5c6658b0-5093-4d90-975e-cccdba8cdfa5-150305161012-conversion-gate01

7/21/2019 5c6658b0-5093-4d90-975e-cccdba8cdfa5-150305161012-conversion-gate01

1/30

ACADEMIA DE STUDII ECONOMICE - Bucuresti

Facultatea de Contabilitate si Informatica de Gestiune

LUCRARE DE DISERTATIE

Conducator stiintific Absolvent

Lector univ. dr. Nicoleta Coman Grecu Constantin Alexandru

Grecu Constantin - Alexandru

Analiza sistemului de audit intern

la o societate din sectorul productie panificatie


2/30

ACADEMIA DE STUDII ECONOMICE - Bucuresti

Facultatea de Contabilitate si Informatica de Gestiune

Master Concepte si Practici de Audit la Nivel National si International

LUCRARE DE DISERTATIE

ANALIZA SISTEMULUI DE AUDIT INTERN

LA O SOCIETATE DIN SECTORUL

PRODUCTIE PANIFICATIE

Bucuresti

2012





3/30

CUPRINS

Cuprins ................................................................................................................................................. 2

Capitolul I - Cadrul teoretic si conceptual al auditului intern .............................................................. 3

1. Notiuni introductive .................................................................................................................. 3

1.1. Introducere ......................................................................................................................... 3

1.2. Normalizarea auditului intern pe plan national si international ......................................... 6

1.3. Cadrul conceptual al auditului intern ................................................................................. 7

2. Functia de audit intern intr-o organizatie .................................................................................. 8

2.1. Diferentele dintre audit intern si control intern .................................................................. 8

2.2. Organizarea functiei de audit intern intr-o organizatie ...................................................... 92.3. Relatia dintre audit intern si audit extern ......................................................................... 10

3. Misiunea de audit intern .......................................................................................................... 11

3.1. Etapa 1 Evaluarea riscurilor .......................................................................................... 11

3.2. Etapa 2 Intocmirea planului de audit ............................................................................ 13

3.3. Etapa 3 Planificarea misiunii ........................................................................................ 14

3.4. Etapa 4 Auditul interimar .............................................................................................. 14

3.5. Etapa 5 Raportul de audit ............................................................................................. 16

3.6. Responsabilitati post-audit ............................................................................................... 17

Capitolul II - Contributii personale. Proiect de perfectionare si aprofundare .................................... 18

4. Studiu de caz: Evaluarea sistemului de audit intern ................................................................ 18

4.1. Prezentarea studiului de caz ............................................................................................. 18

4.2. Analiza activitatii departamentului de audit intern .......................................................... 18

Bibliografie ......................................................................................................................................... 29





4/30

CAPITOLUL I - CADRUL TEORETIC SI CONCEPTUALAL

AUDITULUI INTERN

1. NOTIUNI INTRODUCTIVE

1.1. INTRODUCERE

O companie este o organizatie structurata in mai multe grupuri de indivizi cu un interes comun care

prin activitatea lor desfasurata ajung la o finalitate numita profit. In zilele noastre structura unei

companii poate imbraca nenumarate forme si poate avea functiuni cat mai variate, insa oricare ar fi

structura organizatiei, exista o axioma care reglementeaza procesul de atingere al finalitatiiactivitatii si anume: orice activitate trebuie sa aiba un obiectiv care va puncta finalitatea ei.

Atingerea obiectivelor presupune o suma de procese ce trebuie sa aiba loc pentru ca finalitatea sa

aiba loc. Aceste procese devin din ce in ce mai variate si mai dificile odata cu dezvoltarea

organizatiei si astfel o companie are nevoie de oameni diferiti si cat mai specializati in

departamente specifice ce au ca scop realizarea unui singur proces. Astfel o companie va avea

atatea grupuri de indivizi specializati sau departamente cu diferite functiuni cate procese sunt

necesare pentru atingerea obiectivelor.

Obiectivele sunt stabilite de catre managementul companiei si atingerea acestora reprezinta

responsabilitatea lor, iar procesele necesare a lua loc vor fi executate de catre toate departamentele

organizatiei. Insa exista nenumarate forme de risc care conduc la o realizare mai putin eficienta a

executarii decat cea preconizata. Cum se pot reduce aceste riscuri la un nivel cat mai scazut pentru o

preformanta crescuta? Cum se poate asigura o eficienta maxima si o pierdere minima de resurse in

timpul realizarii acestor procese? O parte a managementului si anume managementul risculuiva fi

insaricinata cu identificarea acestor riscuri si va introduce metode de control astfel incat sa asigure

executarea proceselor in bune conditii, astfel intervine functia de sistem de control intern. Insa

cine asigura ca metodele de control stabilite de management sunt eficiente si ca sunt implementate

corect? Aici intervine functia de audit interncare asigura prin metode specifice ca toate riscurile lacare se expune societatea sunt controlate la un nivel acceptabil prin mecanismele de control intern

instituite.





5/30

Mai jos este reprezentata legatura dintre aceste 4 functiuni intr-o organizatie care conlucreaza la

asigurarea atingeriiobiectivelor:

Managementul unei organizatii trebuie sa se asigure ca, pentru a se proteja impotriva riscurilor, ia

masuri de precautie prin instituirea controlului intern. Punerea in aplicare a acestui proces necesita

mecanisme, instrumente, politici si proceduri, oameni si sisteme. Pentru a exista functia de control

intern, nu este obligatoriu sa fie infiintat un departament care sa-i poarte numele. De exemplu unportar indeplineste o sarcina specifica de control intern, dupa cum si un contabil, prin

responsabilitatile sale, reprezinta implicit o rotita din cadrul acestui proces.

Managementul riscurilor are misiunea de a examina in permanenta activitatile organizatiei cu

scopul de a identifica riscuri noi sau modul in care acestea au evoluat in timp. Totodata,

departamentul de management al riscurilor elaboreazasi actualizeaza normele si procedurile

organizatiei privitoare la controlul intern ce urmeaza a fi implementate. Printre activitatile

departamentului de management al riscurilor se numarasedintele de analizasi evaluare a apetitului

pentru risc, activitati de mare interes pentru auditui intern. In principiu, cele doua departamente din

cadrul unei organizatii colaboreazain realizarea misiunilor lor, dar nu se subordoneaza unulceluiIalt. In mod ideal, functia managementul riscurilor nu trebuie sa se suprapuna cu functia

audilului intern.

Apoi, pentru a se asigura ca masurile de control intern sunt suficiente, eficiente si eficace in

prevenirea si atenuarea riscurilor care ameninta obiectivele organizatiei, este necesara o functie

independenta de monitorizare si evaluare continua a controlului intern numita audit intern. Prin

intermediul auditului intern, managementul unei organizatii urmareste sa se asigure ca functia de

control intern instituita functioneaza eficient, eficace si suficient pentru a ameliora sau elimina

riscurile identificate.

Auditul intern furnizeaza managementului unei organizatii o opinie independenta si obiectiva cu

privire la faptul ca riscurile cu care se confrunta organizatia sunt sau nu ameliorate la un nivel

acceptabil prin controlul intern.D. Griffits

Functia: Management Stabilirea obiectivelor

Functia: Managementul Riscului Identificarea riscurilor

Functia: Control Intern Asigurarea masurilor de control

Functia: Audit Intern Monitorizarea controlului





6/30

TIPURI DE AUDIT INTERN

AUDITUL FINANCIAR

Scopul misiunilor de audit financiar realizate de auditorii interni este de a examina credibilitatea

sistemului contabil si de informare financiara. Diferenta majoraintre auditul financiar extern si

auditulfinanciar intern constain credibilitatea si destinatarii raportului de audit. In timpce raportul

auditorilor externi se adreseaza utilizatorilor externi de informatiifinanciar-contabile si, prinindependenta totala a auditorilor externi fata de clientiisai, opinia lor confera un grad de incredere

sporit in raportarile financiare publiceale companiilor, raportul auditorilor interni se adreseazain

exclusivitatemanagementului organizatiei. Opinia auditorilor interni este constransa de

apetitulpentru risc al conducerii, in timp ce opinia auditorilor externi are drept criteriu dereferinta

imaginea fidelain relatie cu pragul de semnificatie. De altfel, in ipotezain care raportul auditorilor

interni privind activitatea financiar-contabila ar fipublic, credibilitatea lui ar fi nula, avand in vedere

faptul ca scopul principal alauditul ui intern este de a sprijini atingerea obiectivelor si intereselor

organizatiei.

AUDITUL DE CONFORMITATE

Presupuneevaluarea calitatii si gradului de adecvare a sistemelor interne instituite inir-oorganizatie

pentru a se examina conformitatea acestora cu legile, regulamentele,politicile sau procedurile

aplicabile la un moment dat in timp. Spre exemplu, omisiune de audit de conformitate examineaza

masura in care activitatile privindresursele umane dintr-o organizatie sunt realizate in conformitate

cu legislatia invigoare si cu politicile si strategia de personal stabilite de management.

AUDITUL OPERATIONAL

Este unuldintre cele mai complexe tipuri de audit intern,presupune evaluarea critica a calitatii si a

gradului de adecvare a sistemelor,metodelor, resurselor si procedurilorutilizate de organizatie, a

structurii organizationale comparativ cu responsabilitatile alocate. Spre exemplu, atuncicand o

organizatie isi doreste implementarea unei reforme sau restructurari,strategia de schimbare are la

baza concluziile formulate de auditorii interni inurma unei misiuni de audit operational.

AUDITUL DE MANAGEMENT

Permite evaluarea calitatii actului managerial, a structurii acestuia si a atitudinii managementului cu

privire la riscuri si control incontextul obiectivelor organizatiei. Din nefericire, denumirea acestui

tip de auditconduce la o atitudine rezervata a conducerii organizatiilor. In realitate, auditul

demanagement se aseamana foarte mult cu auditul de conformitate, diferentaconstand in materialul

studiat: activitatile manageriale.

AUDITUL DE EFICACITATE

Presupune examinarea a trei coordonate definitorii: eficienta, eficacitateasi economicitatea

proceselor din cadrul organizatiei. Eficacitatea vizeaza atingerea obiectivelor fixate prin actiunile

intreprinse. Eficienta impune selectareacelor mai bune alternative sau resurse pentru a realiza un

scop. (Camelia Liliana Dobroteanu, Laurentiu Dobroteanu Audit Intern)





7/30

1.2. NORMALIZAREA AUDITULUI INTERN PE PLAN NATIONAL SI

INTERNATIONAL

NORMALIZAREA AUDITULUI INTERN PE PLANINTERNATIONAL

Cel mai important organism de reglementare in domeniu la nivel international este:

A.

Institutul Auditorilor Interni (The Institute of Internai Auditors - IIA) este o asociatie

profesionala internationalainfiintatain 1941 cu sediul in Statele Unite. IIA este recunoscut drept

liderul international al profesiei de audit intern in ceea ce priveste autorizarea, educatia,

cercetarea si indrumarea profesionala a membrilor sai. Printre altele, IIA si-a asumat misiunea

de a emite norme si ghiduri profesionale cu caracter international care sa asigure o practica

uniformasi un criteriu omogen de referinta la nivel global.

De mentionat mai sunt:

B. New York Stock Exchange (NYSE) si Public Company Accounts Oversight Board

(PCAOB)care emit reglementari aplicabile companiilor care activeaza pe piata americana, inspecial celor cotate la bursa din New York. Din ratiuni dictate de prudenta competitiva, aceste

companii exercita presiuni pentru uniformizarea reglementarilor pe pietele non-americane. Prin

urmare, uneori direct, alteori indirect, reglementarile NYSE sau PCAOB influenteaza

considerabil normalizarea si practicile nationale, europene si internationale.

C. Comisia Europeanasi European Confederation of Instilutes of Internai Auditing ( ECIJA)

au rolul de a emite directive care sa armonizeze standardele si practicile de audit la nivelul

membrilor sai si sa contribuie, la consolidarea conduitei etice a profesiei.

NORMALIZAREA AUDITULUI INTERN PE PLAN NATIONAL

In Romania, auditul intern reprezinta o activitate relativ noua pentrumediul de afaceri. Primele

preocupari legate de reglementarea si normalizareaactivitatii de audit intern au vizat sectorul public.

Ministeruluide Finante in 2002 a publicat Legea 672/2002, care a instituit activitatea de audit intern

la nivelul institutiilor publice, modificata in anii urmatori printr-o serie de acte normative. Astfel a

luat fiinta Unitatea centrala pentru Armonizarea Auditului Public Intern(UCAAPI)si

Comitetul pentru Audit Public Intern(CAPI). UCAAPI este o structura specializatacare pune in

aplicare obiectivele Ministerului FinantelorPublice in domeniul auditului intern si are ca principala

atributieasigurarea conditiilor de desfasurare a activitatilor CAPI, organism cu caracterconsultativ

care functioneaza pe langa UCAAPI.

In 2003, Banca Nationala a Romaniei a emis Normele 17 BNRcare au instituit obligativitatea

constituirii functiei de audit intern in sectorul bancarromanesc.

In 2004, s-a creat Asociatia Auditorilor Interni din Romania (AAIR)avandca obiectivestabilirea

unui forum deschis in vederea promovarii si dezvoltarii practicii de audit intern, sa prezinte un

cadru unde sunt promovate Standardele Internationale de Audit si unde auditorii interni pot primi

sprijin profesional de specialitate.

In 2004s-a creat Camera Auditorilor Financiari din Romania (CAFR) cu misiunea de a

asiguracadrul de reglementare si normele profesionale necesare pentru crearea sifunctionareaauditului intern la nivelul societatilor comerciale. In acest sens, aufost emise o serie de acte

normative sub semnatura guvernului sau a CAFR.Reglementarile emise ulterior anului 2004 au

continuat sa consolideze functia deaudit intern la nivelul companiilor, culminand cu modificarea, in





8/30

anul 2007, aLegii 31/1990 care marcheaza crearea cadrului pentru guvernanta

corporativainsocietatile comerciale romanesti si circumscrie functia de audit intern

guvemanteicorporative.

Astfel, CAFR a asimilat in plan national cadrul conceptual profesionalelaborat de IIA,

completandu-l cu un set de proceduri privind cadrul general dedesfasurare a misiunilor de audit

intern. Potrivit reglementarilor legale in vigoare,societatile comerciale care sunt obligate prin lege

sa prezinte situatii financiareauditate extern, au totodata obligatia de asigura organizarea sifunctionareaauditului intern.

1.3.

CADRUL CONCEPTUAL AL AUDITULUI INTERN

Cadrul conceptual de referintaal practicilor profesionale elaborat de IIAcuprinde:

i.

Definitia auditului intern

ii.

Codul deontologic al auditorilor interni

iii.

Normele profesionale aplicabile in practicile dc audit interniv.

Modalitatile practice de aplicare a normelor (norme de aplicare)

v.

Sprijinul pentru dezvoltarea profesionala

i.

Definitia auditului intern: o activitate de asigurare independentasi obiectiva cu privire la

controlul exercitat asupra operatiunilor desfasurate de o organizatie. Auditul intern trebuie sa

contribuie la imbunatatirea operatiunilor organizatiei si sa creeze un plus de valoare pentru

aceasta. Auditul intern ajuta entitatea sa-si atinga obiectivele evaluand, printr-o abordare

sistematicasi metodica, procesele de management al riscurilor, de control si guvernanta

corporativasi formuland propuneri pentru consolidarea eficacitatii acestora

ii. Codul deontologiccuprinde doua componente esentiale:

principiile fundamentale pentru profesia si practica auditului intern: integritatea,

obiectivitatea, confidentialitateasi competenta profesionala

regulile de conduita etica profesionala

iii. Normele profesionaleofera auditorilor interni reperul profesional in indeplinirea misiunii si in

gestionarea activitatii lor. Normele profesionale sunt structurate in trei clase principale:

norme de calificare (descriu caracteristicile si abilitatile cerute organizatiilor care

practica auditul intern)

norme de performanta/functionare:detaliaza natura activitatilor de audit intern si

criteriile calitative pentru evaluarea serviciilor

norme de implementare/aplicare: transpun normele de calificare si de functionare pentru

misiuni specifice

iv. Modalitatile practice de aplicare (MPA, ghidurile practice) ofera auditorilor interni

comentarii, explicatii si indrumari privitoare la aplicarea normelor, precum si recomandari

pentru cele mai bune practivi deaudit intern. In timp ce respectarea normelor de audit intern este

obligatorie, respectarea ghidurilor practice este lasata la latitudinea auditorului

v. Sprijinul pentru dezvoltarea profesionalaconsta in punerea la dispozitiaauditorilor interni, a

unei biblioteci cu articole, documente si materiale de la conferinte, colocvii, etc.(IFAC Manualul de

standarde internationale de audit si control de calitate : Audit financiar)





9/30

2.

FUNCTIA DE AUDIT INTERN INTR-O ORGANIZATIE

2.1.

DIFERENTELE DINTRE AUDIT INTERN SI CONTROL INTERN

Atat controlul intern, cat si auditul internsunt necesare pentru construirea unei guvernante

corporative credibile. Cele douafunctii nu se suprapun, dar colaboreazasi contribuie impreuna laatingereaobiectivelor organizatiilor.Controlul intern este un concept complex care poate fi usor

interpretat gresit si confundat cu activitatea de audit.

O definitie foarte reprezentativa este cea data de organismul america AICPA la sfarsitul anilor 40:

controlul intern este un sistem ce cuprinde planurile de organizare si toate metodele si masurile

adoptate cu scopulde a securiza activele, de a controla acurateteasi credibilitatea

informatiilorcontabile, de a promova eficienta operationalasi pentru a incuraja aderenta lapoliticile

manageriale stabilite.( Camelia Liliana Dobroteanu, Laurentiu Dobroteanu Audit Intern)

O alta definitie suna astfel: controlul intern cuprinde toate elementele unei organizatii - resursele,

sistemele, procesele, cultura, structura si sarcinile care impreuna, ajutala atingerea obiectivelor

organizatiei: eficacitatea si eficienta operatiilor, credibilitatea raportarii interne si externe,

conformitatea cu legile reglementarile si politicile companiei.Camelia Liliana Dobroteanu, Laurentiu Dobroteanu

Audit Intern)

IIA prezinta controlul intern sub urmatoarea forma: definitie: controlul reprezinta orice masura

luata de conducere, de consiliu sau dealte parti, in vederea imbunatatirii gestionarii riscurilor si

cresterii probabilitatii cascopurile si obiectivele stabilite sa fie indeplinite. Managerii

planifica,organizeazasi coordoneaza aplicarea de masuri suficiente pentru a oferi oasigurare

rezonabila ca scopurile si obiectivele vor fi indeplinite.(IFAC Manualul de standarde internationale de audit si control

de calitate : Audit financiar) Camelia Liliana Dobroteanu, Laurentiu Dobroteanu Audit Intern)

Daca controlul intern asigura bunastarea indeplinirii obiectivelor si a eficientei in executarea

proceselor, atunci cu se ocupa auditul intern? Orice sistem trebuie evaluat si verificat iar auditul

intern reprezinta acea functie independenta a organizatiei care se ocupa cu evaluarea eficientei si

eficacitatii controului intern.

Evaluarea realizata de catre auditul intern asupra controlului intern trebuiesa se plieze la cele trei

dimensiuni ale acestuia: dimensiunea culturala, universala,respectiv relativa. Dimensiunea culturala

se refera la faptul ca organizatiile aflate in proces de dezvoltare secaracterizeaza printr-un controi

intern flexibil, lejer, care sa raspunda urgentelormomentului decizional. Spre deosebite de acestea,organizatiile mature, complexeau dezvoltate deja controale interne stabile iar auditorul intern

trebuie sa evalueze controlul internadaptandu-se la mediul cultural al organizatiei. Universalitatea

vizeaza toate activitatile organizatiei si raspundeacelorasi nevoi: eliminarea sau atenuarea riscurilor.

Dimensiunea relativa reprezinta constrangerile pe care le infrunta auditul in misiunea sa si

aplicabilitatea relativa care se poate realiza.

In baza asocierii componentelor controlului intern, un observator ar putea asocia auditul intern drept

o structura din intregul univers al controlului intern. Dar analizat prin prisma rolului jucat in

interiorul organizatiei, auditul intern nu se poate judeca pe sine cu credibilitate. Prin urmare, este

absolut obligatoriu ca cele doua structuri sa fie separate: una aplica, cealalta monitorizeaza sievalueaza.





10/30

2.2. ORGANIZAREA FUNCTIEI DE AUDIT INTERN INTR-O ORGANIZATIE

Atunci cand intr-o organizatie exista o functie de audit intern, principiulindependentei acestuia

impune organizarea lui sub forma unei structuri distinctede controlul intern si managementul

riscurilor. Dar, doar existenta distincta nugaranteaza independenta departamentului ci confera un

gradrezonabil de incredere cu privire la obiectivitatea colectiva a departamentului deaudit intern. In

ceea ce priveste subordonarea departamentului de audit intern, exista numeroase modele care seapropie mai mult sau mai putin deprincipiile unei bune guvernante corporative: de la subordonarea

fata de directorulfinanciar, directorul general, consiliul director, la subordonarea fata de comitetulde

audit. Practicile anglo-saxone releva o subordonare fata de comitetul de audit,ca autoritate din

cadrul organizatiei capabila sa protejeze efectiv independentaauditorilor interni. Orice alta varianta

de subordonare desi, asa cum am mai spus,existain realitate, este discutabila prin prisma

independentei auditului intern.(Marcel Ghita Auditul Intern)

In functie de marimea organizatiei, departamentul poate fi organizat in mod centralizat (un singur

departament la nivelul grupului) sau descentralizat (cu servicii la nivelul fiecarei filiale). O alta

posibilitatea este cea de a opta pentru servicii externalizate de audit, insa este de indicat ca acestlucru sa fie ca o solutie temporara pana cand functia se poate organiza intern.

In primul rand, la momentul constituirii departamentului, este necesara elaborarea cartei auditului

intern. Este recomandabil ca in carta sa fie prevazute relatiile de comunicare siraportare ale

auditului intern cu celelalte structuri organizationale, modalitatile de solutionare a diferitelor

probleme cu care s-ar putea confrunta auditorii interni,precum si competentele si responsabilitatile

comitetului de audit. Apoi, esential in realizarea activitatii departamentului de audit intern il

constituie planulde audit. Responsabilitatea pentru elaborarea planului de audit revine

sefuluidepartamentului de audit intern. Exista practici diferite privind orizontul de timppe care-l

acopera un plan de audit: de la planuri trimestriale, la planuri bi-anualesau chiar mai lungi. Totusi,monitorizarea si evaluarea performantelor audituluiintern pare a fi mai usor de realizat in baza unor

planuri anuale, de unde si opreferinta mai larg impartasita pentru aceste tipuri.

Planul de auditcuprinde o expunere suficient de detaliata, cronologica, a

obiectivelordepartamentului de audit intern pe parcursul unei perioade determinate: tipulmisiunilor,

natura acestora, momentul inceperii, respectiv al finalizarii, termen siproceduri, bugete

previzionate. etc. Planul de audit va fi un reper permanentdeopotriva pentru angajatii

departamentului si ai organizatiei in ceea ce privesteactivitatile de audit intern. Totodata, la finalul

perioadei, planul de audit servestedrept criteriu de raportare pentru aprecierea performantelor

realizate dedepartamentul de audit intern.Seful departamentului de audit are, ca una dintr responsabilitatile principale, gestionarea resurselor.

Aici ne referim la tot ceea ce inseamna resurse, respectiv: resursaumana, materiala, financiarasi

know-how.

In ceea ce priveste resursa umana, sunt cateva aspecte de ordin calitativ sicantitativ ce trebuie

punctate aici. Astfel, seful departamentului trebuie sa aibainvedere dimensionarea cantitativa a

personalului din subordine astfel incat sa poata forma echipe suficient de mari care sa nu pericliteze

realizarea misiunilor pe de oparte si, pe de alta parte, sa poata asigura rotatia echipelor impusa de

normeleprofesionale.

In cea ce priveste resursele materiale si financiare, in functie de complexitatea activitatilor

departamentului de audit intern, seful acestuia trebuiesa se asigure ca acestea nu vor constitui limite

impenetrabile in atingereaobiectivelor misiunilor de audit intern. De la calculatoare adecvate, spatii





11/30

de lucru,consumabile, recursul la consultanta externa de specialitate, pana la salarii, primesi

recompense. Limitarea resurselor poate genera efecte adverse asuprarezultatelor misiunilor de audit.

Deasemenea, rapoartele de audit trebuie sa contina o sectiune in care sa fie prezentatenatura

limitarilor impuse si efectele acestora asupra rezultatelor misiunii si opinieiauditorilor.

Referitor la resursa know-how a departamentului, este important ca sefulacestuia sa fie preocupat

continuu de consolidarea si largirea permanenta acunostintelor angajatilor sai. De altfel, normele de

calificare, normele de aplicaresi ghidurile atasate acestora prezinta criteriile de moralitate,competentasiconstiinciozitate care trebuie sa constituiereperul fiecarui auditor intern.Programele de

instruire profesionala continua, stabilirea unui set de performante sievaluarea lor periodica

potcontribui substantial la sustinerea eforturilor in acest sens.

2.3. RELATIA DINTRE AUDIT INTERN SI AUDIT EXTERN

Diferentele esentiale se circumscriu urmatoarelor aspecte:Destinatarii raportului de audit -in timp ce destinatarii prioritari airaportului de audit extern sunt

utilizatorii externi ai situatiilor financiare,beneficiarii raportului de audit intern sunt conducerea

executiva, consiliulde administratie si implicit, actionarii organizatiei respective. Spredeosebire de

auditul extern care trebuie sa-si mentina neutralitatea, auditulintern este un serviciu ce sprijinain

mod direct interesele si obiectiveleorganizatiei.

Natura raportului de audit dacain cazul auditului extern raportul deaudit este un document

public, in cazul auditului intern raportul are uncaracter privat, accesul persoanelor din afara

organizatiei fiindrestrictionat.

Scopul procedurilor aplicarea procedurilor si testelor de control de catreauditorii externi vizeaza

cu predilectie identificarea erorilor semnificativela nivelul situatiilor financiare. Auditorii interni

aplica proceduri si testede control cu scopul de a testa existenta si functionarea eficientasi eficace

a controalelor interne.

Aria de intindere a misiunilor misiunile de audit extern vizeaza aspectecare tin de activitatea

financiar-contabilasi raportarea financiara aorganizatiei auditate. Spre deosebire de acestea,

misiunile de audit internacopera toate activitatile, operatiunile si procesele organizatiei in functiede

riscurile identificate si evaluate. Auditarea interna a activitatilor financiar-contabile poate

reprezenta doar o sectiune din planul anual deaudit.

Independenta auditorilor pentru a fi considerati independenti, auditoriiexterni nu trebuie sa aiba,

printre altele, relatii de tip angajator - angajat"cu societatea auditata. in cazul auditorilor externi,

independenta acestoraare o cu totul alta conotatie, relatia angajat - angajator" fiind permisasichiar

preferatain multe cazuri.(CECCAR - Manualul pentru standarde internationale de audit, certificare si etica)

Standardele internationale de audit extern (ISA 610) prevad ca, pentru acolabora eficient cu

auditorii interni, auditorii externi ar trebui ca, in urmaevaluarii activitatii de audit intern, sa poata

confirma cel putin ca:

Auditul intem este efectuat de catre persoane care au competenta profesionala necesara;

Activitatea asistentilor este corect supervizata, indrumata, revizuitasi documentata;





12/30

Sunt obtinute probe suficiente si adecvate de audit, astfel incat sa ofere o baza de

rationament rezonabila pentru concluziile la care s-a ajuns;

Concluziile Ia care s-a ajuns sunt adecvate circumstantelor;

Orice raport de audit intern este in concordanta cu activitatea de audit desfasurata;

Orice exceptie de la activitatea obisnuita a intreprinderii, sau orice problema neobisnuita

descoperita de catre auditorii interni este luatain considerare si rezolvatain mod adecvat de

catre conducerea intreprinderii.(IFAC Manualul de standarde internationale de audit si control de calitate : Audit

financiar)

In principiu, auditorul extern consemneazain documentele sale de lucruconcluziile referitoare la

activitatea de audit intern, precum si modul in care acestaa fost testatasi evaluata.

Atunci cand auditorul extern intentioneaza sa se sprijine pe activitateadepartamentului de audit

intern, trebuie sa aibain vedere programul de audit intern pentru perioada respectiva pentru a-l

discuta cu auditorii interni. Legatura cu auditul intern este mai eficienta atunci cand astfel

deconsultari intre cele doua echipe au Ioc la intervale regulate, pe parcursulporioadei de timp

alocate misiunii. Este esential caauditorul externsa aiba acces la rapoartele relevante de audit intern

si sa fie permanent informatasupra oricaror aspecte semnificative care intrain atentia

departamentului de auditintem si care pot afecta activitatea de audit extem.

3. MISIUNEA DE AUDIT INTERN

Practicile de elaborare aplanurilor de audit intern si a programelor de misiune sunt variate,

majoritateaacestora fiind ancorate la o strategie traditionala de audit care plaseazain centrulatentiei

auditului intern una sau mai multe dintre urmatoarele variante: auditul peprocese, pe functii, pemeserii, pe teme, auditul de conformitate, audituloperational, etc. Aceste abordari traditionale vizau

auditarea interna a tot ce eraposibil. La polul opus, strategia prevazuta de standardele internationale

de auditintern Risk Based Auditig (RBA) - implica o selectie si o priontizare a activitatilor si

misiunilor deaudit intern pe baza unei evaluari a riscurilor, astfel incat auditul intern

saserveascaintr-adevar obiectivelor organizatiei. Schimbarea de strategie produceefecte asupra

modului in care se desfasoara activitatea de audit intern.

3.1. ETAPA 1 EVALUAREA RISCURILOR

Obiectivele acestei etape vizeaza obtinerea unei asigurari cu privire lafaptul ca riscurile situate peste

nivelul apetitului pentru risc au fost identificate sievaluate corect de catre management, cu scopul

de a stabili credibilitatea folosiriiulterioare a registrului de riscuri.

In acest sens, auditorii interni aplica urmatoarele proceduri de audit:

Discutii cu managementul cu privire la riscurile la care este expusa societatea

Documentarea cu privire la: obiectivele organizatiei, metodele folosite de conducere cu

privire la evaluarea riscurilor, scala de evaluare a dimensiona relevanta acestora, efectuarea

unui registru al riscurilor Examinarea documentelor obtinute

Formularea unei concluzii cu privire la credibilitatea si posibilitatea utilizarii registrulu

riscurilor pentru actiunile ulterioare.(Camelia Liliana Dobroteanu, Laurentiu Dobroteanu Audit Intern)





13/30

INTOCMIREA REGISTRULUI RISCURILOR

Registrul riscurilor reprezinta o lista completa a riscurilor (de obicei o bazade date) identificate de

conducerea organizatiei, care ameninta atingereaobiectivelor organizatiei. Dacain cadrul

organizatiei exista o functie demanagement al riscurilor, atunci construirea si actualizarea acestei

baze de dateeste responsabilitatea acesteia. Evident, volumul de munca al auditorilor internieste

mult redus daca managementul riscurilor existasi functioneazacorespunzator. In lipsa

managementului riscurilor, auditorii interni pot sprijini si consiliaconducerea superioarain ceea cepriveste infiintarea registrului deriscuri, evaluarea riscurilor si determinarea apetitului pentru risc.

Unii auditori interni prefera construirea registrului riscurilor plecand directde la sursa: consiliul de

administratie si persoanele relevante din cadrulorganizatiei. Desi, aceasta procedura directa

economiseste foarte mult timppretios,prezinta dezavantajul ca, unele riscuri pot ramane

neidentificate, dat fiindfaptul ca auditorii nu mai au o baza de confruntare pregatita de ei anterior.

De principiu, exista trei proceduriutilizate cu scopul de a identifica riscurile:

Interviul. Rezultatele unui interviu reflecta punctul de vedere individualexprimat de catre cel

intervievat referitor la riscurile la care obiectiveleorganizatiei sunt expuse. Printre avantajele aceste

proceduri se numara: usurintastabilirii unei intrevederi cu o singura persoana fata de un grup de

persoane,respectiv confortul mai mare al intervievatului in exprimarea punctelor sale devedere pe

care intr-un seminar poate nu si le-ar exprima deschis. Printredezavantajele utilizarii acestei

proceduri pot fi enumerate dificultatea de aomogeniza, punctele de vedere individuale exprimate si

de a clasifica riscurileastfel obtinute.

Seminariile de identificare a riscurilor. Rezultatele seminariilor seconcretizeazaintr-o lista de

riscuri care pun in pericol obiectivele organizatiei,respectiv o dimensionare a probabilitatii si

consecintei acestora. Un avantaj alutilizarii acestei proceduri constain faptul ca persoanele

interactioneazasi creeazaidei noi.

Evidentele contabile. Examinarea fiecarei clase/pozitii din situatiilefinanciare sau din evidentele

contabile, precum si a evenimentelor atasate acestorapoate scoate la iveala o scrie de riscuri

importante.(Camelia Liliana Dobroteanu, Laurentiu Dobroteanu Audit Intern)

DIMENSIONAREA RELEVANTEI RISCURILOR

Avand construit registrul riscurilor, pasul urmator trebuie sa vizezesprijinirea consiliului in ceea ce

priveste rafinarea registrului riscurilor prinidentificarea tuturor riscurilor semnificative".Acest

proces este resposabilitatea departamentului de management al riscurilor, in cazul in care acesta esteinstituit.

Dimensionarea relevantei riscurilor (R) este realizata prin prisma celor doua variabile componente

ale fiecarui risc: probabilitatea (P) si impact (I). Aritmetic, relatia de calcul este exprimata astfel:

R(relevanta riscului)= P(probabilitate)x I(impact)





14/30

3.2. ETAPA 2 INTOCMIREA PLANULUI DE AUDIT

Obiectivele urmarite de auditori in cadrul acestei etape vizeaza:

Determinarea riscurilor care vor fi incluse in planul de audit

Alocarea acestor riscuri misiunilor de audit

Elaborarea planului de audit.

Filtrarea riscurilor din registru pentru identificarea celor care vor fi incluse inplanul de audit anual

se realizeaza prin raportarea la apetitul pentru risc alconducerii drept criteriu prioritar.Astfel,

riscurile care se situeaza sub nivelul apetitului pentru risc alconducerii nu vor necesita o atentie din

partea auditorilor si, drept urmare, nu vor fi incluse in planul de audit. In ceea ce priveste riscurile

situate peste nivelulapetitului pentru risc, pot exista urmatoarele situatii cu privire la care

auditoriiinterni vor decide mentinerea sau eliminarea lor din planul de audit:

Riscurile pe care conducerea le considera ca, din diverse motive, nu vor putea fi ameliorate

astfel incat sa fie reduse la nivelul apetitului pentru risc, motiv pentru care le accepta;

Riscurile pentru care au fost adoptate masuri de prevenire de tipul transferului. Inclusiv

acestea vor putea fi mentinute in planul de audit, deoarece auditorii vor dori probabil sa se

convinga, in contextul unei misiuni, daca toate riscurile de acest gen au fost transferate si

daca transferul este eficient si eficace ca mecanism de protectie;

Riscurile pe care conducerea este decisa sa le elimine prin diverse actiuni sau programe.

Asupra acestor riscuri auditorii vor decide daca le pastreaza sau nu in planul de audit.

Mentinerea lor in plan poate fi justificata de faptul ca actiunile conducerii de eliminare a

riscului respectiv, pot genera alte riscuri, iar auditorii vor dori sa se convinga ca aceste sunt

controlate corespunzator;

Riscurile examinate si evaluate de o terta parte (ex: auditorii externi) care furnizeaza o

asigurare directa consiliului de administratie asupra gradului de control exercitat deorganizatie asupra acestora. In astfel de cazuri, strategia si politicile interne ale organizatiei

reprezinta un punct de sprijin in adoptarea unei decizii asupra mentinerii sau eliminarii lor

din planul de audit;

Riscurile care au fost aduse in limita apetitului pentru risc, fapt dovedit de rapoartele

misiunilor de audit intern anterioare. In functie de intervalul de timp care a trecut de la

finalul acelor misiuni, precum si de rezultatele relevate de programele dc monitorizare post-

audit cu privire la implementarea masurilor corective, auditorii vor dccide daca pastreaza

sau nu in planul de audit aceste riscuri.(Camelia Liliana Dobroteanu, Laurentiu Dobroteanu Audit Intern)

Toate celelalte riscuri care au ramas vor fi incluse in planul de audit. Alocarea riscurilor pe misiunide audit are ca punct de plecare registrul riscurilor, actualizat cu rezultatele procesului dc filtrare

precedent. Criteriile dc alocare cel mai frecvcnt utilizate sunt:

Perioada de timp si resursele necesare pentru o misiune de audit (cu cat mai multe riscuri si

procese alocate pe o misiune, cu atat mai lungasi mai costisitoare va fi misiunea de audit);

Persoanele ce se intentioneaza a fi intervievate in contextul misiunii;

Locatia proceselor auditabile, etc.

Existasi companii care prefera gruparea riscurilor pe misiuni, dupa ce obtin o lista cu toate

procesele auditabile sigruparea lor ulterioarain functie de locatie sau alte criterii particulare. In ceea

cepriveste prioritizarca misiunilor de audit si includerea acestora in planul anual,auditul intem

trebuie sa formuleze un rationament rezonabil, tinand cont deresursele financiare, materiale, umane

si fondul de timp avut la dispozitie. Nu esteobligatoriu ca toate misiunile identificate sa fie incluse





15/30

intr-un singur plan anual,daca toate considerentele de mai sus nu permit acest lucru. Este motivul

pentrucare, unele companii opereaza cu planuri de audit multi-anuale. De asemenea,companiile care

abia infiinteaza functia de audit intern fac fata unor constrangericonsiderabile, mai ales in ceea ce

priveste resursa umana.

Planul de audit trebuie aprobat de catre comitetul de audit si consiliul de administratie al

organizatiei si i se poate transmite unraport care sa contina detalii referitoare la: riscurile si

procescle ca vor face obiectul misiunilor de audit cuprinse in planul de audit, riscurile si controalele

asupra carora auditorii interni vor formula o opinie pe baza rezultatelor cumulate, activitatile de

consultanta ce vor fi acordate de catre auditul intern conducerii organizatiei, riscurile neacoperite,

datorita politicilor organizatiei sau limitarii resurselor, asigurarea ca planul de audit este in

conformitate cu carta auditului intern.

3.3. ETAPA 3 PLANIFICAREA MISIUNII

Pentru a elabora planul de audit, auditorii trebuie sa se familiarizeze mai intai cu natura si structuraclientului. Aceasta cunoastere preliminara aclientului pentru a fi utilaeste organizatasivizeaza

colectarea unor informatii structurate pe patru sectiuni principale:

organizarea entitatii si a proceselor ce vor face obiectul misiunii de audit (personal, bugete,

performante, resurse, etc.);

obiectivele proceselor ce vor fi auditate;

mecanismele si tehnicile utilizate in cadrul proceselor ce vor face obiectul misiunii de audit;

actualizarea informatiilor privind riscurile specifice prin referinta la planul anual si registrul

riscurilor.(Camelia Liliana Dobroteanu, Laurentiu Dobroteanu Audit Intern)

Planificarea misiunii de audit are ca principal scop determinarea arieide intindere a acesteia prinevidentierea urmatoarelor aspecte importante:

motivatia misiunii de audit: motivul pentru care se face misiunea?

obiectivele proceselor ce urmeaza a fi auditate, riscurile si controalele ce vor fi examinate

programul de lucru elaborat in conformitate cu manualul de proceduri interne de audit

limitele ariei de intindere a misiunii

echipa de auditori care va realiza misiunea

perioada de timp in care misiunea va avea loc

destinatarii planului de misiune, a rapoartelor interimare, respectiv a raportului final al

misiunii.(Camelia Liliana Dobroteanu, Laurentiu Dobroteanu Audit Intern)

3.4. ETAPA 4 AUDITUL INTERIMAR

Auditul interimar sau realizarea misiunii este marcata de sedinta de deschidere a misiunii. Pe

parcursul acestei etape auditorii interni sunt preocupati de douaprobleme majore:

a) sa examineze daca pentru sectiunea auditata:

i. exista un proces prin care riscurile sunt identificate si evaluate

ii.

opereaza un sistem de controlb) sa evalueze controalele interne utilizate pentru ameliorarea riscurilor identificate

i. controalele directe

ii. controalele de monitorizare(Camelia Liliana Dobroteanu, Laurentiu Dobroteanu Audit Intern)





16/30

Cu privire la prima problema registrul riscurilor esteobligatoriutrebuie detaliat si actualizat cu

informatiile pe care auditorii levor colecta pe parcursul acestei etape din misiune.

Existenta controalelor interne trebuie testata, in special a celorcare au ca efect semnificativ asupra

riscului inerent. Astfel, determinarea scoruluide control este utila pentru a putea aprecia efectele

controalelor interne testateasupra riscurilor considerate. Scorul de control poate fi

dimensionatduparelatia:

SC(scor de control)= RI(risc inerent) RR(risc rezidual)

o valoare pozitiva este de asteptat si reprezinta un indice pozitiv;

o valoare nula indica ineficacitatea controalelor interne testate in ameliorarea riscului

respectiv;

o valoare negativa a scorului trebuie sa ridice semne de intrebare in ceea ce priveste fie

evaluarea riscului inerent, fie identificarea controalelor aferente.

Riscul inerentpoate aparea in cazul lipsei sistemului de control intern, tranzactiile efectuate pot sa

nu fie inregistrate in contabilitate deloc sau in mod eronat. Aceste situatii pot conduce la ascunderea

unei erori sau a unei intentii de frauda.

Risc rezidual este riscul care ramane dupa ce conducerea ia masuri de reducere a impactului si

probabilitatii de aparitie a unui eveniment advers, incluzand activitatile de control derulate ca

reactie la un risc.

Procedurile utilizate pentru testarea controalelor interne includ teste deconformitate, reconcilieri,

teste computerizate, teste de urmarire, teste inductive,etc. Testele de urmarire sunt utile in

verificarea gradului de acoperire acontroalelor interne, poateidentifica acele riscuri care nu sunt

acoperite prin controalele interne. Testeleinductive sunt utile in verificarea functionarii efective acontroalelor interne si permit auditorului sa depistezeacele controale carenu functioneaza adecvat in

ameliorarea riscurilor.

Probele obtinute in baza testelor de control aplicate ii vor permiteauditorului evaluarea riscurilor

reziduale, aspect cheie ce va conditiona opiniilecontinute in raportul de audit.Determinarea

risculuirezidual permite auditorilor verificarea acuratetea cu care au fost evaluate riscurileinerente.

Scorul de control ar trebui sa fie pozitiv sau,cel mult, nul deoarece, o valoare negativa nu poate fi

interpretata altfel decat prinfaptul ca mecanismele de control atasate riscului respectiv au drept

efectaccentuarea riscului.

Elaborarea matricei riscului rezidual, permite auditorilor sa identifice riscurile care sunt sau

nuameliorate la nivelul acceptabil dorit de conducere. Tabelul 9.1. de mai jos,elaborat in baza

exemplului considerat in capitolul precedent ilustreazaposibilitatile de concluzionare.





17/30

Probabilitatea

risculuirezidual

5 5 10 15 20 25

4 4 8 12 16 20

3 3 6 9 12 15

2 2 4 6 8 10

1 1 2 3 4 5

1 2 3 4 5

Impactul riscului rezidual

[1-4] pentru riscul rezidual a carui semnificatie se incadreazain intervalul acesta controalele

interne sunt eficiente si eficace, deoarece ele aduc riscul respectivsub controlul dorit de catre

conducerea organizatiei.

[5-8] asupra acestor situatii, conducerea va trebui sa decidaacceptarea lor la nivelul respectiv.

Auditorii interni trebuie sa ia in considerareposibilitatea de a identifica unele controale interne

eficiente si eficace pentruameliorarea acestor riscuri, inclusiv din punctul de vedere al costului

implementarii lor.

[9-14] controlului intern de a ameliora prin instrumenteleactuale riscurile respective la nivelul

acceptabil nu este adecvat. Obligatoriu, se impun masuri corective, deoarece exista pericolulmare ca

unele obiective sa nu poata fi atinse.

[15-25] in acest interval obiectivele organizatiei sunt in pericol de a nu fi atinse fie in prezent, fie

inviitorul previzibil. Aceste riscuri ar trebui, cu prioritate, ameliorate prinimplementarea unorprograme de masuri corective care sa le aduca la un nivelacceptabil.(Camelia Liliana Dobroteanu, Laurentiu

Dobroteanu Audit Intern)

3.5. ETAPA 5 RAPORTUL DE AUDIT

Raportul de audit este un document oficial adresat conducerii organizatiei si este foarte important ca

raportul sa fie descriptiv, clar si concis pentru a fi credibil si transparent.Raportul de audit trebuie

transmis si comunicat tuturor partilor interesatedin cadrul organizatiei, in principal managerii de

departamente.

Normelede audit intern nu prescriu un format standard al raportului de audit intern. Inpractica se

obisnuieste ca fiecare sectiune a raportului sa prezinte o opinie aauditorilor asociata acesteia,

respectiv la final sa existe un paragraf de opinieglobala. Daca forma de redactare nu este

standardizata, continutul trebuie insa sa contina urmatoarele mentiuni:

A. un rezumat ce cuprinde motivatia si obiectivele misiunii, riscurile si procesele auditate,

concluziile si actiunile necesare a fi adoptate;

B. riscurile esentialevor fi prezentatedataliat si sunt riscurile reziduale cuprinse in intervalele [9-

25], situate mult peste nivelul apetitului pentru risc al conducerii. Trebuie prezentatedetalii cuprivire la impactul si consecintele acestora in cazul producerii lor, masurile corective

necesare,etc;





18/30

C. riscurile semnificative sunt riscurile reziduale cuprinse in intervalele [5-8] care fie vor fi

acceptate de catre conducere, fie vor fi atenuate prin masuri de control eficiente din punctul de

vedere al costurilor de implementare. Poate fi inclusasi o descriere a controalelor propuse.

Pentru a avea eficacitate maxima, raportul de audit de obicei include si masurile/recomandarile

auditorilor pentru a elimina deficientele identificate si reduce / evita riscurile aferente.

Recomandarile ar trebui agreate cu managementul responsabil si identificate persoane responsabile

pentru implementare precum si termenul in care acestea vor produce rezultate.

Raportul de audit este de obicei un raport de exceptii care prezinta problemele identificate cu

scopul de a le inventaria si stabili masuri de remediere a acestora. Insa opinia globala trebuie sa

exprime viziunea globala asupra ariei auditate, care bineinteles considera si toate aspectele pozitive

identificate/ verificate in cursul auditului. Pot fi incluse si mentiuni pozitive acolo unde procesul

respectiv reprezinta un standard de urmat si de alte subunitati.

3.6. RESPONSABILITATI POST-AUDIT

Munca auditorilor nu reprezinta doar activitatile prezentate mai sus ci si monitorizarea evolutiei

implemntarii ulterioare programelor de actiuni agreate de management cu privire la ameliorarea

riscurilor luate in urma prezentarii raportului de audit.

Principalele responsabilitati post-audit se refera la implementarea unui proces de monitorizare a

implementarii recomandarilor agreate in cursul auditului, masurarea impactului acestora si

raportarea stadiului conducerii societatii/ Comitetului de Audit.

De asemenea formarea unei opinii globale pe baza rezultatelor auditurilor diferitelor procese, in

diferite unitati din grup, precum si pe baza monitorizarii continue a inventarului de riscuri la care

este expusa unitatea, reprezinta una din functiile importante care dau conducerii companiei o opinie

consolidata asupra controlului intern si eficacitatii acestuia in diferite procese interne, posibilitatii

aparitiei unor erori semnificative sau riscuri latente care ar pune in pericol compania in viitorul

apropiat. De asemenea opinia auditorilor este esentiala in stabilirea opiniei auditului extern si

situatiilor financiare ale unitatii.





19/30

CAPITOLUL II - CONTRIBUTII PERSONALE. PROIECT DE

PERFECTIONARE SI APROFUNDARE

4.

STUDIU DE CAZ: EVALUAREA SISTEMULUI DE AUDIT INTERN

4.1. PREZENTAREA STUDIULUI DE CAZ

Studiul de caz va prezenta activitatea departamentului de audit intern din cadrul unei societatii

comerciale din domeniul productiei si distributiei deproduse de panificatie si totodata se va face o

analiza pe baza datelor colectate.Se vor trage concluzii cu privire atat la modul de organizare si

actionare al departamentului cat si la calitatea activitatii prestate de acesta.

Departamentul de audit intern analizat face parte din cadrul societatii comerciale PANADOR SA,

unul dintre importantii producatori si distribuitori de paine si produse de panificatie pe piata deprofil din judetul Galati.

DESCRIEREA SOCIETATII COMERCIALE PANADOR SA

Compania a fost infiintata in 1993 si detine 3 fabrici de paine si produse de panificatie.

Date financiare:

Capitalul si managementul societatii este autohton.

Departamentul de audit intern a luat fiinta la finele anului 2010 si are in componenta 3

persoane.

4.2. ANALIZA ACTIVITATII DEPARTAMENTULUI DE AUDIT INTERN

Activitatea departamentului de audit intern din cadrul societatii este in conformitate cu

reglementarile nationale si respecta regulile si procedurile de lucru impuse de CAFR nu au fost

sesizate abateri cu privire la modalitatea de lucru. Seful departamentului de audit intern este

membru CAFR din anul 2005 si are in subordine 2 economisti.

In continuarevor fi analizate etapele misiunii de audit intern intreprinse in cadrul societatii pe

parcursul anului 2011. Se vor prezenta datele colectate si totodata concluziile cu privire la modul delucru.





20/30

ETAPA 1 EVALUAREA RISCURILOR PANADOR SA

Pentru ca departamentul de audit intern activeaza in cadrul companiei de putin timp, anul 2011 fiind

primul an in care s-a pus in aplicare un plan de audit care sa asigure reducerea riscurilor in atingerea

obiectivelor companiei si pentru ca, datorita marimii medii a structurii organizatiei, managementul

nu are departament specializat in managementul riscului, echipa de audit a avut ca prima sarcina

intocmirea registrului de riscuri.Auditorii au preferat construirea registrului riscurilor plecand directde la sursa: consiliul de

administratie si sefii de departament. Desi, aceasta procedura directa prezinta dezavantajul ca, unele

riscuri au putut ramane neidentificate nu mai au o baza de confruntare pregatita anterior si deci s-a

considerat solutia optima.

S-au organizat interviuri atat cu managerii de departamente cat si cu resonsabilii cheie de procese,

cu ar fi: contabilul sef, casiera societatii, gestionarul sef, sef ciclu productie, etc. Rezultatele

interviurilor reflecta punctul de vedere individualexprimat de catre cel intervievat referitor la

riscurile la care obiectiveleorganizatiei sunt expuse.

Totodata s-au verificat evidentele contabile pe ultimii 5 ani, auditorii avand acces permanent la

arhiva societatii.

Enumerarea riscurilor din registru si detalierea lor vor fi prezentate in raportul de audit.

ETAPA 2 PLANUL DE AUDIT AFERENT ANULUI 2011

Planul de audit aferent anului 2011 se prezinta, pe scurt, dupa cum urmeaza:

Titlul proiectului de audit ImportantaIncepe la

data de

Se finalizeaza

la data deOre alocate

Vanzari - stabilirea preturilor Medie Trim I Trim I 320

Vanzari - facturare si incasare Mare Trim II Trim II 400

Cumparari - negociere si incheiere contracte Medie Trim III Trim III 600

Depozite - inventariere si depozitare Medie Trim III Trim III 600

Resurse umane - salarizare si promovari Medie Trim IV Trim IV 400

Monitorizare Medie Permanenta

La efectuarea etapei de audit interimar au participat toti membrii departamentului si fiecare a avut

sarcini bine definite. Interviurileaufost sustinute de seful departamentului iar testele de control au

fost efectuate de catre cei doi auditori juniori.

ETAPA 3 PLANIFICAREA MISIUNILOR

Datorita nivelului de dezvoltare si expansiuni a companiei si a numarului redus de personal incadrat

in departamentul de audit intern planificarea misiunilor nu a fost elaborioasa si deci nu va fi

dezvoltata in studiul de caz.





21/30

ETAPA 4 REALIZAREA MISIUNII DE AUDIT

Datorita inexistentei in anii precedenti a unui departament de audit intern sau de management al

riscului care sa creeze o arhiva cu date despre riscurile inerente, in alte cuvinte datorita lipsei de

date elocvente ajutatoare la intocmirea matricei riscurilor, aceasta nu a putut fi intocmita in

prealabil asumarii planului de audit aferent 2011.Insa la finele anului, cand toate misiunile de audit

au luat sfarsit si s-a intocmit raportul de audit, s-a completat si matricea riscurilor reziduale pentruca urmatorul plan de audit, aferent 2012, sa fie mai precis in inlaturarea erorilor si sa atace direct

problemele mai delicate care au fost omise sau chiar trecute cu vederea in anul precedent din motive

logistice sau din cauza relevantei reduse la momentul respectiv.

La asumarea primului plan de audit din cadrul companiei, s-a dorit o verificare a tuturor riscurilor

care pot duce la pierderea de valoare a activelor societatii sau a productivitatii muncii si s-a

considerat ca orice risc inerent este destul de relevant. Astfel au fost audiatate toate departamentele

si toate procesele atat tehnologice cat si comerciale.

Procedurile utilizate pentru testarea controalelor interne au inclus teste deconformitate a

procedurilor, verificari ale arhivei cu privire la corectitudinea intocmirii documentelor contabile,reconcilieri cu clientii si furnizorii unde au fost gasite nereguli, verificari ale stocului, ale

remuneratiei personalului, etc.

Probele obtinute in baza testelor de control aplicate au condus la evaluarea riscurilor reziduale si la

completarea, pentru prima data, a matricei riscurilor reziduale. Determinarea risculuirezidual va

permite auditorilor, in anii urmatori, sa verifice acuratetea cu care au fost evaluate riscurileinerente

in anul precedent.

Pentru o reprezentarea mai usor de inteles riscurile au fost grupate pe categorii ce prezinta

caracteristici sau implicatii comune, astfel matricea riscurilor reziduale aferenta 2011 este

urmatoarea:

Probabilitatea

risculuirezidual

5 A G J

4 B E

3 I

2 C D

1 H F

1 2 3 4 5

Impactul riscului rezidual

1-4 5-8 9-12 16-25





22/30

A. Lipsuri in tinerea evidentei materialelor consumate in productie

B. Lipsuri in tinerea evidentei stocurilor de materii prime si produse finite / marfa

C. Lipsuri in evidenta contractelor de clienti (conditii contractuale, grile de discounturi

nerespectate)

D. Lipsuri in tinerea evidentei comenzilor primite si a cantitatii de marfa livrate

E. Evidenta insuficienta si eronata in contabilitatea incasarilor de la clienti

F.

Strategii de marketing implementate gresitG. Tinerea arhivei contabile in mod necorespunzator (lipsa doc, doc intocmite eronat, lipsa

rapoarte lunare, etc)

H. Program informatic neperformant

I. Control inexistent asupra alocarii de useri si nivele de securitate in programul de gestiune

J. Baza de date intretinuta precar (inregistrari lipsa / duplicate)

ETAPA 5 RAPORTUL DE AUDIT 2011

In continuare se gaseste raportul de audit aferent anului 2011 intocmit de departamentul de audit

intern si cuprinde concluziile la care s-a ajuns in urma testelor de control. Raportul a fost prezentat

consiliului de administratie si a fost intocmit cu scopul de aexpune intr-un mod cat mai transparent

riscurile mari cu care se confrunta societate. Totodata s-au prezentat si efectele negative care au

avut loc sau implicatiile ce ar putea aparea pe viitor. In raport au fost aduse si recomandari cu

privire la corectarea erorilor sau la reducerea in limite admise a riscurilor.

Raportul nu prevede termene de implementare a recomandarilor si persoanele responsabile cu

stabilirea sarcinilor. Acest lucru ar face raportul un instrument mai util in urmarirea implementarilor

in perioada de monitorizare.

De asemenea, raportul este mai mult o lista de nereguralitati sau imbunatatiri identificate in cursulauditului si nu sunt prezentate modul de selectie a esantionului acolo unde s-a facut testarea prin

sondaj; nu prezinta o concluzie generala sau o opinie asupra eficacitatii sistemului de control intern

luand in calcul si aspectele pozitive observate in cursul auditului;acolo unde s-au idetificat

deficiente grave sau cu risc ridicat nu a fost identificat impactul potential al acelor nereguli.

Luand in calcul numarul mare de riscuri observate si facptul ca acesta este primul proiect desfasurat

de catre departament de audit intern, atat raportul prezentat cat si activitatea desfasurata de-a lungul

primului an fost un pas important in corectarea erorilor si imbunatatirea sistemului de control intern

in cadrul companiei PANADOR SA. Raportul de audit a reprezentat un studiu foarte imporant

pentru managementul societatii si efectul scontat a depasit asteptarile:consiliul de administratie aimpus urmatoarele modificari ce au avut ca termen de implementare primul semestru al anului

2012:

- in ceea ce priveste personalul companiei s-au facut recrutari de personal calificat si s-au inlocuit

anumite posturi cheie;

- sistemul informatic a fost imbunatatit prin achizitia unui nou soft de gestiune;

- sistemul de proceduri a fost regandit si imbunatatit;

- s-au introdus controale periodice pentru verificarea intocmirii corecte ale documentelor

contabile si in evidentierea corecta a stocului de marfa sau materii;

-

totodata s-au impus noi standarde in ceea ce priveste calitatea raportarii interdepartamentale.





23/30

RAPORT AUDIT INTERN

OPTIMIZARE PROCESE SI IMBUNATATIRE CONTROL

SC PANADOR SA

Data: 19.02.2012

Distributie: Director general

Observatie Implicatii Recomandari

Productie

1. Nu exista o balanta de material pentru determinareaconsumurile specifice realizate sau pentrudeterminarea productiei reale (fata de cea raportata).

Din analiza am observat ca la acelasi consum defaina, productia realizata era diferita in modconsecvent pe acelasi schimb (ex. Din 70 kg faina 360franzele, respectiv 336).

Ineficienta in productie,pierderi, furt (materie primasau produs finit)

nedetectate.

Monitorizare consumurispecifice realizate pe operioada de timp si analiza

variatii. Stabilire targetpentru consumuri de atinsde catre fiecare schimb siurmarire atingere obiective(pentru imbunatatireperformanta/ eficientaproductie).

2. Nu sunt monitorizate cauzele care genereaza bas sirebut pentru corectie/ control.

Ineficienta in productie,pierderi, furt productienedeclarata nedetectate.

Cauzele generatoare debas si rebut trebuiemonitorizate pentru a puteafi luate actiuni preventive /corrective de evitare si

reducere pierderi.Monitorizare eficientafiecarui schimb.

3. Intregul process de inregistrare consum/ productie/gestiune livrari este manual.

Datele completate in documente nu sunt folosite inprezent.

Reconcilierea pentru verificare raport productie nueste efectuata in practica/ fezabila datorita volumuluimare de munca.

Lipsa date operative pentrudecizii de crestere eficientasi control.Repetitii in inregistrari sinecorelari, erori si diferentenedetectate.

Implementare un sistem deinregistrare a datelorelectronic.

(Dezvoltat model in Excelpentru implementareimediata si reducerecosturi. Datele consolidatein aceasta perioada pot filuate ca baza laimplementarea sistemuluiintegrat de gestiune siurmarirea productiei).

4. Defecte tehnice care pot fi rezolvate cu cost relativ mic(inlocuire divizorului si sincronizarea motoruluipredospitorului), poate reduce personalul cu 2persoane/schimb.

Prsonalul eliberat poate fifolosit in alte activitati.

Deja in lucru.

5. Inventarierea materiilor prime si a produselor finite serealizeaza de catre gestionari respective si nu de

personae independente.

Pierderi/ furt/ lipsa gestiunenedetectate.

Plusuri gestiunenetetectate conduc la furt.

Stocul scriptic tinut strict sicomparat cu stocul real.

(model in Excelfunctionabil)





24/30

In plus, nu se tine evidenta stocurilor scriptice atat lamaterii prime cat si productie deci nu vor fi detectateniciodata diferente/ pierderi.

Stoc 26.02 27.02 28.02

- scriptic 1280 1283 533

- faptic 1304 1073 711

Diferenta +24 -210 +178

Inventarierea sa fierealizata minim lunar decatre personaeindependente (daca eposibil prin rotatie).Periodic si o persoana dinconducere/ de incredere.

6. Depozitul de produse finite este amenajat astfel incatpermite accesul neautorizat la produsele finite.

Risc de furt. Depozitul de produse finitetrebuie amenajatcorespunzator, astfel incataccesul sa se faca doar inprezenta gestionarului.

7. Calitatea fainii primite nu este verificata in majoritateacazurilor (indice deformare/ gluten) nu estedocumentat.

Risc de pierderi inproductie/ calitate slaba.

Indicii de calitate sa fieverificati de fiecare data sirezultatul testului inregistratintr-un Excel pentrumonitorizare/ analizeulterioare pe o perioada detimp.

Vanzari/ Marketing

1. Nu se monitorizeaza secventialitatea avizelor, pentrua a se asigura ca toate avizele au fost inregistrate incontabilitate. Pentru a fi posibila aceasta analiza,practica inregistrarii mai multor avize intr-unul singursa fie oprita.

Pierderi din neincasareaunor livrari care nu au fostinregistrate.

O analiza pentru urmarireainregistrarii avizelor artrebui realizata lunar(secventialitate).

2. Nu exista o situatie centralizata a tuturor contractelor

pentru a ne asigura ca: exista contracte valide / actualizate cu toti clientii;

in contracte sunt specificate toate clauzelecontractuale (ex: termenul de plata nu este specificatin toate cauzele ex. Oportun ctrl 784/6.11.2009)

Pierderi in caz de litigiu. O situatie centralizata cu

toate contractele trebuieintocmita pentru a neasigura ca exista contractesemnate, valide cu toticlientii ( in special cu cei cucare se lucreaza pe credit).De asemenea toateclauzele importante(termen plata) trebuieincluse in contract.

3. Nu e definit formal pretul de vanzare (discounturi) peclient facturi vanzari emise pe preturi comunicate

informal.Nu este definita limita de credit pentru fiecare client. Omonitorizare a acestora nu e posibila acum deciziilenefiind documentate.

Erori/ fraude in stabilirepreturi/ emitere facturi.

Pierderi din neplatacreantelor. Credit acordatneautorizat.

1. Preturile autorizate,limita de credit trebuie

definita pentru fiecareclient, pentru a evita erori/credit neautorizat/ limita decredit prea mare pentruunii clienti.2. Lista acestora in Excelpoate fi semnata sidistribuita la sedintasaptamanala. Deciziile ad-hoc/ telefonice siuoperative a fi documentatein lista saptamanal listasa fie disponibila lacontabilitate pentruintroducere preturifacturare (persoana





25/30

autorizata MASTERDATA). Sistemul sarestrictioneze modificarepreturi vanzare.

4. Nu exista un raport periodic de analiza a profitabilitatiipe client/ perioada.

Maximizare profit. Un raport cu profitabilitateaproduselor peclient/perioada ar trebuiintocmit periodic.

5. Nu se emite un raport lunar cu cantitatea livrata vscantitatea facturata.Generand raportul pentru luna feb 2010 am observaturmatoarele cantitati nefacturate:

Nume Marfa AvizeFact

inchidereAv ize

neinchise

covrigi impletiti 70g 275 265 10

covrigi cu susan 70g 100 0 100

covrigi impletiti 70g 85 0 85

Incasarea cu intarziere. Un raport de analiza acantitatea livrata vscantitatea facturata artrebui intocmit si trimiscatre management periodic

6. Nu se face provizion pentru clientii neincasati

(conform Codului Fiscal 30% din creantele neincasatesunt deductibile fiscal ).Din analiza vechimii creantelor a rezultat suma de10,791 RON avand o valoare mai mare de 9 luni (270zile), pentru care ar putea fi inregistrat provizion.

Plati suplimentare de taxe. Provizionul pentru clientii

neincasati trebuieinregistrat.

14. Nu exista control asupra acuratetii monitorizariiincasarilor. Din verificare prin sondaj am observat cain data de 28.01 nu s-a incasat cantitatea de 25franzele.

Neincasarea creantelor dela clienti

(De implementat cu o noigestiune pentru fiecaresofer in aplicatia curenta).

15. Incasarile cash nu sunt verificate zilnic decontabilitate.

Furt, erori Periodic (zilnic) registrul decasa trebuie verificat sisemnat de catre

DepartamentulContabilitate.

16. Obiective neclare / nemotivante pentru cresterevanzare paine.

Pierdere vanzari Redefinirea obiectivelor devanzare paine

17. Strategie clienti mari nedefinita clar.

HORECA neatacata suficient pentru vanzari.

Pierdere vanzari Toti clientii mari (mai alescare nu vand acumPanador) identificati siplanuri de atragere a lor laPanador definite pe termenmediu/ lung pe rand. (ex.atragere 1 client mare petrimestru cu actiunispeciale).Definire strategie pentrucrestere cota de piata peHORECA.

18. Actiunile de marketing nu au la baza o strategie cuobiective definite clar pentru fiecare marca. MarcaPanador nefolosita ca umbrela pentru majoritateagamei de produse Atentie: de ales daca pentruvolum sau specialitati.

Actiuni fara eficienta saucu eficienta limitata.

Definire obiectiv pe termenlung al fiecarui brand siapoi definire actiuni inaceasta directie. Target:reducere actiuni spontanela 1/3 si crestere actiuniplanificate la min 2/3.

19. Nu se cunoaste motivul care il determina peconsumatorul final sa cumpere un anumit produsPanador (ca e recomandat de vanzator, e aproape, eieftin, e bun etc.)

Obiectivele de marketing sipozitionare produs,stabilire preturi sidezvoltare noi produse arputea fi pe langa sau nu

Cercetare identificaremotive pentru careconsumatorul finalcumpara un anumit produsPanador.





26/30

in fata competitiei

20. Potentialul de calitate al Graham nefolosit fiindsingura paine din faina graham veritabila/ naturala sinu coloranti.

Potential de cresterevanzari

Stabilit strategie pentru:pas1 - pozitionare imagineGraham si apoi pas2 -crestere vanzari. Strategiasa fie validate prin

cercetare de piata anteriorsi calcule contributie.

21. Ambalaje returnabile nu sunt urmarite corespunzatorpentru a fi recuperate de la client/ sofer.

Pierderi. Urmarire gestiuneambalaje returnabile siimputare pierderi.

22. Analiza detaliata concurenta pe produs: de ce sevinde al concurentei.

Propunere analiza peprodus a concurentei sipozitionare BGC aproduselor pentrudeterminare ciclu viata sistrategie de piata/marketing si de cost

(Ansoff). (de discutat)

Aprovizionare

1. Transmiterea preturilor negociate (ex. la materieprima) si a discounturilor (ex. la magazine) nu estedocumentata.

Risc de plata in plus afacturii

Lista cu preturi negociate/discounturi a fi tinuta inExcel si distribuita catrecontabilii responsabili.

2. Verificari repetate la inregistrarea facturii de lafurnizori, care nu sunt necesare, factura nefiindverificata cu contract (pret/ calitate/ alte clauze/

penalitati) sau cu semnatura pentru primire.Factura nu e verificata la momentul platii.

(Am observat prin sondaj mai multe cazuri in careseful de magazin nu semneaza pe factura pentrureceptia marfurilor.)

Risc a plati cumparareaunor marfuri/ serviciinecomandate, in cantitati

mai mari decat cele cerutesau la o calitate diferita,pret mai mare decat celcomandat. Risc de frauda plata facturi fictive.Penalitati neaplicate.

1. Factura sa fie verificatadoar la momentul platii cu contractul si pentru

receptie cantitativa/calitativa.2.

Restrictie sistempentru modificare adaos.Stabilire adaos comercialdoar de 1 persoanaautorizata (master data).(Avantaje: 1. Se verificacomplet. 2. Se eliminaastfel toate verificarileanterioare minim 1contabil disponibil pentru

alte sarcini. 3. In caz deintroducere gresita a uneicifre in system, seidentifica eroarea automatin momentul inregistrariiplatii.)(Dezavantaj: facturile vor fiindosariate in functie dedata scadenta).

3. Documentarea tabelului cu persoane autorizate (penivele de valoare sau materiale) pentru:

a verifica si aproba facturi la plata;

a semna contracte, comenzi.In prezent un exista o regula in acest sens si e ooarecare confuzie in aceasta privinta (origine poatesemna contract sau semna factura la plata).

Risc de a angajasocietatea in comenzi /contracte dezavantajoase

care pot conduce lapierderi.

Definire si circulare tabelpersoane autorizate pentrua aproba / verifica facturi la

plata si contracte/ comenzi.





27/30

Lipsa control asupra platilor facturilor cu cash de lagestionara biletele.

4. Receptia marfurilor un se efectueaza de o persoanaindependenta.

Acceptarea de marfurislabe calitativ/ expirate saulipsa cantitativ pot fiacceptate fara a fiidentificate.

Control preventiv: Receptiamarfurilor sa fie efectuatade persoane independentede gestione/ consum.SAUControl detective:Inventarieri regulate sidese efectuate depersoaneindependente.(Dezavantaj:in cazul identificarii unorprobleme un poate fi usoridentificata persoanaresponsabila).

IT1. Sistem informatic slab si neperformant: lipsa rapoarte/

multe verificari manuale si ineficienta/ inregistrareamanuala a acelorasi date in mod repetat.

Ineficienta costuri mari.Lipsa informatii de analiza/decizie.

Sistemul informatic a fiinlocuit cu un sistemintegrat (respectandconditiile de normalizare abazelor de date) si cuurmarirea productiei sioperatiuni intre societati ingrup.

2. Aplicatia de gestiune actuala:

nu este adecvata modului de lucru cu multiutilizatori de la Panador;

nivel de securitate si procesare al datelor foarteslab.

Aplicatia nu a fost conceputa pentru modul de lucruclient server, drept urmare modul de lucru actual cuaceasta aplicatie este periculos deoarece poaterezulta in pierderea datelor in orice moment oriceutilizator poate sterge datele (chiar si din greseala).Nu exista un mediu de test separate, pentru a testaeventualele schimbari ce trebuiesc implementate inaplicatie. Lipsa unui mediu de test separate poate

duce la distrugerea aplicatiei in momentulimplementarii unor modificari.

Ineficienta. Functioneazalent in cazul mai multoroperatori in acelasi timp.

Pierderea tuturor datelor inorice moment poateconduce la blocareacompaniei pentru catevasaptamani si la pierderiincasari/ vanzari.Modificarinecorespunzatoare aaplicatiei pot conduce lapierderi/ modificarinedetectate de date sifrauda.

Recomandari imediate:1.

Partitia aplicatiei sa numai fie mapata iar modul

de acces la aplicatie sa seefectueze prin definireacaii directe catreexecutabilele acesteia.2.Ar trebui implementatun mediu de test pentrutestarea modificariloraplicatiei.

(Pe termen lung: vezi obs 1mai sus)

3 In urma analizarii accesului utilizatorilor la aplicatii, amidentificat urmatoarele :

9 utilizatori au access de administator in aplicatiaGestProd.

Toti utilizatorii au access sa modifice si sa steargadocumentele deja create (exemplu avize/ facturi/incasari).

Accesul utilizatorilor in aplicatie nu este acordat infunctie de societatile pe care lucreaza.

Aplicatia Registre nu prezinta facilitatea de acces pebaza de utilizator si parola. In acest mod, activitateautilizatorilor nu poate fi umrarita

Exista riscul ca uniiutilizatori sa efectuezemodificari nedorite inaplicatieStergerea/ modificarea dedocumente neobservatapoate favoriza frauda.

1.

Se recomanda cadrepturile de administratorsa fie restrictionateutilizatorilor.2. Dreptul de stergeredocumente ar trebui retras.Trebuie consultata firmace ofera service aplicatiei,pentru a gasi o modalitate

pentru retragerea dreptuluide modificare adocumentelor importante,fara a afecta activitatea





28/30

obisnuita a utilizatorilor(sx. Printarea)3. Ar trebui implementatun sistem de acces pebaza de utilizator si parolain aplicatia Registre.

4 Am observat ca bazele de date principale de furnizori

si clienti nu sunt completate corespunzator.

Baza de date de clienti contine inregistrari duplicat.

Informatiile despre clienti/

furnizori pot fi incomplete

Unele campuri sa fie

configurate ca si campuriobligatorii (ex. denumireclient/ furnizor, adresa,telefon, cod fiscal, cod deinregistrare la RegistrulComertului).Aplicatia sa fie modificatasa permita inregistrareaunica a clientilor.

5 Antivirus inefficient. (Actuala configuratie aprogramului antivirus presupune consumul unui numar

mare de resurse. Astfel, pe unele calculatoare acestaeste dezactivat pentru ca utilizatorii sa isi poatadesfasura activitatea.)

Risc ridicat ca unelecalculatoare sa fie infectate

cu virusi/ spyware pierderi date sau spionaj.Incetinire viteza de lucru aoperatorilor.

Configurarea antivirusuluiinstalat pentru ca acesta sa

consume mai putineresurse.Folosirea unei solutiiantivirus pentru persoanejuridice, cu facilitati de tipclient-server si carefolosesc resurse mai putine(ex. Bit Defender, McAfee,AVG.

6 Din revizuirea contractului de service pentru aplicatii,cu firma Atto Soft am observat urmatoarele probleme:

Lipsa back-up date. Conform contractulul firma

AttoSoft trebuie sa efectueze back-up regulat aldatelor, ceea ce nu se intampla (RISC MAJOR in cazde pierdere date/ hardware stricat).

Cu toate ca, prin contract se plateste o taxa lunarade upgrade, firma Panador nu beneficiaza de toateupgradte-urile lansate de catre AttoSoft.

In contract nu este stipulata o clauza deconfidentialitate (RISC MAJOR)

termenul de interventie de max. 48 ore este preamare.

Nu exista contract de servicii cu firma MondoComputers, cea care asigura mentenantacalculatoarelor si a echipamentelor de retea.

Risc mare de pierderi datesi furt / divulgare date.Plata pentru servicii care

nu sunt furnizate.Neperformanta in servicii.

1. Firma AttoSoft sa facaback-up regulat pe suportextern al datelor conform

contract.2. Periodic, sa se cearade la firma AttoSoft o listacu update-urile lansate, cepot fi instalate pentruaplicatia firmei Panadorpentru analiza/implementare.3. Introducerea uneiclauze de confidentialitatein contractul cu AttoSoft cupenalitati financiare si

personale.4. Termenul de interventieprevazut in contract artrebui revizuit si micsorat.

7. Server vulnerabil.

locatia serverului permite accesul oricaruipersoane la acesta. Mai mult, in momentul vizitei,am observat ca panoul lateral al carcasei eradesfacut.

accesul la server nu este restrictionat prin user siparola, cu drepturi specifice pentru fiecareutilizator.

nu se efectueaza un back-up reulat al bazei dedate pe support extern

Riscul ca un utilizator sadefecteze fizic serverul sausa inlocuiascasubansamble din acesta.Sistemul de operare poatefi destabilizat sau fisiereleaplicatiei pot fi sterse/deteriorate de catreutilizatori deoarece nuexista o restrangere adreptului de acces logic laserver.

Serverul aplicatie sa fiemutat intr-o locatie sigura,unde accesul fizic la acestasa fie restrictionat.

Accesul pe server sa seefectueze doar pe baza deuser si parola.

Efectuarea de back-upregulat pe support extern aldatelor aplicatiei. Suportul





29/30

Riscul pierderiinerecuperabile a datelordin aplicatie in cazul unuiaccident la server,deoarece back-up-ul nu seefectueaza pe supportextern.

pe care se face back-up-ular trebui stocat in altalocatie decat cea aserverului

8. Am observat ca toti angajatii se conecteaza la

calculator folosind un cont de utilizator cu drepturi deadministrator.Mai mult, am observat ca pe unele calculatoare existainstalate programe care incetinesc performantelecalculatoarelor sau unele programe cu scoprecreational ce pot distrage utilizatorul de la sarcinilede lucru. (vezi lista din anexa 1)Totodata, am observat ca toti utilizatorii au acces lainternet. Accesul excesil va internet creste risculinfectarii cu virusi/ spyware

Ineficienta la servici.

Utilizatorii pot destabiliza/strica sistemul de operare.

Exista riscul ca utilizatoriisa instaleze singuriprogramme neautorizatesau sa isi acorde drepturinepermise in retea (ex.acces la internet)

1.

Creare cont propriu

pentru fiecare utilizator,caruia sa i se limitezeaccesul la activitatiadministrative si laprogramme ce nu ii suntnecesare prin naturaserviciului.2. Dezinstalarea de pecalculatoare a tuturoraplicatiilor care nu suntnecesare.3.

Acordarda dreptului deacces la internet doarlimitat.

9. Pe parcursul auditului am observat ca nimeni nuintretine o lista cu echipamentele din firma. Lipsa uneievidente a echipamentelor IT poate duce laNu exista o evidenta a licentelor progamelor instalatepe calculatoarele utilizatorilor. Pe parcursul audituluiam identificat o serie de programme (Ms. Office 2003basic & Professional, abby fine reader) pentru care nus-au putu identifica licentele

Riscul de furt deechipamente saucomponente IT, ce nupoate fi detectat.Penalitati sau furtullicentelor de catre angajati.

1.Tinerea evidenteituturor echipamentelor IT(numarul de inventar siconfiguratie).2. Inventariere licente -evidenta acestora

Al te observati i

1. Folosirea inteligenta a posibilitatii sponsorizarii uneifundatii pentru a consitui un fond de ajutorare/motivare angajati GRATIS (86%) prin deducerea dela plata impozitului pe profit.

Motivare angajati. Sursasuplimentara de venituri.

Discutat deja.

2. Crestere competente sef contabilitate pentru partea decontrolling, management financiar, managementcash/ fond de rulment, analize investitii / surseinvestitii.(ex. lease-back poate fi avantajos pentru atragerecredite)

Lipsa unei balante pentruoptimizare financiara asocietatii.

Luminita ACCA (chiar sinumai pentru curs daca nupentru certificare devineautomat auditor financiar).

3. Tabloul fluxurilor de numerar nu e intocmit/ analizat.Previziuni incasari nu sunt intocmite/ monitorizate.

Pierderi din costurifinanciare mari sau lipsaresurse pentru dezoltare/investitii.

Urmarire profesionista acash-ului / creditului/ fondrul

5c6658b0-5093-4d90-975e-cccdba8cdfa5-150305161012-conversion-gate01

Documents

Transcript of 5c6658b0-5093-4d90-975e-cccdba8cdfa5-150305161012-conversion-gate01