obiectivelor misiunii de audit public intern;
c). stabilirea termenelor de raportare a stadiului verificărilor;
d). prezentarea tematicii în detaliu;
e). acceptarea calendarului întâlnirilor,
f). asigurarea condițiilor materiale necesare derulării misiunii de audit public intern.
Entitatea auditată poate solicita amânarea misiunii de audit, în cazuri justificate (interese speciale, lipsa de timp, alte circumstanțe). Amânarea trebuie discutată cu biroul de audit public intern și notificată al Senatului.
Minuta ședinței de deschidere
Data ședinței de deschidere, participanții, aspectele importante discutate trebuie consemnate în minuta ședinței de deschidere.
Notificarea privind realizarea intervențiilor la fața locului
Biroul de audit public intern trebuie să notifice structura auditată despre programul verificărilor la fața locului, inclusiv perioadele de desfășurare. Odată cu această notificare trebuie să se transmită și Cartea auditului intern.
9. Intervenția la fața locului (munca de teren)
Definire și etape
Intervenția la fața locului constă în colectarea documentelor, analiza și evaluarea acestora.
Intervenția la fața locului cuprinde următoarele etape:
a). cunoașterea activității/sistemului/procesului supus verificării și studierea procedurilor aferente;
b). intervievarea personalului auditat;
c). verificarea înregistrărilor contabile;
d). analiza datelor și informațiilor;
e). evaluarea eficienței și eficacității controalelor interne;
f). realizarea de testări;
g). verificarea modului de realizare a corectării acțiunilor menționate în auditările precedente (verificarea realizării corectării).
Tehnici și instrumente de audit intern.
Principalele tehnici de audit intern
Verificarea – asigură validarea, confirmarea, acuratețea înregistrărilor, documentelor, declarațiilor, concordanța cu legile și regulamentele, precum și eficacitatea controalelor interne.
Tehnicile de verificare sunt:
a). Comparația: confirmă identitatea unei informații după obținerea acesteia din două sau mai multe surse diferite;
b). Examinarea: presupune urmărirea în special a detectării erorilor sau a iregularităților;
c). Recalcularea: verificarea calculelor matematice;
d). Confirmarea: solicitarea informației din două sau mai multe surse independente (a treia parte) în scopul de a validării acesteia;
e). Punerea de acord: procesul de potrivire a două categorii diferite de înregistrări;
f). Garantarea: verificarea realității tranzacțiilor înregistrate prin examinarea documentelor, de la articolul înregistrat spre documentele justificative;
g). Urmărirea: reprezintă verificarea procedurilor de la documentele justificative spre articolul înregistrat. Scopul urmăririi este de a verifica dacă toate tranzacțiile reale au fost înregistrate.
Observarea fizică reprezintă modul prin care auditorii interni își formează o părere proprie.
Interviul se realizează de către auditorii interni prin intervievarea persoanelor auditate/implicate/interesate. Informațiile primite trebuie confirmate cu documente.
Analiza constă în descompunerea unei entități în elementele, care pot fi izolate, identificate, cuantificate și măsurate distinct.
Principalele instrumente de audit intern.
Chestionarul cuprinde întrebările pe care le formulează auditorii interni.
Tipurile de chestionare sunt:
a). chestionarul de luare la cunoștință (CLC) – cuprinde întrebări referitoare la contextul socio-economic, organizare internă, funcționarea entității/structurii auditate;
b). chestionarul de control intern (CCI) – ghidează auditorii interni în activitatea de identificare obiectivă a disfuncțiilor și cauzelor reale ale acestor disfuncții;
c). chestionarul-lista de verificare (CLV) – este utilizat pentru stabilirea condițiilor pe care trebuie să le îndeplinească fiecare domeniu auditabil. Cuprinde un set de întrebări standard privind obiectivele definite, responsabilitățile și metodele mijloacele financiare, tehnice și de informare, resursele umane existente.
Tabloul de prezentare a circuitului auditului (pista de audit), care permite:
– stabilirea fluxurilor informațiilor, atribuțiilor și responsabilităților referitoare la acestea;
– stabilirea documentației justificative complete;
– reconstituirea operațiunilor de la suma totală până la detalii individuale și invers.
Formularele constatărilor de audit public intern – se utilizează pentru prezentarea fundamentată a constatărilor auditului public intern.
a). Fișa de identificare și analiza problemei (FIAP) – se întocmește pentru fiecare disfuncționalitate constatată. Prezintă rezumatul acesteia, cauzele și consecințele, precum și recomandările pentru rezolvare. FIAP trebuie să fie aprobată de către coordonatorul misiunii, confirmată de reprezentanții structurii auditate și supervizată de șeful biroului de audit (sau de către înlocuitorul acestuia).
b). Formularul de constatare și raportare a iregularităților – se întocmește în cazul în care auditorii interni constată existența sau posibilitatea producerii unor iregularități. Se transmite imediat șefului biroului de audit public intern, care va informa în termen de 3 zile pe Secretarul General al Senatului României și structura de control abilitată pentru continuarea verificărilor.
Dosarele de audit public intern.
Dosarele de audit public intern – prin informațiile conținute asigură legătura între sarcina d audit, intervenția la fața locului și raportul de audit public intern.
Dosarele stau la baza formulării concluziilor auditorilor interni.
Tipuri de dosare de audit public intern:
a). Dosarul permanent – cuprinde următoarele secțiuni:
Secțiunea A – Raportul de audit public intern și anexele acestuia:
ordinul de serviciu;
declarația de independență;
rapoarte (intermediar, final, sinteza recomandărilor (Anexa 30);
fișele de identificare și analiza problemelor (FIAP);
formularele de constatare a iregularităților;
programul de audit;
Secțiunea B – Administrativă
notificarea privind declanșarea misiunii de audit public intern;
minuta ședinței de dechidere;
minuta reuniunii de conciliere;
minuta ședinței de închidere;
corespondență cu entitatea/structura auditată.
Secțiunea C – Documentația misiunii de audit public intern.
strategii interne;
reguli, regulamente și legi aplicabile;
proceduri de lucru;
materiale despre entitatea/structura auditată (îndatoriri, responsabilități, număr de angajați, fișele posturilor, graficul organizației, natura și locația înregistrărilor contabile);
informații financiare;
rapoarte de audit public intern anterioare și externe;
informații privind posturile cheie/fluxuri de operații,
documentația anlizei riscului.
Secțiunea D – Supervizarea și revizuirea desfășurării misiunii de audit public intern și a rezultatelor acesteia:
revizuirea raportului de audit public intern;
răspunsurile auditorilor interni la revizuirea raportului de audit public intern.
b). Dosarul documentelor de lucru – cuprinde copii xerox a documentelor justificative, extrase din acestea, care trebuie să confirme și să sprijine concluziile auditorilor interni. Dosarul este indexat prin atribuirea de litere și cifre (E,F,G,…) pentru fiecare secțiune/obiectiv de audit din cadrul Programul de audit. Indexarea trebuie să fie simplăși ușor de urmărit.
Revizuirea
Revizuirea se efectuează de către auditorii interni, înainte de întocmirea proiectului Raportului de audit public intern, pentru a se asigura ca documentele de lucru sunt pregătite în mod corespunzător.
Păstrarea și arhivarea dosarelor de audit public intern
Dosarele de audit public intern sunt proprietatea Senatului României și sunt confidențiale. Ele trebuie păstrate până la îndeplinirea recomandărilor din Raportul de audit public intern, după care se arhivează în concordanță cu reglementările legale privind arhivarea.
Ședința de închidere a intervenției la fața locului are drept scop prezentarea opiniei auditorilor interni, a recomandărilor finale din proiectul Raportului de audit public intern și a calendarului de implementare a recomandărilor. Se întocmește o minută a ședinței de închidere.
10. Raportul de audit public intern
Elaborarea proiectului Raportului de audit public intern (raport intermediar)
În elaborarea proiectului Raport de audit public intern trebuie să fie respectate următoarele cerințe:
a). constatările trebuie să aparțină domeniului/obiectivelor misiunii de audit public intern și să fie susținute prin documente justificative corespunzătoare;
b). recomandările trebuie să fie în concordanță cu constatările și să determine reducerea riscurilor potențiale;
c). raportul trebuie să exprime opinia auditorului intern, bazată pe constatările efectuate;
d). se întocmește pe baza FIAP-urilor.
În redactarea proiectului Raportului de audit public intern, trebuie să fie respectate următoarele principii:
a). constatările trebuie să fie prezentate într-o manieră pertinentă și incontestabilă;
b). evitarea utilizării expresiilor imprecise (se pare, în general, uneori, evident), a stitului eliptic de exprimare, limbajului abstract;
c). promovarea unui limbaj cât mai uzual și a unui stil de exprimare concret;
d). evitarea tonului polemic, jignitor, tendențios;
e). ierarhizarea constatărilor (numai cele importante vor fi prezentate în sinteză sau la concluzii);
f). evidențierea aspectelor pozitive și a îmbunătățirilor constatate de la ultima misiune de audit public intern.
Structura proiectului de Raport de audit public intern
Proiectul Raportului de audit public intern trebuie să cuprindă cel puțin următoarele elemente:
a). scopul și obiectivele misiunii de audit public intern;
b). date de identificare a misiunii de audit public intern (baza legală, ordinul de serviciu, echipa de auditare, unitatea/structura organizatorică auditată, durata acțiunii de auditare, perioada auditată);
c). modul de desfășurare a acțiunii de audit intern (sondaj/exhaustiv, documentare; proceduri, metode și tehnici utilizate; documente/materiale examinate; materiale întocmite în cursul acțiunii de audit public intern);
d). constatări efectuate;
e). concluzii și recomandări;
f). documentația-anexă (notele explicative; note de relații; situații, acte, documente și orice alt material probant sau justificativ).
Transmiterea proiectului de Raport de audit public intern
Proiectul de Raport de audit public intern se transmite la structura auditată, iar aceasta poate transmite în maxim 15 zile de la primire, punctele sale de vedere. Punctele de vedere primite trebuie analizate de către auditorii interni.
Reuniunea de conciliere
În termen de 10 zile de la primirea punctelor de vedere, auditorii interni organizează reuniunea de conciliere cu structura auditată în cadrul căreia se analizează constatările și concluziile în vederea acceptării recomandărilor formulate.
Se întocmește o minută privind desfășurarea reuniunii de conciliere.
Elaborarea Raportului de audit public intern
Raportului de audit public intern trebuie să includă modificările discutate și convenite din cadrul reuniunii de conciliere. Raportul de audit public va fi însoțit de o sinteză a principalelor constatări și recomandări.
Șeful biroului de audit public intern trebuie să informeze UCAAPI despre recomandările care nu au fost avizate de Secretarul General al Senatului. Aceste recomandări vor fi însoțite de documentația de susținere.
Difuzarea Raportului de audit public intern
Șeful biroului de audit public intern trimite Raportul de audit public intern, finalizat, împreună cu rezultatele concilierii și punctul de vedere al structurii auditate Secretarului General al Senatului României care a aprobat misiunea, pentru analiză și avizare.
După avizarea recomandărilor cuprinse în Raportul de audit public intern, acestea vor fi comunicate structurii auditate.
Curtea de Conturi are acces de audit public intern în timpul verificărilor pe care le efectuează.
11. Urmărirea recomandărilor.
Obiectivul acestei etape este asigurarea ca recomandările menționate în Raportul de audit public intern sunt aplicate întocmai, în termenele stabilite, înmod eficace și că, conducerea a evaluat riscul de neaplicare a acestor recomandări.
Structura auditată trebuie să informeze biroul de audit public intern asupra modului de implementare a recomandărilor.
Responsabilitatea structurii auditate
Responsabilitate structurii auditate în aplicarea recomandărilor constă în :
elaborarea unui plan de acțiune, însoțit de un calendar privind îndeplinirea acestuia;
stabilirea responsabilităților pentru fiecare recomandare;
punerea în practică a recomandărilor;
comunicarea periodică a stadiului progresului acțiunilor;
evaluarea rezultatelor obținute.
Responsabilitatea compartimentului de audit public intern
Biroul de audit public intern verifică și raportează asupra progreselor înregistrate în implementarea recomandărilor.
Biroul de audit public intern va comunica Secretarului General al Senatului României stadiul implementării recomandărilor.
12. Supervizarea misiunii de audit public intern.
Șeful biroului de audit public intern este responsabil cu supervizarea tuturor etapelor de desfășurare a misiunii de audit public intern.
Scopul acțiunii de supervizare este de a asigura ca obiectivele misiunii de audit public intern au fost atinse în condiții de calitate, astfel:
a). oferă instrucțiunile necesare (adecvate) derulării misiunii de audit;
b). verifică executarea corectă a programului misiunii de audit;
c). verifică existența elementelor probante;
d). verifică dacă redactarea raportului de audit public intern, atât cel intermediar cât și cel final, este exacă, clară, concisă și se efectuează în termenele fixate.
În cazul în care șeful biroului de audit public intern este implicat în misiunea de audit, supervizarea este asigurată de un auditor intern desemnat de acesta.
2.2. Procedura operațională privind elaborarea, avizarea și difuzarea raportului de audit public intern
Scop: Această procedură operațională are rolul de a prezenta activitățile derulate la nivelul Biroului audit în cadrul etapei de elaborare, avizare și difuzare a raportului de audit intern.
Domeniul de aplicare: Procedura este aplicabilă Biroului Audit în calitate de structură care asigură funcția de audit intern la nivelul Senatului.
Descrierea procedurii
Pregătirea misiunii de audit intern include:
Elaborarea, avizarea și difuzarea Raportului de audit intern presupune parcurgerea următoarelor activități:
(1) Elaborarea și transmiterea proiectului de raport de audit intern;
(2) Derularea procedurii de conciliere;
(3) Elaborarea raportului final de audit intern;
(4) Avizarea și difuzarea Raportului de audit intern .
(1) Elaborarea și transmiterea proiectului de raport de audit intern
După finalizarea etapei intervenției la fața locului, echipa de audit intern elaborează proiectul Raportului de audit intern.
În elaborarea proiectului raportului de audit intern trebuie respectate următoarele cerințe:
a) proiectul de raport se elaborează în baza: dovezilor de audit raportate în Fișele de Identificare și Analiză a Problemelor (FIAP) și în Formularul de constatare și raportare a iregularităților (FCRI), precum și a celorlalte documente de lucru (teste de control/detaliu, chestionare, etc.).
b) constatările trebuie să aparțină domeniului/obiectivelor misiunii de audit public intern și să fie susținute prin documente justificative corespunzătoare.
c) recomandările trebuie să fie în concordanță cu constatările și să determine reducerea riscurilor potențiale (să fie în corelare directă cu cauzele disfuncționalităților/neconformităților identificate);
Raportul trebuie să exprime opinia auditorului intern, bazată pe constatările efectuate.
Proiectul raportului de audit intern este elaborat de echipa de audit/auditorul intern desemnat.
Proiectul raportului de audit intern, anexa acestuia și dovezile constatărilor sunt transmise supervizorului pentru revizuire/avizare.
Supervizorul misiunii de audit intern analizează proiectul raportului de audit intern și formulează propuneri de modificare (dacă este cazul). Totodată, stabilește dacă proiectul sau doar părți din acesta, trebuie să fie transmis/transmise Juridică pentru revizuirea acestuia din punct de vedere juridic.
Proiectul raportului de audit intern este semnat de auditori pe fiecare pagină (mijloc de pagină) și supervizor pe ultima pagină..
Auditorii interni desemnați pregătesc documentele complete aferente transmiterii proiectului raportului de audit intern pentru un punct de vedere, respectiv elaborează și semnează adresa de transmitere, verifică conformitatea documentelor ce sunt transmise.
Documentația completă este transmisă Secretarului General în vederea analizării, formulării de observații (dacă este cazul) și semnării adresei de înaintare a proiectului raportului de audit intern, apoi personalul BA asigură transmiterea documentației complete semnate către structura auditată/structurile auditate.
Termenul alocat pentru primirea unui răspuns din partea structurii auditate la proiectul raportului de audit intern este de 15 zile de la data primirii solicitării.
Auditori interni
Supervizor
Auditorii interni
Fig. 1 – Elaborarea proiectului de raport de audit intern.
Sursa – Procedura Operațională privind elaborarea, avizarea și difuzarea Raportului de audit intern PO – 11.30, Ediția II, xx.yy.2013, Revizia 0
Auditori interni
Șef Serviciu
Auditorii interni
Director DAPI
Auditorii interni
Fig. 2 – Transmiterea proiectului de raport de audit intern.
Sursa – Procedura Operațională privind elaborarea, avizarea și difuzarea Raportului de audit intern PO – 11.30, Ediția II, xx.yy.2013, Revizia 0
(2) Derularea procedurii de conciliere;
Procedura de conciliere se aplică în termen de 10 zile după primirea punctului de vedere al structurii auditate.
Netransmiterea de către structura auditată a punctului de vedere la proiectul raportului de audit intern în termenul stabilit de 15 zile, presupune obținerea acordului tacit la proiectul de raport. În acest caz, reuniunea de conciliere nu se mai organizează.
Punctul de vedere la proiectul raportului de audit intern este analizat de auditorii interni, cu scopul de a identifica eventualele constatări/recomandări neacceptate de structura auditată sau pentru care au fost formulate observații și/sau comentarii.
În funcție de rezultatul analizei, este stabilită de comun acord cu structura auditată o reuniune de conciliere cu scopul soluționării aspectelor divergente.
Reuniunea de conciliere se concretizează într-o minută, cuprinzând aspectele discutate și agreate pe parcursul reuniunii.
Minuta se redactează după finalizarea reuniunii de conciliere de către auditorii interni desemnați, se semnează de către participanții din partea BA. Ulterior, se transmite pentru semnare participanților din partea structurii auditate.
Punctele de vedere exprimate sunt avute în vedere de echipa de audit la definitivarea raportului de audit intern.
Toate recomandările agreate sunt incluse în raportul final de audit intern – Calendarul implementării recomandărilor.
Auditori interni
15 zile
10 zile
Auditorii interni
Auditori interni
Supervizor
Reprezentanții
structurii auditate
Fig. 3 – Derularea procedurii de conciliere.
Sursa – Procedura Operațională privind elaborarea, avizarea și difuzarea Raportului de audit intern PO – 11.30, Ediția II, xx.yy.2013, Revizia 0
(3) Elaborarea raportului final de audit intern;
Raportul final de audit intern se elaborează:
a) după primirea punctului de vedere al structurii auditate la proiectul raportului de audit intern, respectiv după expirarea termenului de 15 zile alocat transmiterii punctului de vedere. În cazul în care structura auditată nu transmite un punct de vedere în termenul stabilit, se presupune acordul tacit al acesteia la proiectul raportului de audit intern. În acest caz nu se mai organizează o reuniune de conciliere;
b) după finalizarea procesului de conciliere, în cazul în care punctele de vedere formulate de structura auditată sunt divergente de cele ale echipei de audit.
În elaborarea raportului de audit intern trebuie respectate următoarele cerințe:
a) Raportul de audit intern trebuie să includă punctul de vedere al structurii auditate (în cazul transmiterii acestuia în termenul stabilit de 15 zile);
b) Raportul de audit intern trebuie să includă modificările discutate și convenite din cadrul reuniunii de conciliere (în cazul organizării acesteia).
c) Coordonatorul BA informează Secretarul General despre recomandările care nu au fost avizate de managementul structurii auditate. Aceste recomandări vor fi însoțite de documentația de susținere.
Principiile și cerințele de elaborare ale raportului final de audit intern sunt similare celor stabilite pentru elaborarea proiectului raportului de audit intern.
Raportul de audit intern este elaborat de echipa de audit/auditorul intern desemnat, în baza unui model.
Raportul de audit este însoțit de următoarele anexe:
a) Anexa 1 – Situația constatărilor și recomandărilor, care cuprinde descrierea tuturor constatărilor referitoare la aspecte ce necesită îmbunătățiri și a recomandărilor aferente. Documentul include și opinia finală a echipei de audit după primirea și analizarea punctului de vedere al structurii auditate la constatările și recomandările formulate.
b) Anexa 2 – Calendarul implementării recomandărilor, care cuprinde toate recomandările agreate cu managementul structurii auditate. Acesta este transmis de echipa de audit către structura auditată în vederea completării, prin precizarea termenului de implementare pentru fiecare recomandare și desemnarea persoanei responsabile, și semnării. Termenul stabilit pentru retransmiterea Calendarului completat și semnat este de 5 zile lucrătoare.
Raportul de audit intern și anexele acestuia sunt transmise supervizorului pentru revizuire/avizare.
Supervizorul misiunii de audit intern analizează raportul de audit intern și formulează propuneri de modificare (dacă este cazul).
După supervizare, raportul de audit intern este retransmis echipei de audit:
a) în vederea operării modificărilor propuse de supervizor (dacă există) și în cazul acceptării acestora de către auditori;
b) în vederea transmiterii pentru avizare către conducerea direcției și a ministerului, caz în care este semnat de supervizor.
Raportul final de audit intern și anexa 1 –Situația constatărilor și recomandărilor este semnat de auditori pe fiecare pagină și supervizor pe ultima pagină. Anexa 2 – Calendarul implementării recomandărilor este semnată pe ultima pagină de echipa de audit și supervizor.
Auditori interni
Supervizor
Auditorii interni
Auditori interni
Supervizor
Auditori interni
Supervizor
Managementul structurii
auditate
Fig. 4 – Elaborarea raportului final de audit intern.
Sursa – Procedura Operațională privind elaborarea, avizarea și difuzarea Raportului de audit intern PO – 11.30, Ediția II, xx.yy.2013, Revizia 0
(4) Avizarea și difuzarea Raportului de audit intern.
După finalizarea raportului final de audit intern și a anexelor acestuia, echipa de audit intern elaborează documentația completă în vederea transmiterii către aprobare Secretarului General.
Documentația completă cuprinde: raportul final de audit intern, Situația constatărilor și recomandărilor, Calendarul implementării recomandărilor, Nota de avizare care va include minimum următoarele informații: denumirea misiunii de audit intern, baza legală de derulare a misiunii, perioada desfășurării misiunii, perioada auditată și o Notă de informare (max. 2 pagini), adresată Secretarului General, care cuprinde: denumirea misiunii, obiectivul general și obiectivele specifice, principalele constatări și recomandări și concluzia/concluziile raportului de auidt intern.
După semnarea documentației de avizare, aprobare a rapoartelor de audit intern la nivelul BA, circuitul acestor documente este:
pentru avizare/aprobare: secretar general.
După primirea documentației avizate/aprobate, echipa de audit transmite o copie a acesteia către structura auditată, în vederea informării în ceea ce privește inițierea oficială a procesului de implementare a recomandărilor, conform termenelor asumate, respectiv a procesului de urmărire a implementării recomandărilor.
În acest sens, echipa de audit va specifica în adresa de transmitere a documentației avizate/aprobate, responsabilitatea structurii auditate de a transmite trimestrial o Notă de prezentare a stadiului și modului de implementare a recomandărilor formulate, precum și documente justificative corespunzătoare.
Auditori interni
Șef Serviciu
Director DAPI
Conducerea MFP
Auditorii interni
Conducerea MFP
Auditorii interni
Fig. 5 – Avizarea și difuzarea Raportului de audit intern.
Sursa – Procedura Operațională privind elaborarea, avizarea și difuzarea Raportului de audit intern PO – 11.30, Ediția II, xx.yy.2013, Revizia 0
Responsabilități.
Secretarul general al Senatului :
Aprobă raportul final de audit intern (inclusiv anexele acestuia);
Ia notă de Informarea privind conținutul raportului final de audit intern.
Managementul structurii auditate și/sau persoanele desemnate din cadrul structurii auditate:
Analizează proiectul de raport de audit intern;
Formulează și transmit observațiile corespunzătoare, prin completarea documentelor aferente (Situația contatărilor și recomandărilor – rubrica opinia structurilor auditate);
Participă sau desemnează persoanele responsabile la ședința de conciliere.
Semnează minuta ședinței de conciliere;
Desemnează persoanele responsabile și stabilește termenele de implementare a recomandărilor, prin completarea și semnarea corespunzătoare a Calendarului de implementare a recomandărilor.
Dispune măsurile necesare în vederea transmiterii trimestriale a stadiului implementării recomandărilor către BA.
Responsabilitățile coordonatorului Biroului Audit:
Avizează/semnează documentele prin care sunt comunicate sau transmise structurii auditate proiectul raportului de audit intern/raportul final de audit intern .
Avizează/semnează documentația de transmitere a raportului final de audit intern către aprobare către Secretarul General.
Responsabilitatile echipei de audit desemnată:
Auditorii interni desemnați:
Analizează punctele de vedere primite de la structurile auditate relativ la proiectul raportului de audit intern și în baza judecății profesionale formulează opinia finală de audit intern.
Elaborează documentele incluse în cadrul etapei de elaborare, avizare și difuzare a raportului de audit intern (menționate la punctul 5 din prezenta procedură) și/sau alte documente de corespondență necesare în această etapă.
Pregătesc din punct de vedere administrativ ședința de conciliere.
Înaintează documentele elaborate către supervizor și operează modificările propuse de acesta.
Arhivează corespunzător documentația de audit în dosarul misiunii
Supervizorul misiunii de audit intern:
Analizează documentația de audit elaborată de auditorii desemnați pentru etapa privind elaborarea, avizarea și difuzarea raportului de audit intern; propune modificări de îmbunătățire a acestor documente;
Avizează documentele analizate/supervizate.
Participă la ședința de conciliere.
CAPITOLUL 3
STUDIU DE CAZ
3.1 RAPORTUL DE AUDIT PUBLIC INTERN
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
Aprobat,
Secretar General
PREDA MARIAN
RAPORT DE AUDIT INTERN
Directia auditata: Direcția pentru informatizarea activității parlamentare
Misiunea de audit: Activitatea IT
I. INTRODUCERE
Echipa de auditare a fost formată din :
• Ilie Valentina Corina – Consilier parlamentar;
• Marinescu Ioana – Consilier parlamentar – Șef birou.
Ordinul de efectuare a misiunii de audit : Ordinul de serviciu nr. 26/07.10.2013.
Baza legală a acțiunii de auditare:
– Planul de audit intern pentru anul 2013, aprobat de conducerea instituției;
– Legea nr. 672/2002 privind auditul public intern, cu modificarile și completările ulterioare;
– OMFP nr. 38/15.01.2003 prin care se aprobă Normele metodologice de aplicare a Legii nr. 672/2002, cu modificările și completările ulterioare;
– Ordinul prin care se aprobă Normele proprii de exercitare a auditului intern în cadrul Senatului României.
Durata acțiunii de auditare : 14.10.2013 – 12.11.2013
Perioada supusă auditării: 01.01.2012 – 31.12.2012
Scopul misiunii de audit intern este acela de evaluare a activității IT de la nivelul Senatului României, în ceea ce privește respectarea condițiilor de legalitate, economicitate, eficacitate, de a adăuga valoare prin formularea recomandărilor, iar în cazul identificării unor probleme/iregularități, de corectare a acestora.
Obiectivele misiunii de audit intern:
• Planul strategic;
•Organizarea și funcționarea Direcției pentru informatizarea activității parlamentare;
• Implementarea sistemului IT;
• Securitatea IT.
Tipul de auditare – Echipa de auditori interni a efectuat un audit de conformitate/regularitate privind respectarea principiilor, regulilor metodologice și procedurale în ceea ce privește activitatea IT la nivelul Senatului.
Principalele tehnici și instrumente de audit utilizate:
• interviul pentru lămurirea de aspecte legate de organizarea și desfășurarea activităților;
• testarea pentru urmăirea detectării erorilor sau a iregularităților;
• eșantionarea pentru analiza întocmirii documentelor și efectuarea plăților;
• observarea fizică în vederea formării unei păreri proprii privind modul de întocmire și emitere a documentelor;
• liste de verificare pentru a stabili condițiile pe care trebuie să le îndeplinească fiecare domeniu auditabil;
• liste de control;
• chestionare;
• FIAP-uri întocmite pentru fiecare disfuncționalitate constatată;
Documente și materiale examinate în cadrul direcției – verificarea la fața locului a vizat următoarele materiale și documente:
• Politica entității publice în domeniul IT;
• Planul strategic și planurile anuale privind sistemul IT întocmite și aprobate;
• Organigrama entității publice;
• Regulamentul de Organizare și Funcționare și fișele posturilor;
• Legislația în vigoare privind activitatea IT;
• Manuale de utilizare și manuale de operare;
• Planul de recuperare în caz de dezastru;
• Procedurile aplicabile activității IT;
• Alte documente.
Materialele întocmite pe timpul auditării au fost următoarele:
• Teste și foi de lucru privind descrierea activităților auditate;
• Fișe de identificare și analiză a problemelor constatate (FIAP);
• Liste de verificare pe obiective (LV);
• Documente de lucru;
• Tabel Puncte tari și puncte slabe,
• Tematica în detaliu;
• Programul de audit, Programul intervenției la fața locului;
• Chestionarul de control intern;
• Raport de audit, minutele ședințelor de deschidere, închidere etc.
Activitatea informatică din cadrul Senatului este organizată ca direcție generală având un număr de 3 servicii de specialitate. Organizarea și funcționarea serviciului au fost conform organigramei și Regulamentului de organizare și funcționare.
Pentru toți salariații sunt întocmite fișele posturilor prin care sunt stabilite relațiile ierarhice de subordonare și sarcinile de serviciu.
Activități desfășurate în cadrul Direcției pentru informatizarea activității parlamentare:
• tehnoredactare și dezvoltare aplicații multimedia;
• comunicații date în format electronic;
• analiza, proiectare și programare a sistemului IT;
• administrare rețele calculatoare;
• asistență tehnică a utilizatorilor.
3.2 CONSTATĂRI ȘI RECOMANDĂRI
Evaluarea respectării condițiilor de conformitate și regularitate a activității de tehnologie a informației la nivelul entității publice a pornit de la elaborarea planului strategic, defalcarea acestuia în planuri anuale, organizarea și funcționarea direcției, implementarea sistemului informatic și securitatea datelor din acest sistem și s-a materializat în elaborarea listelor de verificare, testelor bazate pe eșantionare, verificărilor prin listele de control, observări fizice pe teren, interviurilor care au condus la solicitarea unor note de relații, prin care s-au identificat o serie de probleme și defciențelor care au fost inscrise în formularele de constatare (FIAP-uri).
Analiza activității IT a impus evaluarea cadrului procedural existent care stă la baza organizării și funcționarii sistemului.
În continuare, prezentăm principalele constatări, consecințele care s-au produs sau care ar putea să apară în perioada imediat următoare, precum și recomandarile formulate în vederea corectării disfuncționalităților semnalate sau ale celor care pot să survină urmare acestora, diminuării riscurilor existente și îmbunătățirii sistemelor de management și control intern al activităților auditate cu scopul facilitzării atingerii obiectivelor prestabilite.
Plan strategic
Procedurile specifice care reglementează activitatea IT
Situația premisă în conformitate cu care au fost urmărite pistele de audit.
Pentru realizarea obiectivelor trebuie să se asigure un echilibru între sarcini, competențe (autoritate decizionala conferită prin delegare) și responsabilități (obligația de a realiza obiectivele) și să se definească proceduri.
Procedurile reprezintă pașii ce trebuie urmați și cuprind algoritmul pentru realizarea sarcinilor, exercitarea competențelor, existența activităților de control în punctele cheie și angajarea responsabilităților.
Pe baza procedurilor, se monitorizează existența și functionalitatea controlului intern, ceea ce ne va da posibilitatea să constatăm dacă:
• este integrat în sistemul de management al fiecărei componențe structurale a entității publice;
• intră în grija personalului de la toate nivelurile;
• oferă o asigurare rezonabilă atingerii obiectivelor, începând cu cele individuale și terminând cu cele generale.
În practică, există două categorii de proceduri:
– procedurile generale date de cadrul normativ, respectiv de legi, norme metodologice, precizări/instrucțiuni, elaborate de către entitatea publică, în vederea organizării aplicării unor reglementări de rang superior, aprobate de către conducătorul entității publice sau chiar de către Guvern;
– proceduri specifice pentru fiecare activitate a entității publice sub forma
metodologiilor de lucru, care trebuie să fie:
scrise si formalizate pe suport de hârtie și/sau electronic, care să conțină pe fluxurile operațiilor, activități de control, responsabilități, modele de documente cu exemplificări respectiv formalizate, cunoștințele individuale și colective care trebuie stocate și puse în ordinea care să corespundă scopurilor entității publice și aprobate de management;
simple și specifice, pentru ca executanții să le poata utiliza cu respectarea cadrului normativ, pentru fiecare domeniu al entității publice;
completate și actualizate în mod permanent, în funcție de evoluția reglementărilor și practicii în materie;
aduse la cunoștința executanților pentru a putea fi discutate, însușite și aplicabile în mod uniform.
Constatările echipei de audit
Echipa de auditori interni, din analiză a constatat că, în cadrul Direcția pentru informatizarea activității parlamentare, atribuirea responsabilităților, separarea sarcinilor și delegarea autorităților nu sunt stabilite prin proceduri scrise și formalizate, care încă nu sunt elaborate, dar pașii care trebuie parcurși și algoritmurile de calcul sunt cunoscute de către salariați și se regăsesc în ROF și în fișele posturilor.
Persoanele implicate în realizarea actvității IT sunt informate despre sarcinile care le revin, dar nu sunt familiarizați cu desfășurarea activității pe bază de proceduri specifice fiecărei activități.
Din aceste considerente, pe parcursul evaluarii, nu au fost testate procedurile de lucru pentru desfășurarea activităților specifice privind activitatea IT, deși au fost cuprinse în listele de verificate realizate pe obiectivele misiunii de audit intern, ci au fost urmărite operațiile și activitățile auditabile.
Recomandări:
În baza acestor observații, se regăsește ca o recomandare generală la toate obiectivele misiunii de audit intern, necesitatea elaborării procedurilor scrise și formalizate.
1.2 Politica entității publice în domeniul IT
Situația premisă în conformitate cu care au fost urmărite pistele de audit
Auditorii interni au analizat atât politica entității publice în domeniul IT cât și dacă aceasta asigură atingerea obiectivelor entității publice. În acest sens a fost examinat modul în care politica entității publice în domeniul IT se reflectă în planul strategic și în planurile anuale.
Constatările echipei de audit
În urma răspunsurilor primite pe baza Interviului nr. 1 și a Notei de relații nr. 1 s-a constatat că nu există un document formalizat care să reglementeze explicit activitatea IT din cadrul Senatului iar procedurile de elaborare și aprobare a politicii IT nu există.
Recomandări:
– Elaborarea unei proceduri scrise și formalizate privind politica entității publice în domeniul IT;
– Stabilirea responsabililor pentru elaborarea și actualizarea politicii IT;
– Corelarea atribuțiilor prezentate prin proceduri cu cele stabilite prin fișele posturilor;
– Analiza posibilităților privind asigurarea de personal de specialitate și ocuparea posturilor vacante.
1.3 Elaborarea planului strategic și a planurilor anuale
Situația premisă în conformitate cu care au fost urmărite pistele de audit
Echipa de audit a analizat planificarea realizării sistemului IT prin planuri strategice și planuri anuale. În acest sens, s-au inventariat documentele oficiale prin care au fost desemnate persoanele responsabile cu elaborarea și actualizarea planului, examinându-se dacă responsabilitățile sunt clar definite.
Constatările echipei de audit
Pe baza Interviului nr. 2 si a Notei de relație nr. 2, privind elaborarea planului strategic, s-a constatat că nu există un document formalizat care să reflecte modalitatea întocmirii unui plan strategic fundamentat corespunzător.
Recomandări:
– Elaborarea unei proceduri scrise și formalizate privind elaborarea și aprobarea planului strategic din cadrul Senatului României în domeniul IT;
– Stabilirea responsabililor pentru elaborarea și actualizarea planului strategic IT;
– Corelarea atribuțiilor prezentate prin proceduri cu cele stabilite prin fișele posturilor;
– Analiza posibilităților privind asigurarea de personal de specialitate și ocuparea posturilor vacante.
1.4 Subsistemele IT
Situația premisă în conformitate cu care au fost urmărite pistele de audit.
A fost verificat modul de elaborare a subsistemelor IT, corelarea termenelor de realizare a subsistemelor precum și întocmirea și realizarea programului de instruire a utilizatorilor fiecărui subsistem în parte.
Constatările echipei de audit
Din analiza Listei de control nr. 3 s-a constatat că subsistemele IT acoperă nevoile tuturor funcțiilor din cadrul Senatului fără a fi constatate deficiențe negative.
Nu s-au făcut recomandări.
2. Organizarea și funcționarea Direcția pentru informatizarea activității parlamentare
2.1 Organizarea Direcția pentru informatizarea activității parlamentare
Situația premisă în conformitate cu care au fost urmărite pistele de audit
Conform ogranigramei aprobate la nivelul conducerii Senatului României în anul 2012, Direcția pentru informatizarea activității parlamentare era constituită din 4 servicii de specialitate, astfel:
Serviciul proiectare, programare și integrare sisteme informatice;
Serviciul administrare și dezvoltare rețea;
Serviciul baze de date și aplicații legislative;
Biroul baze de date și aplicații economice.
În anul 2013, în urma modificării organigramei, Direcția pentru informatizarea activității parlamentare cuprinde 3 servicii de specialitate, astfel:
Serviciul administare sistem și rețea informatică;
Biroul dezvoltare, aplicații și integare sistem informatic;
Biroul baze de date economice și legislative.
Din practică se demonstrează că persoanele cu delegație nu au întotdeauna același nivel de implicare pentru soluționarea problemelor care apar comparativ cu titularii posturilor.
Constatările echipei de audit
Echipa de auditori interni a analizat atât numărul total de posturi de conducere și numărul de posturi de conducere ocupate cu delegație, cât și numărul total de posturi de execuție și numărul de posturi de execuție vacante.
Din analiză a rezultat, ca și vulnerabilitate, existența unor posturi de execuție vacante și a unor posturi de conducere deținute cu delegație, în sensul în care din vizitele la fața locului și din discuțiile purtate cu personalul din cadrul direcției a rezultat în unele cazuri suprapunerea unor sarcini ce revin personalului de execuție cu sarcini ce revin personalului de execuție delegat temporar în conducerea/coordonarea activităților.
Un alt aspect semnalat este acela în care, salariații direcției își desfășoară activitatea în locații diferite, pe etaje diferite, fapt ce presupune în unele circumstanțe îndeplinirea în condiții deficitare a sarcinilor ce le revin.
Recomandări:
– elaborarea procedurilor scrise și formalizate pentru suplinirea posturilor vacante și delegarea funcțiilor de conducere, precum și stabilirea responsabililor pentru elaborarea și actualizarea acestor proceduri.
– direcția va lua măsuri de eficientizare a demersului administrativ specific și va identifica fluxuri optime din punctul de vedere al sarcinilor și din punctul de vedere al circumstanțelor ce țin de locațiile în care aceasta își desfășoară activitate.
2.2 Analizarea pregătirii profesionale continue a salariaților
Situația premisă în conformitate cu care au fost urmărite pistele de audit
Echipa de auditori interni a analizat realizarea pregătirii profesionale a salariaților conform atribuțiilor și responsabilităților stabilite prin fișa postului, existența unui sistem de indicatori de performanță pentru evaluarea gradului de pregătire profesională a acestora precum și existența planului de pregătire profesională continuă.
Constatările echipei de audit
Din analiză s-a constatat inexistența unui sistem de pregătire profesională continuă a salariaților din cadrul Direcției pentru informatizarea activității parlamentare.
Recomandări:
– elaborarea unui sistem de pregătire profesională continuă a salariaților;
– analiza planului de pregătire profesională continuă și al gradului de realizare al acestuia în vederea elaborării planului pentru anul viitor;
– stabilirea responsabililor cu monitorizarea acestora.
2.3 Examinarea sistemului de gestionare a riscurilor generale
Situația premisă în conformitate cu care au fost urmărite pistele de audit
Echipa de auditori interni a verificat existența unei politici unitare privind gestionarea
riscurilor, constatând inexistența unui sistem de identificare, evaluare și management al riscurilor la nivelul direcției.
Constatările echipei de audit
Din analiză a reieșit că nu sunt preocupări pentru gestionarea riscurilor din cadrul direcției și nu a fost ținut Registrul riscurilor cuprinzând riscurile potențiale și istoricul acestora, cu efectele și consecințele lor, precum și activitățile de control intern asociate pentru limitarea riscurilor. Mai mult, există pericolul de a nu fi identificate riscuri majore și de a nu fi asociate controale interne adecvate pentru reducerea efectului riscurilor la un nivel acceptabil pentru entitatea publică.
Recomandări:
– Stabilirea unei strategii de gestionare a riscurilor la nivelul direcției;
– Stabilirea responsabililor pentru elaborarea și actualizarea sistematică a procedurilor privind întocmirea Registrului riscurilor;
– Coroborarea atribuțiilor și responsabilităților din proceduri cu cele din fișa postului referitor la gestionarea riscurilor;
– Organizarea și ținerea la zi a Registrului riscurilor cuprinzând măsurile de control intern care sunt luate pentru limitarea acestora;
– Monitorizarea sistematică, la cererea managerului responsabil cu probleme administrative, a modului de respectare în activitatea zilnică a procedurilor scrise și formalizate menite să asigure gestionare a riscului;
– Instruirea personalului pentru completarea Registrului riscurilor;
– Informarea echipei de auditori în privința stadiului elaborării, însușirii și monitorizării riscurilor.
3. Implementarea sistemului IT
3.1 Gradul de realizare al subsistemelor IT stabilite prin plan
Echipa de auditori a constatat că subsistemele IT au fost realizate în mare parte la termenele stabilite, deși conform răspunsurilor din Interviul nr. 3.1, bugetul aprobat direcției a fost limitat iar organigrama subdimensionată. Cu toate acestea nu au fost constatate deficiențe privind gradul de realizare al subsistemelor IT.
Nu au fost făcute recomandări.
3.2 Existența controalelor generale de sistem la nivelul subsistemelor IT
În cadrul acestui obiectiv s-a efectuat verificarea existenței unor controale generale implementate la nivelul subsistemelor IT. Eșantionul a constat în evaluarea subsistemelor pentru: gestiunea resurselor umane, activitatea financiar-contabilă și activitatea juridică. Din analiza Listei de control nr. 3.1., s-a constat că la nivelul subsistemelor IT există controale generale și nu au fost semnalate aspect negative.
Nu au fost făcute recomandări.
3.3 Situația licențelor pentru programele de calculator
Situația premisă în conformitate cu care au fost urmărite pistele de audit
Echipa de auditori a analizat situația licențelor deținute atât pentru sistemul de operare Windows cât și pentru pachetul de programe Microsoft Office. De asemenea, s-a urmărit identificarea eventualele limitări bugetare în privința achiziționării licențelor, evaluarea eventualelor disfuncționalități apărute în procesul de achiziționare a licențelor, precum și implementarea controalelor de sistem menite să alerteze administratorul în cazul utilizării de soft-uri pentru care nu s-au achiziționat licențe.
Constatările echipei de audit
S-a constatat utilizarea în cadrul unor direcții a unor programe software fără licență. De asemenea, la nivelul sistemului IT al direcțiilor din cadrul Senatului s-a constatat, inexistența controalelor de sistem menite să alerteze administratorul în cazul utilizării de soft-uri pentru care nu s-au achiziționat licențe.
Recomandări:
-Inventarierea tuturor stațiilor de lucru pentru a stabili situația reală privind utilizarea programelor fără licență.
-Elaborarea unui angajament prin care toți salariații din cadrul Senatului României să-și asume întreaga responsabilitate asupra urmărilor utilizării de soft-uri pirat.
4. Securitatea IT
4.1 Evaluarea controalelor fizice în domeniul IT
Situația premisă în conformitate cu care au fost urmărite pistele de audit
S-a efectuat verificarea dotării camerelor în care se află servere-le cu echipamente adecvate, astfel:
• camere de supraveghere care acoperă zona de intrare în camera serverului monitorizate permanent;
• senzori de mișcare;
• sistem de alarmă în caz de incendiu;
• sistem de stingere a incendiilor;
• echipamente de aer condiționat;
• uși neinflamabile echipate cu încuietori adecvate.
Constatările echipei de audit
Din analiza la fața locului s-au constatat următoarele disfuncționalități:
-deși au fost instalate camere de supraveghere în interiorul camerelor serverelor, acestea nu sunt permanent monitorizate;
-nu există camere de supraveghere care acoperă zona de intrare în camera serverului;
-nu exista senzori de mișcare în interiorul camerei serverului;
-nu exista sistem de stingere a incendiilor;
-una dintre cele două camere existente, nu asigură condițiile tehnice optime de păstrare și conservare a echipamentului și bazelor de date aferente.
Inexistența unor camere de supraveghere care să asigure zona de acces la servere poate duce la situația în care, în cazul apariției unor incidente, nu se pot stabili responsabilii.
Din vizitele la fața locului au fost sesizate infiltrații cu apă, deficiențe de ventilație, aspecte care într-un mod evident pot conduce la scurtcircuitarea și supraîncălzirea echipamentelor, deteriorarea acestora și pierderea informațiilor arhivate pe aceste echipamente suport. Mai mult decât atât din aceeași inspecție la fața locului au fost sesizate și vulnerabilități cu riscuri majore în prevenirea și stingerea incendiilor. (stingătoare lipsa, instalații de energon, gaz, inexistente, alte echipamente și instalații specifice inexistente).
În urma analizei a fost constatat și faptul că nu există obligativitatea prezentării unei autorizații scrise pentru a scoate echipamente IT din clădirea entității publice. Această situație trebuie remediată pentru a se evita furtul echipamentelor IT.
Recomandări:
– implementarea unui sistem de raportare potrivit căruia responsabilul desemnat să verifice siguranța camerelor serverelor precum și a echipamentelor din cadrul acestora, să întocmească periodic rapoarte către managementul general al Senatului prin care să specifice disfuncționalitățile existente.
4.2 Siguranța accesului la rețea și a comunicării datelor în rețea
În urma misiunii de audit efectuate, s-a constatat că siguranța accesului la rețea și a comunicării datelor în rețea se efectuează conform procedurii însă monitorizarea accesului la rețea nu este posibil de efectuat.
Nu au fost constatate deficiențe.
Nu au fost făcute recomandări
4.3 Programele anti-virus
Situația premisă în conformitate cu care au fost urmărite pistele de audit
Echipa de auditori interni a verificat:
– instalarea unui program anti-virus adecvat necesităților utilizatorilor stațiilor de lucru;
– dacă programul anti-virus verifică stația de lucru la pornire;
– dacă programul anti-virus monitorizează toate programele și aplicațiile active, mesajele primite și verifică automat actualizările la intervale regulate (zilnic);
– dacă programul anti-virus se actualizează în rețea, astfel încât să protejeze eficient datele electronice împotriva virușilor nou-apăruți.
De asemenea a fost analizat modul de monitorizare sistematică a funcționalității programelor anti-virus.
Constatările echipei de audit
Din analiza Listei de control nr. 4.3. s-a constatat că programele anti-virus au fost implementate și monitorizate conform procedurii și nu au fost constatate deficiențe majore.
Nu au fost făcute recomandări.
III. CONCLUZII
Echipa de auditori interni in baza Programului de audit intern, a testărilor și analizei efectuate, evaluează Activitatea IT din cadrul Senatului României, după cum urmează:
Factorii decizionali, responsabili cu activitatea direcției, vor analiza constatările și recomandările echipei de audit și vor propune Secretarului General al Senatului, ca rezultat al propriilor analize, măsuri operative de remediere/revizuire a activităților considerate ca fiind vulnerabile sau deficitare conform Raportului. Activitățile direcției se vor desfășura, în contextul dat, având ca principiu de analiză și climatul tehnico-economic sub auspiciile căruia își desfășoară activitatea Senatul României.
Prezentul proiect de Raport de audit intern a fost întocmit în baza Listei centralizatoare a obiectelor auditabile, a Programului de audit și a Programului de intervenție la fața locului, a constatărilor efectuate, în timpul colectării și prelucrării informațiilor, și în timpul muncii pe teren. Toate constatările au la baza probe de audit obtinute pe baza testelor efectuate consemnate în documentele de lucru (liste de control, interviuri, note de relații) întocmite de auditorii interni și însușite de factorii de management ai entității.
Evaluarea are la baza discuțiile care au avut loc, cu privire la recomandările auditorilor interni, în ședința de închidere a misiunii, apreciate de către participanți, ca fiind realiste și fezabile.
De asemenea, considerăm că rezultatele evaluării auditorilor interni privind activitatea Direcției pentru informatizarea activității parlamentare, se înscrie în parametri normali.
În consecință, apreciem că prin implementarea recomandărilor echipei de audit intern acivitatea IT va cunoaște o ameliorare semnificativă.
Structura auditată are obligația să întocmească Programul de acțiune în vederea implementării recomandărilor și să raporteze echipei de auditori interni, periodic, stadiul de implementare al acestora.
Data: 18.11.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
CAPITOLUL 4
CONCLUZII SI PROPUNERI
Scopul misiunii de audit intern este acela de evaluare a activității unor departamente din cadrul instituțiilor/organizațiilor, în ceea ce privește respectarea condițiilor de legalitate, economicitate, eficacitate, de a adăuga valoare prin formularea recomandărilor, iar în cazul identificării unor probleme/iregularități, de corectare a acestora.
În studiu de caz prezentat 3, evaluarea respectării condițiilor de conformitate și regularitate a activității de tehnologie a informației la nivelul entității publice (Senatul României) a pornit de la elaborarea planului strategic, defalcarea acestuia în planuri anuale, organizarea și funcționarea direcției, implementarea sistemului informatic și securitatea datelor din acest sistem și s-a materializat în elaborarea listelor de verificare, testelor bazate pe eșantionare, verificărilor prin listele de control, observări fizice pe teren, interviurilor care au condus la solicitarea unor note de relații, prin care s-au identificat o serie de probleme și defciențelor care au fost înscrise în formularele de constatare (FIAP-uri).
Analiza activității IT a impus evaluarea cadrului procedural existent care stă la baza organizării și funcționarii sistemului.
Echipa de auditori interni a efectuat un audit de conformitate/regularitate privind respectarea principiilor, regulilor metodologice și procedurale în ceea ce privește activitatea IT la nivelul Senatului României.
Principalele tehnici și instrumente de audit utilizate:
• interviul pentru lămurirea de aspecte legate de organizarea și desfășurarea activităților;
• testarea pentru urmăirea detectării erorilor sau a iregularităților;
• eșantionarea pentru analiza întocmirii documentelor și efectuarea plăților;
• observarea fizică în vederea formării unei păreri proprii privind modul de întocmire și emitere a documentelor;
• liste de verificare pentru a stabili condițiile pe care trebuie să le îndeplinească fiecare domeniu auditabil;
• liste de control;
• chestionare;
• FIAP-uri întocmite pentru fiecare disfuncționalitate constatată;
În raportul de audit intern întocmit în vederea redactării finale au fost prezentate principalele constatări, consecințele care s-au produs sau care ar putea să apară în perioada imediat următoare, precum și recomandarile formulate în vederea corectării disfuncționalităților semnalate sau ale celor care pot să survină ca urmare acestora. De asemenea au fost identificate mijloace și metode în vederea diminuării riscurilor existente și îmbunătățirii sistemelor de management și control intern al activităților auditate cu scopul facilitării atingerii obiectivelor prestabilite.
Concluziile generale ale unui raport de audit intern trebuie să fie elaborate pe baza constatărilor făcute, să fie pertinente și să nu fie disproporționate în raport cu constatările pe care se bazează. De asemenea, recomandările auditorilor trebuie să fie fezabile, să aibă caracter de anticipare și de prevenire a eventualelor disfuncționalități sau tendințe negative la nivelul entității.
Aceste concluzii generale au fost aplicate și în cadrul studiului de caz efectuat la nivelul Direcției pentru informatizarea activității parlamentare din cadrul Senatului României, recomandările propuse de echipa a auditori fiind fezabile și economice. Raportul respectiv a contribuit la îmbunătățirea activității structurii auditate și a instituției din care face parte și la creșterea performanței managementului.
După cum spunea Jacques Renard în Teoria și practica auditului intern, (Ediția a IV-a, traducere din limba franceză realizată de Ministerul Finanțelor Publice în cadrul unui proiect finanțat de PHARE, București – 2002), "Auditul intern este ca un miros de gaz: este rareori agreabil, dar poate, de regulă să evite explozia".
B I B L I O G R A F I E
Boulescu M., Ghiță M., Mareș V. – Fundamentele auditului, Editura Didactică și Pedagogică, București, 2001
Crăciun Ș. – Auditul intern: evaluare, conciliere, Editura Economică București – 2006
Dascalu E. D., Nicolae F. – Auditul intern și instituțiile publice, Editura Economică, București, 2007
Ghiță M. – Auditul Intern, Editura Economică, București, 2005
Ghiță M., Constantin V. N. – Ghid practic privind activitatea IT, elaborate de Unitatea Centrală pentru Armonizarea Auditului Public Intern, Ministerul Finanțelor Publice, București, 2006
Ghiță M., Ghiță E., Manta, A.G. Voinea D. – Guvernanța Corporativă și Auditul Intern, Editura Universitaria, Craiova, 2009
Ghiță M. – Auditul intern (ediția a II-a), Editura Economică. București, 2009
Ghiță M., Popescu M. – Auditul Intern al Instituțiilor Publice: teorie și practică, Editura CECCAR, București, 2006
Ghiță M., Sprânceană M. – Auditul intern al instituțiilor publice, Editura Tribuna Economică, București, 2004
Ghiță M., Briciu S. – Auditul intern, Editura Ulise, Alba Iulia, 2005
Ghiță E. – Audit public intern, Editura Sitech, 2007
Ghiță M, Iațco C. – Sistemul de control intern, Editura Corona, Iași, 2006
Ghiță E., Ghiță M. – Audit și control, Editura Fundației România de Mâine, București, 2007
Jacques R. – Teoria și practica auditului intern, Ediția a IV-a, traducere din limba franceză realizată de Ministerul Finanțelor Publice în cadrul unui proiect finanțat de PHARE, București, 2002
Morariu A., Suciu G., Stoian F. – Audit intern și guvernanță corporativă, Editura Universitară, București, 2008
Munteanu V., Yuca M. – Auditul intern la Întreprinderi și instituțiile publice, Editura Wolters Kluwer, România, 2010
Nicolăescu E. – Audit Intern. Editura Pro Universitaria, București, 2010
18. *** Carta auditului public intern din cardul Senatlui Romaniei, 2004
19. *** Legea 672/2002, privind auditul public intern, republicată, 2011
20. *** Manual curs de bază pentru auditul de sistem, BDO Storz Hayward, Proiect PHARE RO2002/000.586.03.04.13 – Dezvoltarea auditului de performanță și a auditului de sistem în România, 2007
21. *** Normele specifice privind exercitarea activității de audit public intern la nivelul Ministerului Finanțelor Publice
22. *** Norme metodologice privind organizarea și funcționarea auditului intern în baza prevederilor Legii nr. 672/2002 privind auditul intern , avizate de Ministerul Finanțelor Publice, 2004
23. *** Norme profesionale ale auditului intern, publicate de IIA din SUA și comentate de IFACI din Franța, București, 2002;
24. *** Planul anual de audit pe anul 2013, Senatul Romaniei
25. *** OMFP nr. 252/2004 pentru aprobarea Codului privind conduita etică a auditorului intern, Monitorul Oficial al României nr. 128/2004
26. *** OMFP nr. 1.702/2005 pentru aprobarea normelor privind organizarea și exercitarea activității de consiliere, Monitorul Oficial, 1554/2006
27. *** OMF nr. 1386/2006 de modificarea și completare a OMFP nr. 946/2005, pentru aprobarea Codului controlului intern, cuprinzând standardele de management/control intern la entitățile publice pentru dezvoltarea sistemelor de control managerial, Monitorul Oficial nr. 771/2006
28. *** Procedura Operațională privind elaborarea, avizarea și difuzarea Raportului de audit intern PO – 11.30, Ediția II, xx.yy.2013, Revizia 0
29. *** Regulamentul de organizare și funcționare a serviciilor Senatului Romaniei
30.. *** www.senat.ro
31. *** www.mfinanțe.ro
Anexa nr. 1
Procedura – P01: Inițierea Auditului
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
Nr. 26/07.10.2013
ORDIN DE SERVICIU
În conformitate cu prevederile art. 8, litera c) din Legea nr. 672/2002 privind auditul public intern, a OMFP nr. 38/2003 de aprobare a normelor metodologice generale privind exercitarea activității de audit intern, cu modificările și completările ulterioare și a Planului de audit intern pentru anul 2013, se va efectua o misiune de audit intern privind Activitatea IT, în perioada 14.10.2013 – 12.11.2013.
Scopul misiunii de audit este de a da asigurări asupra modului de organizare și desfășurare a activității IT, în conformitate cu cadrul legislativ și normativ, iar obiectivele acestuia au în vedere:
• Plan strategic;
• Organizarea și funcționarea Direcției IT;
• Implementarea sistemului IT;
• Securitatea IT.
Menționăm că se va efectua un audit de conformitate/regularitate al modului de organizare a activității IT.
Echipa de auditori interni este formată din următorii:
• Marinescu Ioana, consilier parlamentar – șef birou
• Ilie Valentina Corina, consilier parlamentar.
Secretar General al Senatului României
Preda Marian
Anexa nr. 2
Procedura – P02: Inițierea auditului
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
DECLARAȚIA DE INDEPENDENȚĂ
Nume si prenume: Marinescu Ioana
Misiunea de audit: Activitatea IT
Data: 07.10.2013
Șef birou, Secretar General,
Marinescu Ioana Preda Marian
Anexa nr. 3
Procedura – P02: Inițierea auditului
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
DECLARAȚIA DE INDEPENDENȚĂ
Nume si prenume: Ilie Valentina Corina
Misiunea de audit: Activitatea IT
Data: 07.10.2013
Consilier parlamentar, Secretar General,
Ilie Valentina Corina Preda Marian
Anexa nr. 4
Procedura – P03: Inițierea auditului
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
27/07.10.2013
NOTIFICARE
PRIVIND DECLANȘAREA MISIUNII DE AUDIT INTERN
Către: Direcția pentru informatizarea activității parlamentare
De la: Biroul de Audit Public Intern
Referitor la misiunea de audit intern „Activitatea IT”
În conformitate cu Planul de audit intern pe anul 2013, urmează ca în perioada 14.10.2013 – 12.11.2013 să efectuăm o misiune de audit intern având ca temă Activitatea IT.
Echipa de auditori va examina responsabilitățile asumate de către Direcția IT cu privire la organizarea și realizarea activităților și va determina dacă își îndeplinește obligațiile în mod efectiv și eficient.
Perioada supusă evaluării este 01.01.2012 – 31.12.2012;
Obiectivele misiuni de audit intern vor fi reprezentate de:
• Plan strategic;
• Organizarea și funcționarea Direcției IT;
• Implementarea sistemului IT;
• Securitatea IT.
Vă vom contacta ulterior pentru a stabili de comun acord ședința de deschidere în vederea discutării diverselor aspecte ale misiunii de audit intern, cuprinzând:
– prezentarea auditorilor;
– prezentarea si discutarea obiectivelor misiunii de audit intern;
– scopul misiunii de audit intern;
– programul intervenției la fața locului;
– alte aspecte privind organizarea si desfășurarea misiunii.
Pentru o mai bună înțelegere a activității dumneavoastră, vă rugăm să ne puneți la dispoziție următoarea documentație necesară:
• cadrul legal și de reglementare aplicabil entității;
• organigrama direcției;
• Regulamentul de organizare și funcționare;
• fișele posturilor;
• procedurile scrise care descriu activitățile ce se desfășoară în cadrul compartimentului;
• rapoartele de audit intern anterioare;
• alte rapoarte, note, dosarele anterioare care se referă la această temă.
Pentru eventualele întrebări privind această acțiune, vă rog să contactați următoarele persoane:
Marinescu Ioana, consilier parlamentar – șef birou
Ilie Valentina Corina, consilier parlamentar
Cu deosebită considerație,
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 5
Procedura – P04: Colectarea și prelucrarea informațiilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
COLECTAREA INFORMAȚIILOR
Misiunea de audit: Activitatea IT
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 10.10.2013
Anexa nr. 6
Procedura – P05 : Analiza riscurilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina Data: 08.10.2013
Verificat: Marinescu Ioana
Anexa nr. 7
Procedura – P05 : Analiza riscurilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
IDENTIFICAREA RISCURILOR
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 08.10.2013
Anexa nr. 8
Procedura – P08: Colectarea dovezilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
CHESTIONAR DE CONTROL INTERN
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana
Nr. 28/14.10.2013
Anexa nr. 9
Procedura – P05: Analiza riscurilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
STABILIREA FACTORILOR DE RISC, PONDERILE ACESTORA
ȘI APRECIEREA NIVELURILOR RISCURILOR
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 09.10.2013
Anexa nr. 10
Procedura – P05: Analiza riscurilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
STABILIREA NIVELULUI RISCULUI ȘI PUNCTAJULUI TOTAL AL RISCULUI
Misiunea de audit: Activitatea IT
Perioada auditată: 14.10.2012 – 12.11.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana
Data: 09.10.2013
Anexa nr. 11
Procedura – P05 : Analiza riscurilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
CLASAREA OPERAȚIILOR ÎN FUNCȚIE DE ANALIZA RISCURILOR
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 09.10.2013
Anexa nr. 12
Procedura – P05 : Analiza riscurilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
TABELUL PUNCTE TARI ȘI PUNCTE SLABE
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 10.10.2013
Anexa nr. 13
Procedura – P05 : Analiza riscurilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
TEMATICA ÎN DETALIU A OPERAȚIILOR AUDITABILE
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Perioada misiunii: 14.10.2013 – 12.11.2013
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 08.10.2013
Anexa nr. 14
Procedura – P06: Elaborarea programului de audit intern
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
PROGRAMUL DE AUDIT INTERN
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 10.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 15
Procedura – P06: Elaborarea programului de audit intern
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
PROGRAMUL INTERVENȚIEI
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 10.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 16
Procedura – P07: Ședința de deschidere
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
Nr. 30/14.10.2013
MINUTA ȘEDINȚEI DE DESCHIDERE
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 14.10.2013
Lista participanților
B. Stenograma ședinței
În cadrul ședinței de deschidere s-a procedat la:
– Prezentarea echipei de auditori care urmează să efectueze misiunea de audit intern;
– Prezentarea funcției de audit intern de către auditori, în special a obiectivelor generale ale auditului intern, semnificația auditului intern.
– Prezentarea Programului intervenției la fața locului, obiectivele auditabile care se intenționează a fi realizate, după analizele de risc efectuate. A fost cerută părerea auditaților cu privire la aceste obiective, unde s-au făcut remarci că acestea în general reprezintă zone cu risc, dar s-au făcut și unele comentarii cu privire la complexitatea activității Direcției IT, unde resursele umane sunt insuficiente.
– Stabilirea persoanelor pe care auditorii le pot contacta în vederea colectării informațiilor, efectuării de teste asupra muncii lor și pentru a lua interviuri. De asemenea, a fost stabilit programul întâlnirilor și timpul necesar pentru realizarea acestor proceduri.
– Convenirea unor aspecte procedurale, respectiv eventualitatea unor ședințe intermediare în cursul auditului, informarea sistematică asupra constatărilor.
– Stabilirea Reuniunii de închidere, inclusiv a participanților.
– Stabilirea modalității de redactare a Raportului de audit intern (când, cum și cui va fi distribuit). Recomandările formulate, ca urmare a eventualelor disfuncționalități constatate, vor fi discutate și analizate cu structura auditată, inclusiv calendarul implementării și persoanele răspunzătoare cu implementarea recomandărilor.
Data: 14.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 17
Obiectivul IV.
Procedura – P08: Colectarea dovezilor
LISTA DE VERIFICARE NR. 4
Obiectivul I. SECURITATEA IT
Data: 30.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 18
PARLAMENTUL ROMÂNIEI – SENAT Anexa
Biroul de Audit Public Intern la
Lista de verificare nr. 1
INTERVIU Nr. 1.1
privind recuperarea datelor în caz de dezastru
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Intervievat,
Achim Georgiana
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 19
Procedura – P08: Colectarea dovezilor
Anexa
PARLAMENTUL ROMÂNIEI – SENAT la
Biroul de Audit Public Intern Lista de verificare nr. 1
TEST NR. 1.1
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012- 31.12.2012
Obiectul testului : Securitatea IT.
Obiectivele testului: Verificați efectuarea controalelor fizice conform procedurilor
Descrierea testului
Testarea a constat în examinarea următoarelor elemente stabilite prin Lista de verificare nr. 4, poz. 4.7, litera e), și anume:
Verificați dotarea camerelor în care se află servere-le cu echipamente adecvate, astfel:
– camere de supraveghere care acoperă zona de intrare în camera serverului monitorizate permanent de serviciul ce asigură paza clădirii;
– camere de supraveghere ce se află în interiorul camerei serverului.
– senzori de mișcare;
– sistem de alarmă în caz de incendiu;
– sistem de stingere a incendiilor;
– echipamente de aer condiționat;
– uși neinflamabile echipate cu încuietori adecvate.
Testarea s-a concretizat în elaborarea Listei de control nr. 1 privind Efectuarea controalelor fizice.
Constatări
Din analiza Listei de control 4.1, s-au constatat mai multe disfuncționalități:
deși au fost instalate camere de supraveghere în interiorul camerelor serverelor, acestea nu sunt permanent monitorizate;
nu există camere de supraveghere care acoperă zona de intrare în camera serverului;
nu exista senzori de mișcare în interiorul camerei serverului;
nu exista sistem de stingere a incendiilor;
una dintre cele două camere nu asigură condițiile tehnice optime de păstrare și conservare a echipamentului și bazelor de date aferente, în sensul în care din vizitele la fața locului au fost sesizate infiltrații cu apă, deficiențe de ventilație, aspecte care într-un mod evident pot conduce la scurtcircuitarea și supraîncălzirea echipamentelor, deteriorarea acestora și pierderea informațiilor arhivate pe aceste echipamente suport. Mai mult decât atât din aceeași inspecție la fata locului au fost sesizate și vulnerabilități cu riscuri majore în prevenirea și stingerea incendiilor. (stingătoare lipsa, instalații de energon, gaz, inexistente, alte echipamente și instalații specifice inexistente)
Din analiza, am constatat că nu există obligativitatea prezentării unei autorizații scrise pentru a scoate echipamente IT din clădirea entității publice. Această situație trebuie remediată pentru a se evita furtul echipamentelor IT.
Concluzii
În acest caz se va elabora FIAP.
Data: 30.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 20
Lista control nr. 1.1
privind efectuarea controalelor fizice conform procedurilor
Data: 30.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 21
Procedura – P08: Colectarea dovezilor Anexa
PARLAMENTUL ROMÂNIEI – SENAT la
Biroul de Audit Public Intern Lista de verificare nr. 1
FIȘĂ DE IDENTIFICARE ȘI ANALIZĂ A PROBLEMEI NR. 1.1
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012- 31.12.2012
PROBLEMA
Disfuncționalități privind modul de supraveghere și siguranța informațiilor arhivate pe echipamentele suport din cadrul camerelor serverelor.
CONSTATARE
Din analiza la fața locului s-au constatat următoarele disfuncționalități:
deși au fost instalate camere de supraveghere în interiorul camerelor serverelor, acestea nu sunt permanent monitorizate;
nu există camere de supraveghere care acoperă zona de intrare în camera serverului;
nu exista senzori de mișcare în interiorul camerei serverului;
nu exista sistem de stingere a incendiilor;
una dintre cele două camere nu asigură condițiile tehnice optime de păstrare și conservare a echipamentului și bazelor de date aferente.
CAUZE
– Lipsa spațiilor la nivelul Senatului;
– Alocarea unui buget insuficient pentru remedierea acestor disfuncționalități.
CONSECINȚE
În situația apariției unor incidente nu se pot stabili responsabilii.
Din vizitele la fața locului au fost sesizate infiltrații cu apă, deficiențe de ventilație, aspecte care într-un mod evident pot conduce la scurtcircuitarea și supraîncălzirea echipamentelor, deteriorarea acestora și pierderea informațiilor arhivate pe aceste echipamente suport. Mai mult decât atât din aceeași inspecție la fața locului au fost sesizate și vulnerabilități cu riscuri majore în prevenirea și stingerea incendiilor. (stingătoare lipsa, instalații de energon, gaz, inexistente, alte echipamente și instalații specifice inexistente).
Din documentele puse la dispoziție cu privire la cele prezentate anterior nu a rezultat că în demersul administrativ, conducerea ar fi sesizat aceste aspecte.
În urma analizei a fost constatat și faptul că nu există obligativitatea prezentării unei autorizații scrise pentru a scoate echipamente IT din clădirea entității publice. Această situație trebuie remediată pentru a se evita furtul echipamentelor IT.
RECOMANDĂRI
Implementarea unui sistem de raportare potrivit căruia responsabilul desemnat să verifice siguranța camerelor serverelor precum și a echipamentelor din cadrul acestora, să întocmească periodic rapoarte către managementul general al Senatului prin care să specifice disfuncționalitățile existente.
Data:30.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 22
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern Anexa
la
Lista de verificare nr. 1
INTERVIU Nr. 1.2
privind Politica de securitate IT
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Intervievat,
Achim Georgiana
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 23
Lista control nr. 1.2
privind Accesul și comunicarea datelor în rețea
In cadrul DIAP se realizează monitorizarea continuă a disponibilității serviciilor de conectivitate la rețea* , problemele de conectivitate individuale sunt rezolvate de către colectivul HelpDesk
Data: 30.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 24
Procedura – P08: Colectarea dovezilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
TEST NR. 1.2
Misiunea de audit: Activitatea IT.
Perioada auditată: 01.01.2012 – 31.12.2012.
Obiectul testului: Securitatea IT.
Obiectivele testului: Siguranța accesului la rețea și a comunicării datelor în rețea.
Descrierea testului
Eșantionul pentru realizarea testării siguranței accesului la rețea a fost stabilit pe
baza a 15 calculatoare personale, conform Listei de control nr. 4.2.
Testarea a constat în examinarea următoarelor elemente stabilite prin Lista de verificare nr. 4, poz. 4.8, și anume:
– Verificarea modului de alocare a numelui de utilizator și parolei aferente pentru
accesul la rețea ;
– Monitorizarea conectării la rețea conform listei de log-are.
Testarea s-a concretizat în elaborarea Listei de control nr. 4.2. privind Accesul și comunicarea datelor în rețea.
Constatări
Din analiza Listei de control nr. 4.2. rezultate, s-a constatat că alocarea numelui de utilizator și a parolei aferente pentru accesul la rețea se efectuează conform procedurii însă monitorizarea accesului la rețea nu este posibil de efectuat.
Concluzii
În acest caz nu se va elabora FIAP.
Data: 30.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 25
Lista control nr. 1.3
privind Accesul și comunicarea datelor în rețea
Actualizarea sistemelor antivirus se realizează automat iar remedierea eventualelor disfuncționalități precum și monitorizarea se realizează în momentul intervențiilor colectivului de HelpDesk
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 26
Procedura – P08: Colectarea dovezilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
Anexa
la
Lista de verificare nr. 1
TEST NR. 1.3
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Obiectul testului: Securitatea IT.
Obiectivele testului: Programele anti-virus
Descrierea testului: Eșantionul testat a fost constituit dintr-un nr. de 15 calculatoare conform Listei de control nr. 4.3.
Testarea a constat în examinarea următoarelor elemente stabilite prin Lista de verificare nr. 4, poz. 4.9, și anume:
• Verificarea implementarea programelor anti-virus conform procedurilor:
– instalarea unui program anti-virus adecvat necesităților utilizatorilor stațiilor de lucru;
– programul anti-virus să verifice stația de lucru la pornire;
– programul anti-virus să monitorizeze toate programele și aplicațiile active, mesajele primite și să verifice automat actualizările la intervale regulate (zilnic);
– programul anti-virus să se actualizeze în rețea, astfel încât să protejeze eficient datele electronice împotriva virușilor nou-apăruți.
• Monitorizarea sistematică a funcționalității programelor anti-virus;
• Verificați sistemul de actualizare a programelor anti-virus.
Constatări
Din analiza Listei de control nr. 4.3. s-a constatat că programele anti-virus au fost implementate și monitorizate conform procedurii.
Concluzii
În acest caz nu se va elabora FIAP.
Data: 31.10.2013.
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 27
Procedura – P11: Ședința de închidere
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
Nr. 33/15.11.2013
MINUTA ȘEDINȚEI DE ÎNCHIDERE
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012-31.12.2012
Întocmit: Ilie Valentina Corina
Avizat: Marinescu Ioana
Lista participanților
B. Stenograma ședinței:
În cadrul ședinței de închidere s-a procedat la:
• Prezentarea obiectivelor auditate și constatărilor pentru fiecare obiect auditat; a fost discutată fiecare deficiență în parte, au fost analizate cauzele care au contribuit la realizarea disfuncționalității, au fost prezentate recomandările care urmează a fi implementate pentru eliminarea deficiențelor constatate.
• În cadrul Ședinței de închidere direcția auditată și-a însușit în totalitate constatările și recomandările formulate de echipa de auditori.
• În consecință, proiectul Raportului de audit intern devine Raport de audit intern final care va fi pregătit pentru aprobare și transmitere structurii auditate. Raportul de audit intern va fi însoțit de o Sinteză care va conține concluziile echipei de auditori interni cu prezentarea principalelor recomandări și opinia generală a acesteia.
• Structura auditată se angajează sa completeze Planul de acțiune și calendarul
implementării recomandărilor, cu termenele de realizare și persoanele responsabile cu implementarea acestora, pe care îl vor discuta cu echipa de auditori.
Data: 15.11.2013.
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Sursa www.senat.ro Anexa nr. 28
Anexa nr. 29
Regulamentul de organizare și funcționare a serviciilor Senatului (ROF)
Art.86. – (1) Direcția pentru informatizarea activității parlamentare îndeplinește următoarele atribuții:
a) introduce, aplică și utilizează noile tehnologii din domeniul tehnologiei informațiilor în sistemul informatic al Senatului;
b) stabilește și urmărește politicile de securitate la nivelul rețelei de calculatoare a Senatului;
c) elaborează, în colaborare cu celelalte structuri din Senat, cerințele informaționale pentru optimizarea, îmbunătățirea și dezvoltarea activităților și aplicațiilor informatice necesare serviciilor Senatului;
d) face propuneri pentru achiziții și colaborează cu structurile cu competență în realizarea documentațiilor de licitație, pentru achiziții de produse, servicii și aplicații informatice necesare Sistemului Informatic Integrat al Senatului;
e) informatizează activitățile birourilor senatoriale și le interconectează la rețeaua Senatului pentru asigurarea accesului la bazele de date specifice instituției;
f) acordă asistență tehnică în însușirea de către senatori și personalul Senatului a tehnicilor de lucru cu calculatorul electronic, organizarea activității de helpdesk – dispeceratul pentru asistență tehnică a utilizatorilor din rețeaua Senatului;
g) supervizează gestionarea echipamentelor informatice și a materialelor aferente;
h) dezvoltă, implementează și întreține aplicații informatice la nivelul Senatului.
(2) Direcția pentru informatizarea activității parlamentare are în componență următoare structuri:
a) Serviciul administrare sistem și rețea informatică;
b) Biroul dezvoltare, aplicații și integrare sistem informatic;
c) Biroul baze de date economice și legislative.
(3) Biroul baze de date economice și legislative are dublă subordonare; acesta se subordonează din punct de vedere administrativ Direcției pentru informatizarea activității parlamentare, iar din punct de vedere funcțional Direcției generalei legislative și Direcției generale economice, după caz.
Art.87. – Serviciul administrare sistem și rețea informatică îndeplinește următoarele atribuții:
a) instalează, configurează și administrează stațiile de lucru din cadrul rețelei locale de calculatoare a Senatului;
b) acordă asistență tehnică în însușirea de către senatori și personalul Senatului a tehnicilor de lucru cu echipamentele informatice, organizează activitatea de helpdesk, asigurând și dispeceratul pentru asistență tehnică a utilizatorilor din rețeaua Senatului;
c) administrează și instalează soft-urile pentru serverele aferente serviciilor de director (Active Directory), serverele de aplicații (IIS), serverele de nume de domeniu (DNS), serverele de fișiere și mediile de stocare pentru arhivele electronice ale serviciilor Senatului;
d) administrează serverele de comunicație;
e) administrează sistemul de stocare a datelor pentru rețeaua locală a Senatului;
f) administrează sistemul de cablare orizontală și verticală pe suport de fibră optică și UTP, aferentă rețelei de date a Senatului;
g) administrează echipamentele/serverele de tip antivirus, firewall;
h) administrează echipamentele centrale de rețea și echipamentele de rețea pentru distribuție;
i) administrează liniile de comunicație cu furnizorii de servicii;
j) gestionează echipamentele informatice și materialele aferente;
k) realizează interconectarea birourilor senatoriale la rețeaua Senatului, pentru asigurarea accesului la resursele informatice specifice ale instituției.
Art.88. – Biroul dezvoltare, aplicații și integrare sistem informatic îndeplinește următoarele atribuții:
a) proiectează Sistemul informatic integrat al Senatului;
b) gestionează teme de proiect pentru componentele Sistemului informatic integrat al Senatului;
c) proiectează și implementează subsistemele din cadrul Sistemului informatic integrat al Senatului;
d) elaborează studii de dezvoltare tehnologică;
e) propune și realizează interconectarea cu bazele de date externe;
f) administrează, gestionează și întreține componentele hardware ale sistemului informatic integrat;
g) asigură instalarea, configurarea și întreținerea pentru soft-urile de bază și de aplicații din cadrul Sistemului informatic integrat;
h) definește și implementează strategiile de securitate, protecția împotriva atacurilor sau virușilor din exteriorul sau din interiorul rețelei locale de calculatoare a Senatului, pentru stațiile de lucru, servere și echipamente de rețea, precum și pentru autentificarea utilizatorilor în rețeaua de date a Senatului.
Art.89. – Biroul baze de date economice și legislative îndeplinește următoarele atribuții:
a) gestionează bazele de date cu acte legislative, acte politice și alte documente înregistrate și urmărește traseul parcurs de acestea, de la înregistrare până la publicarea în Monitorul Oficial al României, Partea I;
b) generează, în sistem informatizat, adresele la inițiativele legislative pentru solicitarea punctului de vedere al Guvernului, a avizului Consiliului Legislativ, a avizului Consiliului Economic și Social sau al altor instituții care, potrivit legii, avizează propunerile legislative;
c) elaborează pentru Biroul permanent și alte structuri ale Senatului lucrări de evidență și sinteză a activității legislative, precum și alte lucrări care au ca sursă informațiile existente în bazele de date gestionate de serviciu;
d) întreține bazele de date legislative existente; proiectează/reproiectează baze de date legislative, specifice activității Direcției generale legislative; implementează, administrează și dezvoltă aplicațiile legislative pentru gestionarea bazelor de date existente, realizate în cadrul Biroului sau achiziționate de la terți;
e) organizează, la nivelul Senatului, instruirea utilizatorilor cu privire la utilizarea aplicațiilor legislative de actualizare a bazelor de date sau a celor de consultare a bazelor de date, dezvoltate în cadrul serviciului și disponibile în rețeaua locală a Senatului;
f) administrează și asigură mentenanță aplicațiilor informatice ale Senatului, în domeniile: contabilitate, buget, logistică, resurse umane, salarizare, birouri senatoriale;
g) dezvoltă și implementează aplicații informatice în domeniile: contabilitate, buget, logistică, resurse umane, salarizare, birouri senatoriale, pentru buna gestionare a informațiilor din bazele de date gestionate;
h) menține legătura cu colaboratorii externi care prestează servicii de specialitate în domeniile prevăzute la lit.a) – g);
i) stabilește și urmărește politicile de securitate și de risc în domeniul bazelor de date gestionate;
j) acordă asistență tehnică utilizatorilor aplicațiilor gestionate.
Anexa nr. 30
S I N T E Z A
RAPORTULUI DE AUDIT INTERN
I. INTRODUCERE
Misiunea de audit intern privind Activitatea IT din cadrul entității publice s-a desfășurat conform prevederilor Legii nr. 672/2002 privind auditul public intern, Normelor generale privind exercitarea activității de audit public intern, aprobate prin OMFP nr. 38/2003 și a Normelor specifice aprobate de conducerea entității. Misiunea a fost cuprinsă în Planul de audit intern pe anul 2013, și a fost realizată de: Ilie Valentina Corina – Consilier parlamentar și de Marinescu Ioana – Șef birou.
II. CONCLUZII
Echipa de auditori interni in baza Programului de audit intern, a testărilor și analizei efectuate evaluează Activitatea IT din cadrul entității, după cum urmează:
III. CONSTATĂRI ȘI RECOMANDĂRI
Principalele constatări și recomandări rezultate din realizarea misiunii de audit sunt:
CONSTATARE nr. 1:
Pe baza interviului nr.1 si a Notei de relație nr.1, privind elaborarea politicii entității publice, s-au constatat următoarele:
– nu există un document formalizat care să reglementeze explicit activitatea IT din cadrul Senatului;
– inexistența unei proceduri de elaborare și aprobare a politicii IT.
RECOMANDARE nr. 1:
– Elaborarea unei proceduri scrise și formalizate privind politica entității publice în domeniul IT;
– Stabilirea responsabililor pentru elaborarea și actualizarea politicii IT;
– Corelarea atribuțiilor prezentate prin proceduri cu cele stabilite prin fișele posturilor;
– Analiza posibilităților privind asigurarea de personal de specialitate și ocuparea posturilor vacante.
CONSTATARE nr. 2:
Pe baza interviului nr.2 si a Notei de relație nr.2, privind elaborarea planului strategic al entității publice, s-au constatat următoarele:
– nu există un document formalizat care să reflecte modalitatea întocmirii unui plan strategic fundamentat corespunzător;
– inexistența procedurilor formalizate..
RECOMANDARE nr. 2:
– Elaborarea unei proceduri scrise și formalizate privind elaborarea și aprobarea planului strategic din cadrul Senatului României în domeniul IT;
– Stabilirea responsabililor pentru elaborarea și actualizarea planului strategic IT;
– Corelarea atribuțiilor prezentate prin proceduri cu cele stabilite prin fișele posturilor;
– Analiza posibilităților privind asigurarea de personal de specialitate și ocuparea posturilor vacante.
CONSTATARE nr. 3:
Din analiză s-a constatat că nu există preocupări pentru gestionarea riscurilor din cadrul entității și nu a fost ținut Registrul riscurilor cuprinzând riscurile potențiale și istoricul acestora, cu efectele și consecințele lor, precum și activitățile de control intern asociate pentru limitarea riscurilor.
RECOMANDARE nr. 3:
– Stabilirea unei strategii de gestionare a riscurilor la nivelul entității publice;
– Stabilirea responsabililor pentru elaborarea și actualizarea sistematică a procedurilor
privind întocmirea Registrului riscurilor;
– Coroborarea atribuțiilor și responsabilităților din proceduri cu cele din fișa postului referitor la gestionarea riscurilor;
– Organizarea și ținerea la zi a Registrului riscurilor cuprinzând măsurile de control intern care sunt luate pentru limitarea acestora;
– Monitorizarea sistematică, la cererea managerului responsabil cu probleme administrative, a modului de respectare în activitatea zilnică a procedurilor scrise și formalizate menite să asigure gestionare a riscului;
– Instruirea personalului pentru completarea Registrului Riscurilor de către responsabilul cu ținerea acestuia;
– Informarea echipei de auditori în privința stadiului elaborării, însușirii și monitorizării riscurilor.
CONSTATARE nr. 4:
Din analiza stadiului implementării subsistemelor IT specifice s-a constatat că datorită posturilor vacante existente și utilizării sistemului de delegare a personalului specializat pentru exercitarea funcțiilor de conducere, aceștia trebuie să-și îndeplinească sarcinile de serviciu ce le revin ca urmare a delegării, dar și sarcinile curente de serviciu, ceea ce afectează îndeplinirea atribuțiilor de serviciu și calitatea acestora.
RECOMANDARE nr. 4:
– Elaborarea procedurilor scrise și formalizate pentru suplinirea posturilor vacante și
delegarea funcțiilor de conducere precum și stabilirea responsabililor pentru elaborarea și actualizarea acestor proceduri;
– Realizarea unui program de pregătire profesională a persoanelor delegate pe funcții de conducere la nivelul entității publice
CONSTATARE nr. 5:
Din analiză s-a constatat că în cadrul unor direcții se folosesc programe fără ca pentru acestea entitatea publică să fi achiziționat licențe.
– Practic salariații au instalat programe PC descărcate gratuit.
– La nivelul sistemului IT al entității publice s-a constatat inexistența controalelor de sistem ce alertează administratorul în cazul utilizării de soft-uri pentru care nu s-au achiziționat licențe .
RECOMANDARE nr. 5:
– Elaborarea procedurilor pentru elaborarea programelor informatice pentru alertarea
administratorilor de sistem;
– Stabilirea unui responsabil cu elaborarea procedurilor și actualizarea lor.
CONSTATARE nr. 6:
– Deși au fost instalate camere de supraveghere în interiorul camerelor serverelor, acestea nu sunt permanent monitorizate;
– Nu există camere de supraveghere care acoperă zona de intrare în camera serverului;
– Nu exista senzori de mișcare în interiorul camerei serverului;
– Nu exista sistem de stingere a incendiilor;
– Una dintre cele două camere nu asigură condițiile tehnice optime de păstrare și conservare a echipamentului și bazelor de date aferente.
RECOMANDARE nr. 6:
Implementarea unui sistem de raportare potrivit căruia responsabilul desemnat să verifice siguranța camerelor serverelor precum și a echipamentelor din cadrul acestora, să întocmească periodic rapoarte către managementul general al Senatului prin care să specifice disfuncționalitățile existente.
RECOMANDARE GENERALĂ
Elaborarea procedurilor, scrise și formalizate, pentru toate activitățile care se desfășoară în cadrul Direcției pentru informatizarea activității parlamentare. De asemenea, pentru activitățile de elaborare a procedurilor să se stabilească responsabilii cu realizarea, monitorizarea implementării lor și actualizarea periodică.
Data: 01.11.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 31
Planul anual de audit 2013
B I B L I O G R A F I E
Boulescu M., Ghiță M., Mareș V. – Fundamentele auditului, Editura Didactică și Pedagogică, București, 2001
Crăciun Ș. – Auditul intern: evaluare, conciliere, Editura Economică București – 2006
Dascalu E. D., Nicolae F. – Auditul intern și instituțiile publice, Editura Economică, București, 2007
Ghiță M. – Auditul Intern, Editura Economică, București, 2005
Ghiță M., Constantin V. N. – Ghid practic privind activitatea IT, elaborate de Unitatea Centrală pentru Armonizarea Auditului Public Intern, Ministerul Finanțelor Publice, București, 2006
Ghiță M., Ghiță E., Manta, A.G. Voinea D. – Guvernanța Corporativă și Auditul Intern, Editura Universitaria, Craiova, 2009
Ghiță M. – Auditul intern (ediția a II-a), Editura Economică. București, 2009
Ghiță M., Popescu M. – Auditul Intern al Instituțiilor Publice: teorie și practică, Editura CECCAR, București, 2006
Ghiță M., Sprânceană M. – Auditul intern al instituțiilor publice, Editura Tribuna Economică, București, 2004
Ghiță M., Briciu S. – Auditul intern, Editura Ulise, Alba Iulia, 2005
Ghiță E. – Audit public intern, Editura Sitech, 2007
Ghiță M, Iațco C. – Sistemul de control intern, Editura Corona, Iași, 2006
Ghiță E., Ghiță M. – Audit și control, Editura Fundației România de Mâine, București, 2007
Jacques R. – Teoria și practica auditului intern, Ediția a IV-a, traducere din limba franceză realizată de Ministerul Finanțelor Publice în cadrul unui proiect finanțat de PHARE, București, 2002
Morariu A., Suciu G., Stoian F. – Audit intern și guvernanță corporativă, Editura Universitară, București, 2008
Munteanu V., Yuca M. – Auditul intern la Întreprinderi și instituțiile publice, Editura Wolters Kluwer, România, 2010
Nicolăescu E. – Audit Intern. Editura Pro Universitaria, București, 2010
18. *** Carta auditului public intern din cardul Senatlui Romaniei, 2004
19. *** Legea 672/2002, privind auditul public intern, republicată, 2011
20. *** Manual curs de bază pentru auditul de sistem, BDO Storz Hayward, Proiect PHARE RO2002/000.586.03.04.13 – Dezvoltarea auditului de performanță și a auditului de sistem în România, 2007
21. *** Normele specifice privind exercitarea activității de audit public intern la nivelul Ministerului Finanțelor Publice
22. *** Norme metodologice privind organizarea și funcționarea auditului intern în baza prevederilor Legii nr. 672/2002 privind auditul intern , avizate de Ministerul Finanțelor Publice, 2004
23. *** Norme profesionale ale auditului intern, publicate de IIA din SUA și comentate de IFACI din Franța, București, 2002;
24. *** Planul anual de audit pe anul 2013, Senatul Romaniei
25. *** OMFP nr. 252/2004 pentru aprobarea Codului privind conduita etică a auditorului intern, Monitorul Oficial al României nr. 128/2004
26. *** OMFP nr. 1.702/2005 pentru aprobarea normelor privind organizarea și exercitarea activității de consiliere, Monitorul Oficial, 1554/2006
27. *** OMF nr. 1386/2006 de modificarea și completare a OMFP nr. 946/2005, pentru aprobarea Codului controlului intern, cuprinzând standardele de management/control intern la entitățile publice pentru dezvoltarea sistemelor de control managerial, Monitorul Oficial nr. 771/2006
28. *** Procedura Operațională privind elaborarea, avizarea și difuzarea Raportului de audit intern PO – 11.30, Ediția II, xx.yy.2013, Revizia 0
29. *** Regulamentul de organizare și funcționare a serviciilor Senatului Romaniei
30.. *** www.senat.ro
31. *** www.mfinanțe.ro
Anexa nr. 1
Procedura – P01: Inițierea Auditului
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
Nr. 26/07.10.2013
ORDIN DE SERVICIU
În conformitate cu prevederile art. 8, litera c) din Legea nr. 672/2002 privind auditul public intern, a OMFP nr. 38/2003 de aprobare a normelor metodologice generale privind exercitarea activității de audit intern, cu modificările și completările ulterioare și a Planului de audit intern pentru anul 2013, se va efectua o misiune de audit intern privind Activitatea IT, în perioada 14.10.2013 – 12.11.2013.
Scopul misiunii de audit este de a da asigurări asupra modului de organizare și desfășurare a activității IT, în conformitate cu cadrul legislativ și normativ, iar obiectivele acestuia au în vedere:
• Plan strategic;
• Organizarea și funcționarea Direcției IT;
• Implementarea sistemului IT;
• Securitatea IT.
Menționăm că se va efectua un audit de conformitate/regularitate al modului de organizare a activității IT.
Echipa de auditori interni este formată din următorii:
• Marinescu Ioana, consilier parlamentar – șef birou
• Ilie Valentina Corina, consilier parlamentar.
Secretar General al Senatului României
Preda Marian
Anexa nr. 2
Procedura – P02: Inițierea auditului
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
DECLARAȚIA DE INDEPENDENȚĂ
Nume si prenume: Marinescu Ioana
Misiunea de audit: Activitatea IT
Data: 07.10.2013
Șef birou, Secretar General,
Marinescu Ioana Preda Marian
Anexa nr. 3
Procedura – P02: Inițierea auditului
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
DECLARAȚIA DE INDEPENDENȚĂ
Nume si prenume: Ilie Valentina Corina
Misiunea de audit: Activitatea IT
Data: 07.10.2013
Consilier parlamentar, Secretar General,
Ilie Valentina Corina Preda Marian
Anexa nr. 4
Procedura – P03: Inițierea auditului
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
27/07.10.2013
NOTIFICARE
PRIVIND DECLANȘAREA MISIUNII DE AUDIT INTERN
Către: Direcția pentru informatizarea activității parlamentare
De la: Biroul de Audit Public Intern
Referitor la misiunea de audit intern „Activitatea IT”
În conformitate cu Planul de audit intern pe anul 2013, urmează ca în perioada 14.10.2013 – 12.11.2013 să efectuăm o misiune de audit intern având ca temă Activitatea IT.
Echipa de auditori va examina responsabilitățile asumate de către Direcția IT cu privire la organizarea și realizarea activităților și va determina dacă își îndeplinește obligațiile în mod efectiv și eficient.
Perioada supusă evaluării este 01.01.2012 – 31.12.2012;
Obiectivele misiuni de audit intern vor fi reprezentate de:
• Plan strategic;
• Organizarea și funcționarea Direcției IT;
• Implementarea sistemului IT;
• Securitatea IT.
Vă vom contacta ulterior pentru a stabili de comun acord ședința de deschidere în vederea discutării diverselor aspecte ale misiunii de audit intern, cuprinzând:
– prezentarea auditorilor;
– prezentarea si discutarea obiectivelor misiunii de audit intern;
– scopul misiunii de audit intern;
– programul intervenției la fața locului;
– alte aspecte privind organizarea si desfășurarea misiunii.
Pentru o mai bună înțelegere a activității dumneavoastră, vă rugăm să ne puneți la dispoziție următoarea documentație necesară:
• cadrul legal și de reglementare aplicabil entității;
• organigrama direcției;
• Regulamentul de organizare și funcționare;
• fișele posturilor;
• procedurile scrise care descriu activitățile ce se desfășoară în cadrul compartimentului;
• rapoartele de audit intern anterioare;
• alte rapoarte, note, dosarele anterioare care se referă la această temă.
Pentru eventualele întrebări privind această acțiune, vă rog să contactați următoarele persoane:
Marinescu Ioana, consilier parlamentar – șef birou
Ilie Valentina Corina, consilier parlamentar
Cu deosebită considerație,
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 5
Procedura – P04: Colectarea și prelucrarea informațiilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
COLECTAREA INFORMAȚIILOR
Misiunea de audit: Activitatea IT
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 10.10.2013
Anexa nr. 6
Procedura – P05 : Analiza riscurilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
LISTA CENTRALIZATOARE A OBIECTELOR AUDITABILE
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina Data: 08.10.2013
Verificat: Marinescu Ioana
Anexa nr. 7
Procedura – P05 : Analiza riscurilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
IDENTIFICAREA RISCURILOR
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 08.10.2013
Anexa nr. 8
Procedura – P08: Colectarea dovezilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
CHESTIONAR DE CONTROL INTERN
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana
Nr. 28/14.10.2013
Anexa nr. 9
Procedura – P05: Analiza riscurilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
STABILIREA FACTORILOR DE RISC, PONDERILE ACESTORA
ȘI APRECIEREA NIVELURILOR RISCURILOR
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 09.10.2013
Anexa nr. 10
Procedura – P05: Analiza riscurilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
STABILIREA NIVELULUI RISCULUI ȘI PUNCTAJULUI TOTAL AL RISCULUI
Misiunea de audit: Activitatea IT
Perioada auditată: 14.10.2012 – 12.11.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana
Data: 09.10.2013
Anexa nr. 11
Procedura – P05 : Analiza riscurilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
CLASAREA OPERAȚIILOR ÎN FUNCȚIE DE ANALIZA RISCURILOR
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 09.10.2013
Anexa nr. 12
Procedura – P05 : Analiza riscurilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
TABELUL PUNCTE TARI ȘI PUNCTE SLABE
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 10.10.2013
Anexa nr. 13
Procedura – P05 : Analiza riscurilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
TEMATICA ÎN DETALIU A OPERAȚIILOR AUDITABILE
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Perioada misiunii: 14.10.2013 – 12.11.2013
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 08.10.2013
Anexa nr. 14
Procedura – P06: Elaborarea programului de audit intern
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
PROGRAMUL DE AUDIT INTERN
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 10.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 15
Procedura – P06: Elaborarea programului de audit intern
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
PROGRAMUL INTERVENȚIEI
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 10.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 16
Procedura – P07: Ședința de deschidere
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
Nr. 30/14.10.2013
MINUTA ȘEDINȚEI DE DESCHIDERE
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Întocmit: Ilie Valentina Corina
Verificat: Marinescu Ioana Data: 14.10.2013
Lista participanților
B. Stenograma ședinței
În cadrul ședinței de deschidere s-a procedat la:
– Prezentarea echipei de auditori care urmează să efectueze misiunea de audit intern;
– Prezentarea funcției de audit intern de către auditori, în special a obiectivelor generale ale auditului intern, semnificația auditului intern.
– Prezentarea Programului intervenției la fața locului, obiectivele auditabile care se intenționează a fi realizate, după analizele de risc efectuate. A fost cerută părerea auditaților cu privire la aceste obiective, unde s-au făcut remarci că acestea în general reprezintă zone cu risc, dar s-au făcut și unele comentarii cu privire la complexitatea activității Direcției IT, unde resursele umane sunt insuficiente.
– Stabilirea persoanelor pe care auditorii le pot contacta în vederea colectării informațiilor, efectuării de teste asupra muncii lor și pentru a lua interviuri. De asemenea, a fost stabilit programul întâlnirilor și timpul necesar pentru realizarea acestor proceduri.
– Convenirea unor aspecte procedurale, respectiv eventualitatea unor ședințe intermediare în cursul auditului, informarea sistematică asupra constatărilor.
– Stabilirea Reuniunii de închidere, inclusiv a participanților.
– Stabilirea modalității de redactare a Raportului de audit intern (când, cum și cui va fi distribuit). Recomandările formulate, ca urmare a eventualelor disfuncționalități constatate, vor fi discutate și analizate cu structura auditată, inclusiv calendarul implementării și persoanele răspunzătoare cu implementarea recomandărilor.
Data: 14.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 17
Obiectivul IV.
Procedura – P08: Colectarea dovezilor
LISTA DE VERIFICARE NR. 4
Obiectivul I. SECURITATEA IT
Data: 30.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 18
PARLAMENTUL ROMÂNIEI – SENAT Anexa
Biroul de Audit Public Intern la
Lista de verificare nr. 1
INTERVIU Nr. 1.1
privind recuperarea datelor în caz de dezastru
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Intervievat,
Achim Georgiana
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 19
Procedura – P08: Colectarea dovezilor
Anexa
PARLAMENTUL ROMÂNIEI – SENAT la
Biroul de Audit Public Intern Lista de verificare nr. 1
TEST NR. 1.1
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012- 31.12.2012
Obiectul testului : Securitatea IT.
Obiectivele testului: Verificați efectuarea controalelor fizice conform procedurilor
Descrierea testului
Testarea a constat în examinarea următoarelor elemente stabilite prin Lista de verificare nr. 4, poz. 4.7, litera e), și anume:
Verificați dotarea camerelor în care se află servere-le cu echipamente adecvate, astfel:
– camere de supraveghere care acoperă zona de intrare în camera serverului monitorizate permanent de serviciul ce asigură paza clădirii;
– camere de supraveghere ce se află în interiorul camerei serverului.
– senzori de mișcare;
– sistem de alarmă în caz de incendiu;
– sistem de stingere a incendiilor;
– echipamente de aer condiționat;
– uși neinflamabile echipate cu încuietori adecvate.
Testarea s-a concretizat în elaborarea Listei de control nr. 1 privind Efectuarea controalelor fizice.
Constatări
Din analiza Listei de control 4.1, s-au constatat mai multe disfuncționalități:
deși au fost instalate camere de supraveghere în interiorul camerelor serverelor, acestea nu sunt permanent monitorizate;
nu există camere de supraveghere care acoperă zona de intrare în camera serverului;
nu exista senzori de mișcare în interiorul camerei serverului;
nu exista sistem de stingere a incendiilor;
una dintre cele două camere nu asigură condițiile tehnice optime de păstrare și conservare a echipamentului și bazelor de date aferente, în sensul în care din vizitele la fața locului au fost sesizate infiltrații cu apă, deficiențe de ventilație, aspecte care într-un mod evident pot conduce la scurtcircuitarea și supraîncălzirea echipamentelor, deteriorarea acestora și pierderea informațiilor arhivate pe aceste echipamente suport. Mai mult decât atât din aceeași inspecție la fata locului au fost sesizate și vulnerabilități cu riscuri majore în prevenirea și stingerea incendiilor. (stingătoare lipsa, instalații de energon, gaz, inexistente, alte echipamente și instalații specifice inexistente)
Din analiza, am constatat că nu există obligativitatea prezentării unei autorizații scrise pentru a scoate echipamente IT din clădirea entității publice. Această situație trebuie remediată pentru a se evita furtul echipamentelor IT.
Concluzii
În acest caz se va elabora FIAP.
Data: 30.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 20
Lista control nr. 1.1
privind efectuarea controalelor fizice conform procedurilor
Data: 30.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 21
Procedura – P08: Colectarea dovezilor Anexa
PARLAMENTUL ROMÂNIEI – SENAT la
Biroul de Audit Public Intern Lista de verificare nr. 1
FIȘĂ DE IDENTIFICARE ȘI ANALIZĂ A PROBLEMEI NR. 1.1
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012- 31.12.2012
PROBLEMA
Disfuncționalități privind modul de supraveghere și siguranța informațiilor arhivate pe echipamentele suport din cadrul camerelor serverelor.
CONSTATARE
Din analiza la fața locului s-au constatat următoarele disfuncționalități:
deși au fost instalate camere de supraveghere în interiorul camerelor serverelor, acestea nu sunt permanent monitorizate;
nu există camere de supraveghere care acoperă zona de intrare în camera serverului;
nu exista senzori de mișcare în interiorul camerei serverului;
nu exista sistem de stingere a incendiilor;
una dintre cele două camere nu asigură condițiile tehnice optime de păstrare și conservare a echipamentului și bazelor de date aferente.
CAUZE
– Lipsa spațiilor la nivelul Senatului;
– Alocarea unui buget insuficient pentru remedierea acestor disfuncționalități.
CONSECINȚE
În situația apariției unor incidente nu se pot stabili responsabilii.
Din vizitele la fața locului au fost sesizate infiltrații cu apă, deficiențe de ventilație, aspecte care într-un mod evident pot conduce la scurtcircuitarea și supraîncălzirea echipamentelor, deteriorarea acestora și pierderea informațiilor arhivate pe aceste echipamente suport. Mai mult decât atât din aceeași inspecție la fața locului au fost sesizate și vulnerabilități cu riscuri majore în prevenirea și stingerea incendiilor. (stingătoare lipsa, instalații de energon, gaz, inexistente, alte echipamente și instalații specifice inexistente).
Din documentele puse la dispoziție cu privire la cele prezentate anterior nu a rezultat că în demersul administrativ, conducerea ar fi sesizat aceste aspecte.
În urma analizei a fost constatat și faptul că nu există obligativitatea prezentării unei autorizații scrise pentru a scoate echipamente IT din clădirea entității publice. Această situație trebuie remediată pentru a se evita furtul echipamentelor IT.
RECOMANDĂRI
Implementarea unui sistem de raportare potrivit căruia responsabilul desemnat să verifice siguranța camerelor serverelor precum și a echipamentelor din cadrul acestora, să întocmească periodic rapoarte către managementul general al Senatului prin care să specifice disfuncționalitățile existente.
Data:30.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 22
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern Anexa
la
Lista de verificare nr. 1
INTERVIU Nr. 1.2
privind Politica de securitate IT
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Intervievat,
Achim Georgiana
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 23
Lista control nr. 1.2
privind Accesul și comunicarea datelor în rețea
In cadrul DIAP se realizează monitorizarea continuă a disponibilității serviciilor de conectivitate la rețea* , problemele de conectivitate individuale sunt rezolvate de către colectivul HelpDesk
Data: 30.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 24
Procedura – P08: Colectarea dovezilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
TEST NR. 1.2
Misiunea de audit: Activitatea IT.
Perioada auditată: 01.01.2012 – 31.12.2012.
Obiectul testului: Securitatea IT.
Obiectivele testului: Siguranța accesului la rețea și a comunicării datelor în rețea.
Descrierea testului
Eșantionul pentru realizarea testării siguranței accesului la rețea a fost stabilit pe
baza a 15 calculatoare personale, conform Listei de control nr. 4.2.
Testarea a constat în examinarea următoarelor elemente stabilite prin Lista de verificare nr. 4, poz. 4.8, și anume:
– Verificarea modului de alocare a numelui de utilizator și parolei aferente pentru
accesul la rețea ;
– Monitorizarea conectării la rețea conform listei de log-are.
Testarea s-a concretizat în elaborarea Listei de control nr. 4.2. privind Accesul și comunicarea datelor în rețea.
Constatări
Din analiza Listei de control nr. 4.2. rezultate, s-a constatat că alocarea numelui de utilizator și a parolei aferente pentru accesul la rețea se efectuează conform procedurii însă monitorizarea accesului la rețea nu este posibil de efectuat.
Concluzii
În acest caz nu se va elabora FIAP.
Data: 30.10.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 25
Lista control nr. 1.3
privind Accesul și comunicarea datelor în rețea
Actualizarea sistemelor antivirus se realizează automat iar remedierea eventualelor disfuncționalități precum și monitorizarea se realizează în momentul intervențiilor colectivului de HelpDesk
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 26
Procedura – P08: Colectarea dovezilor
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
Anexa
la
Lista de verificare nr. 1
TEST NR. 1.3
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012 – 31.12.2012
Obiectul testului: Securitatea IT.
Obiectivele testului: Programele anti-virus
Descrierea testului: Eșantionul testat a fost constituit dintr-un nr. de 15 calculatoare conform Listei de control nr. 4.3.
Testarea a constat în examinarea următoarelor elemente stabilite prin Lista de verificare nr. 4, poz. 4.9, și anume:
• Verificarea implementarea programelor anti-virus conform procedurilor:
– instalarea unui program anti-virus adecvat necesităților utilizatorilor stațiilor de lucru;
– programul anti-virus să verifice stația de lucru la pornire;
– programul anti-virus să monitorizeze toate programele și aplicațiile active, mesajele primite și să verifice automat actualizările la intervale regulate (zilnic);
– programul anti-virus să se actualizeze în rețea, astfel încât să protejeze eficient datele electronice împotriva virușilor nou-apăruți.
• Monitorizarea sistematică a funcționalității programelor anti-virus;
• Verificați sistemul de actualizare a programelor anti-virus.
Constatări
Din analiza Listei de control nr. 4.3. s-a constatat că programele anti-virus au fost implementate și monitorizate conform procedurii.
Concluzii
În acest caz nu se va elabora FIAP.
Data: 31.10.2013.
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 27
Procedura – P11: Ședința de închidere
PARLAMENTUL ROMÂNIEI – SENAT
Biroul de Audit Public Intern
Nr. 33/15.11.2013
MINUTA ȘEDINȚEI DE ÎNCHIDERE
Misiunea de audit: Activitatea IT
Perioada auditată: 01.01.2012-31.12.2012
Întocmit: Ilie Valentina Corina
Avizat: Marinescu Ioana
Lista participanților
B. Stenograma ședinței:
În cadrul ședinței de închidere s-a procedat la:
• Prezentarea obiectivelor auditate și constatărilor pentru fiecare obiect auditat; a fost discutată fiecare deficiență în parte, au fost analizate cauzele care au contribuit la realizarea disfuncționalității, au fost prezentate recomandările care urmează a fi implementate pentru eliminarea deficiențelor constatate.
• În cadrul Ședinței de închidere direcția auditată și-a însușit în totalitate constatările și recomandările formulate de echipa de auditori.
• În consecință, proiectul Raportului de audit intern devine Raport de audit intern final care va fi pregătit pentru aprobare și transmitere structurii auditate. Raportul de audit intern va fi însoțit de o Sinteză care va conține concluziile echipei de auditori interni cu prezentarea principalelor recomandări și opinia generală a acesteia.
• Structura auditată se angajează sa completeze Planul de acțiune și calendarul
implementării recomandărilor, cu termenele de realizare și persoanele responsabile cu implementarea acestora, pe care îl vor discuta cu echipa de auditori.
Data: 15.11.2013.
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Sursa www.senat.ro Anexa nr. 28
Anexa nr. 29
Regulamentul de organizare și funcționare a serviciilor Senatului (ROF)
Art.86. – (1) Direcția pentru informatizarea activității parlamentare îndeplinește următoarele atribuții:
a) introduce, aplică și utilizează noile tehnologii din domeniul tehnologiei informațiilor în sistemul informatic al Senatului;
b) stabilește și urmărește politicile de securitate la nivelul rețelei de calculatoare a Senatului;
c) elaborează, în colaborare cu celelalte structuri din Senat, cerințele informaționale pentru optimizarea, îmbunătățirea și dezvoltarea activităților și aplicațiilor informatice necesare serviciilor Senatului;
d) face propuneri pentru achiziții și colaborează cu structurile cu competență în realizarea documentațiilor de licitație, pentru achiziții de produse, servicii și aplicații informatice necesare Sistemului Informatic Integrat al Senatului;
e) informatizează activitățile birourilor senatoriale și le interconectează la rețeaua Senatului pentru asigurarea accesului la bazele de date specifice instituției;
f) acordă asistență tehnică în însușirea de către senatori și personalul Senatului a tehnicilor de lucru cu calculatorul electronic, organizarea activității de helpdesk – dispeceratul pentru asistență tehnică a utilizatorilor din rețeaua Senatului;
g) supervizează gestionarea echipamentelor informatice și a materialelor aferente;
h) dezvoltă, implementează și întreține aplicații informatice la nivelul Senatului.
(2) Direcția pentru informatizarea activității parlamentare are în componență următoare structuri:
a) Serviciul administrare sistem și rețea informatică;
b) Biroul dezvoltare, aplicații și integrare sistem informatic;
c) Biroul baze de date economice și legislative.
(3) Biroul baze de date economice și legislative are dublă subordonare; acesta se subordonează din punct de vedere administrativ Direcției pentru informatizarea activității parlamentare, iar din punct de vedere funcțional Direcției generalei legislative și Direcției generale economice, după caz.
Art.87. – Serviciul administrare sistem și rețea informatică îndeplinește următoarele atribuții:
a) instalează, configurează și administrează stațiile de lucru din cadrul rețelei locale de calculatoare a Senatului;
b) acordă asistență tehnică în însușirea de către senatori și personalul Senatului a tehnicilor de lucru cu echipamentele informatice, organizează activitatea de helpdesk, asigurând și dispeceratul pentru asistență tehnică a utilizatorilor din rețeaua Senatului;
c) administrează și instalează soft-urile pentru serverele aferente serviciilor de director (Active Directory), serverele de aplicații (IIS), serverele de nume de domeniu (DNS), serverele de fișiere și mediile de stocare pentru arhivele electronice ale serviciilor Senatului;
d) administrează serverele de comunicație;
e) administrează sistemul de stocare a datelor pentru rețeaua locală a Senatului;
f) administrează sistemul de cablare orizontală și verticală pe suport de fibră optică și UTP, aferentă rețelei de date a Senatului;
g) administrează echipamentele/serverele de tip antivirus, firewall;
h) administrează echipamentele centrale de rețea și echipamentele de rețea pentru distribuție;
i) administrează liniile de comunicație cu furnizorii de servicii;
j) gestionează echipamentele informatice și materialele aferente;
k) realizează interconectarea birourilor senatoriale la rețeaua Senatului, pentru asigurarea accesului la resursele informatice specifice ale instituției.
Art.88. – Biroul dezvoltare, aplicații și integrare sistem informatic îndeplinește următoarele atribuții:
a) proiectează Sistemul informatic integrat al Senatului;
b) gestionează teme de proiect pentru componentele Sistemului informatic integrat al Senatului;
c) proiectează și implementează subsistemele din cadrul Sistemului informatic integrat al Senatului;
d) elaborează studii de dezvoltare tehnologică;
e) propune și realizează interconectarea cu bazele de date externe;
f) administrează, gestionează și întreține componentele hardware ale sistemului informatic integrat;
g) asigură instalarea, configurarea și întreținerea pentru soft-urile de bază și de aplicații din cadrul Sistemului informatic integrat;
h) definește și implementează strategiile de securitate, protecția împotriva atacurilor sau virușilor din exteriorul sau din interiorul rețelei locale de calculatoare a Senatului, pentru stațiile de lucru, servere și echipamente de rețea, precum și pentru autentificarea utilizatorilor în rețeaua de date a Senatului.
Art.89. – Biroul baze de date economice și legislative îndeplinește următoarele atribuții:
a) gestionează bazele de date cu acte legislative, acte politice și alte documente înregistrate și urmărește traseul parcurs de acestea, de la înregistrare până la publicarea în Monitorul Oficial al României, Partea I;
b) generează, în sistem informatizat, adresele la inițiativele legislative pentru solicitarea punctului de vedere al Guvernului, a avizului Consiliului Legislativ, a avizului Consiliului Economic și Social sau al altor instituții care, potrivit legii, avizează propunerile legislative;
c) elaborează pentru Biroul permanent și alte structuri ale Senatului lucrări de evidență și sinteză a activității legislative, precum și alte lucrări care au ca sursă informațiile existente în bazele de date gestionate de serviciu;
d) întreține bazele de date legislative existente; proiectează/reproiectează baze de date legislative, specifice activității Direcției generale legislative; implementează, administrează și dezvoltă aplicațiile legislative pentru gestionarea bazelor de date existente, realizate în cadrul Biroului sau achiziționate de la terți;
e) organizează, la nivelul Senatului, instruirea utilizatorilor cu privire la utilizarea aplicațiilor legislative de actualizare a bazelor de date sau a celor de consultare a bazelor de date, dezvoltate în cadrul serviciului și disponibile în rețeaua locală a Senatului;
f) administrează și asigură mentenanță aplicațiilor informatice ale Senatului, în domeniile: contabilitate, buget, logistică, resurse umane, salarizare, birouri senatoriale;
g) dezvoltă și implementează aplicații informatice în domeniile: contabilitate, buget, logistică, resurse umane, salarizare, birouri senatoriale, pentru buna gestionare a informațiilor din bazele de date gestionate;
h) menține legătura cu colaboratorii externi care prestează servicii de specialitate în domeniile prevăzute la lit.a) – g);
i) stabilește și urmărește politicile de securitate și de risc în domeniul bazelor de date gestionate;
j) acordă asistență tehnică utilizatorilor aplicațiilor gestionate.
Anexa nr. 30
S I N T E Z A
RAPORTULUI DE AUDIT INTERN
I. INTRODUCERE
Misiunea de audit intern privind Activitatea IT din cadrul entității publice s-a desfășurat conform prevederilor Legii nr. 672/2002 privind auditul public intern, Normelor generale privind exercitarea activității de audit public intern, aprobate prin OMFP nr. 38/2003 și a Normelor specifice aprobate de conducerea entității. Misiunea a fost cuprinsă în Planul de audit intern pe anul 2013, și a fost realizată de: Ilie Valentina Corina – Consilier parlamentar și de Marinescu Ioana – Șef birou.
II. CONCLUZII
Echipa de auditori interni in baza Programului de audit intern, a testărilor și analizei efectuate evaluează Activitatea IT din cadrul entității, după cum urmează:
III. CONSTATĂRI ȘI RECOMANDĂRI
Principalele constatări și recomandări rezultate din realizarea misiunii de audit sunt:
CONSTATARE nr. 1:
Pe baza interviului nr.1 si a Notei de relație nr.1, privind elaborarea politicii entității publice, s-au constatat următoarele:
– nu există un document formalizat care să reglementeze explicit activitatea IT din cadrul Senatului;
– inexistența unei proceduri de elaborare și aprobare a politicii IT.
RECOMANDARE nr. 1:
– Elaborarea unei proceduri scrise și formalizate privind politica entității publice în domeniul IT;
– Stabilirea responsabililor pentru elaborarea și actualizarea politicii IT;
– Corelarea atribuțiilor prezentate prin proceduri cu cele stabilite prin fișele posturilor;
– Analiza posibilităților privind asigurarea de personal de specialitate și ocuparea posturilor vacante.
CONSTATARE nr. 2:
Pe baza interviului nr.2 si a Notei de relație nr.2, privind elaborarea planului strategic al entității publice, s-au constatat următoarele:
– nu există un document formalizat care să reflecte modalitatea întocmirii unui plan strategic fundamentat corespunzător;
– inexistența procedurilor formalizate..
RECOMANDARE nr. 2:
– Elaborarea unei proceduri scrise și formalizate privind elaborarea și aprobarea planului strategic din cadrul Senatului României în domeniul IT;
– Stabilirea responsabililor pentru elaborarea și actualizarea planului strategic IT;
– Corelarea atribuțiilor prezentate prin proceduri cu cele stabilite prin fișele posturilor;
– Analiza posibilităților privind asigurarea de personal de specialitate și ocuparea posturilor vacante.
CONSTATARE nr. 3:
Din analiză s-a constatat că nu există preocupări pentru gestionarea riscurilor din cadrul entității și nu a fost ținut Registrul riscurilor cuprinzând riscurile potențiale și istoricul acestora, cu efectele și consecințele lor, precum și activitățile de control intern asociate pentru limitarea riscurilor.
RECOMANDARE nr. 3:
– Stabilirea unei strategii de gestionare a riscurilor la nivelul entității publice;
– Stabilirea responsabililor pentru elaborarea și actualizarea sistematică a procedurilor
privind întocmirea Registrului riscurilor;
– Coroborarea atribuțiilor și responsabilităților din proceduri cu cele din fișa postului referitor la gestionarea riscurilor;
– Organizarea și ținerea la zi a Registrului riscurilor cuprinzând măsurile de control intern care sunt luate pentru limitarea acestora;
– Monitorizarea sistematică, la cererea managerului responsabil cu probleme administrative, a modului de respectare în activitatea zilnică a procedurilor scrise și formalizate menite să asigure gestionare a riscului;
– Instruirea personalului pentru completarea Registrului Riscurilor de către responsabilul cu ținerea acestuia;
– Informarea echipei de auditori în privința stadiului elaborării, însușirii și monitorizării riscurilor.
CONSTATARE nr. 4:
Din analiza stadiului implementării subsistemelor IT specifice s-a constatat că datorită posturilor vacante existente și utilizării sistemului de delegare a personalului specializat pentru exercitarea funcțiilor de conducere, aceștia trebuie să-și îndeplinească sarcinile de serviciu ce le revin ca urmare a delegării, dar și sarcinile curente de serviciu, ceea ce afectează îndeplinirea atribuțiilor de serviciu și calitatea acestora.
RECOMANDARE nr. 4:
– Elaborarea procedurilor scrise și formalizate pentru suplinirea posturilor vacante și
delegarea funcțiilor de conducere precum și stabilirea responsabililor pentru elaborarea și actualizarea acestor proceduri;
– Realizarea unui program de pregătire profesională a persoanelor delegate pe funcții de conducere la nivelul entității publice
CONSTATARE nr. 5:
Din analiză s-a constatat că în cadrul unor direcții se folosesc programe fără ca pentru acestea entitatea publică să fi achiziționat licențe.
– Practic salariații au instalat programe PC descărcate gratuit.
– La nivelul sistemului IT al entității publice s-a constatat inexistența controalelor de sistem ce alertează administratorul în cazul utilizării de soft-uri pentru care nu s-au achiziționat licențe .
RECOMANDARE nr. 5:
– Elaborarea procedurilor pentru elaborarea programelor informatice pentru alertarea
administratorilor de sistem;
– Stabilirea unui responsabil cu elaborarea procedurilor și actualizarea lor.
CONSTATARE nr. 6:
– Deși au fost instalate camere de supraveghere în interiorul camerelor serverelor, acestea nu sunt permanent monitorizate;
– Nu există camere de supraveghere care acoperă zona de intrare în camera serverului;
– Nu exista senzori de mișcare în interiorul camerei serverului;
– Nu exista sistem de stingere a incendiilor;
– Una dintre cele două camere nu asigură condițiile tehnice optime de păstrare și conservare a echipamentului și bazelor de date aferente.
RECOMANDARE nr. 6:
Implementarea unui sistem de raportare potrivit căruia responsabilul desemnat să verifice siguranța camerelor serverelor precum și a echipamentelor din cadrul acestora, să întocmească periodic rapoarte către managementul general al Senatului prin care să specifice disfuncționalitățile existente.
RECOMANDARE GENERALĂ
Elaborarea procedurilor, scrise și formalizate, pentru toate activitățile care se desfășoară în cadrul Direcției pentru informatizarea activității parlamentare. De asemenea, pentru activitățile de elaborare a procedurilor să se stabilească responsabilii cu realizarea, monitorizarea implementării lor și actualizarea periodică.
Data: 01.11.2013
Consilier parlamentar, Șef birou,
Ilie Valentina Corina Marinescu Ioana
Anexa nr. 31
Planul anual de audit 2013
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Raportul de Audit Public Intern (ID: 145631)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.