Documente noi - cercetari, esee, comentariu, compunere, document
Documente categorii

Activitatea de audit propriu - zisa

ACTIVITATEA DE AUDIT PROPRIU - ZISA. ABORDARE PRACTICA

1. Calculul capacitatii auditului                       

2. Planul anual de audit                

3. Etapele activitatii de audit intern                            



4. Intocmirea raportului de audit intern                    

Cuvinte - cheie

Intrebari si exercitii

5. Abordare practica

5.1. Activitatea de creditare 

5.2. Trezorerie si piete de capital

5.3. Trade Finance (pasive contingente

A.Garantii bancare

C.Acreditive

5.4. Plati

1.Plati interne (de pe teritoriul tarii)

2.Plati internationale

5.5. Contabilitate

5.6. Furnizori/cheltuieli

5.7. Personal/resurse umane

5.8. Administrarea cladirilor si mijloacelor fixe

5.9. Auditul de conformitate

5.10. Auditul sistemelor informationale       


1. Calculul capacitatii auditului


Inainte de a se realiza planul anual de audit intern, coordonatorul departamentului audit intern trebuie sa calculeze numarul efectiv de zile care pot fi lucrate de catre personalul angajat la momentul respectiv.

La calcularea capacitatii auditului, coordonatorul trebuie sa ia in considerare numarul de zile lucratoare, zilele legale de sarbatoare, zilele de concediu de odihna sau medical (se face o estimare care sa se apropie de numarul legal de zile de concediu), etc. In general, calculul ia forma unui tabel ca cel de mai jos:

Numarul de persoane angajate

1000

Din care centrala bancii

300

Numarul persoanelor din audit

10

Procent

1

Capacitatea auditului pe 3 ani (de vazut mai jos)

4026

Procent din total personal din centrala bancii

3



Numarul de personal din audit

10

Numarul de zile pe an

3650

Minus


Week-enduri

1080

Sarbatori legale

80

Vacanta de odihna

210

Boli sau alte vacante

80

Capacitatea auditului

2200

Din care:


19% compliance si AML

418

5% consultanta

110

10% audit extern

220

5% audituri neplanificate

110

Zilele lucratoare de audit planificat pe an

1342

In urmatorii 3 ani

4026

Minus


Altele

0


4026


Determinarea capacitatii de audit va trebui sa evalueze si urmatorii doi ani, astfel incat aceasta sa prezinte o estimare pe trei ani in vederea planificarii efectivelor de personal necesar auditului intern.


2. Planul anual de audit

In desfasurarea activitatii de audit intern, planul anual reprezinta un ghid sau, mai mult, echivalentul bugetului de venituri aferent departamentelor orientate catre vanzari, adica, cu alte cuvinte acesta determina anumiti termeni care trebuie sa fie realizati.

Asa cum s-a mentionat si in capitolul anterior, planul de audit va trebui sa reflecte rezultatele matricelor de risc. Astfel, daca activitatea auditata emana un risc semnificativ, atunci aceasta ar trebui sa fie auditata periodic la fiecare 3 luni. In continuare, pe masura scaderii gradului de risc implicat, auditul poate fi desfasurat la fiecare 6 luni, in fiecare an, la doi ani sau chiar 3 ani. Mai jos, autorii va prezinta un model de plan anual de audit intern in conditiile in care departamentul are trei persoane angajate.


Departamentul

Perioada

Nr. de zile

Nr. auditori

Realizat (sfarsit an)

Credite/legal/retail

05.01.2004-02.02.2004

20

3


Trade finance

09.02.2004-23.02.2004

10

3


TFO

01.03.2004-05.03.2004

5

3


TBO

08.03.2004-12.03.2004

5

3


Sucursala 1

15.03.2004-19.04.2004

5

2


Custodie

15.03.2004-19.04.2004

5

1


Etc.






Tabelul va continua cu enumerarea celorlalte departamente sau unitati care ar trebui sa fie auditate conform matricelor de risc pana la sfarsitul anului. Dupa cum s-a observat, in acelasi timp se pot realiza mai multe misiuni de audit, insa, aceasta modalitate poate fi utilizata numai in cazul in care banca dispune de efectivele de personal necesare.

Evident, acest plan poate suferi modificari de-a lungul anului, in functie de noile activitati sau produse ce au fost introduse fara a se sti aceasta la momentul intocmirii. De asemenea, toate activitatile ramase neauditate vor fi repartizate in planul de audit pentru anul urmator.

Acest plan trebuie sa fie intocmit de catre coordonatorul departamentului de audit intern si aprobat de catre consiliul de administratie.

3. Etapele activitatii de audit intern


Etapa I. Informare generala privind obiectivul ce urmeaza a fi auditat

1. Lucrari preliminare

informare, documentare referitoare la relatiile cu mediul extern de afaceri;

informare privind reglementarile legale, statutare, profesionale;

comparatii cu alte societati (banci) cu acelasi profil.

2. Primele legaturi oficiale cu unitatea auditata (management, structuri operatorii)

informari, documente referitoare la principalele niveluri structurale, planuri, persoane, rezultate, deficiente;

vizite la manageri, directori, servicii, operatori;

informare preliminara privind documentele de gestiune (evidenta operativa).

3. Orientarea planificata si inceperea lucrarilor

deschiderea dosarului permanent de lucru;

analiza riscurilor de audit:

definirea obiectivelor de audit,

stabilirea limitelor de aprofundare,

precizarea duratelor (persoanelor);

stabilirea departamentelor, sectiilor, serviciilor, si locurilor de operare unde se vor efectua testari

Etapa II. Derularea misiunii de audit

1. Stabilirea procedurilor

folosirea manualului de proceduri, dupa caz;

elaborarea diagramelor de circulatie  (informatii, documente);

alcatuirea de memorandumuri.

2. Stabilirea testelor de conformitate

simulari sau/si teste la un numar de tranzactii diferite cu scopul de a verifica procedurile de control si finalizarea controlului: adaptabilitatea sistemului de control.

3. Evaluarea preliminara a controlului intern

puncte forte ale sistemului de control;

puncte slabe ale sistemului de control.

4. Teste de permanenta

teste de verificare a continuitatii si eficacitatii punctelor forte ale sistemului.

5. Evaluarea controlului

punctele forte ale sistemului de control;

slabiciunile, deficiente ale sistemului de control;

documente de sinteza.

Etapa III. Finalizarea misiunii de audit

1. Evaluarea definitiva a controlului intern

actiuni semnificative;

actiuni putin semnificative;

elaborarea unor noi programe;

teste complementare;

elaborarea unor noi programe;

2. Stabilirea si raportarea opiniei

4. Intocmirea raportului de audit intern

Raportul de audit respecta anumite principii, o anumita forma, iar continutul sau se supune anumitor norme.

Raportul de audit intern este si trebuie sa fie un document de informare pentru conducere. La simpla lectura a raportului, superiorii ierarhici trebuie sa stie daca exista un bun control asupra domeniului auditat si care sunt, eventual, masurile importante ce trebuie luate pentru a imbunatati situatia. Pentru a raspunde acestei functii, nu este nevoie ca raportul de audit sa detalieze investigatiile efectuate. Trebuie si este nevoie ca raportul de audit sa detalieze investigatiile efectuate? Trebuie si este de ajuns sa prezinte o argumentatie clara, care sa se bazeze pe identificarea exacta a riscurilor observate sau descoperite si care sa precizeze in linii mari punctele slabe si masurile ce trebuie luate ?

Insa raportul de audit mai trebuie sa fie, din punctul de vedere al entitatii auditate, si un instrument de lucru. Pornind de la raportul de audit, responsabilii auditati vor intreprinde actiuni corective, ceea ce nu s-ar putea face numai cu indicatii generale. Asadar, documentul trebuie sa analizeze si sa prezinte in mod obligatoriu detaliile constatarilor si observatiilor. Recomandarile trebuie sa fie concrete si precise, pentru ca responsabilii sa nu ramana nelamuriti, si sa fie in masura sa defineasca cu exactitate actiunile ce trebuie intreprinse. Rezultatul acestei abordari este un raport lung.

Raportul de audit va trebui sa raspunda acestor doua exigente prin adoptarea unei structuri originale pe care o putem analiza in patru parti:

Prima pagina si scrisoarea de transmitere

In functie de regulile bancii si de cultura ei, raportul este-sau nu- insotit de o scurta scrisoare de transmitere. De foarte multe ori, scrisoarea de transmitere lipseste iar pe prima pagina se indica principalele mentiuni care nu trebuie omise:

in primul rand, titlul misiunii si data de trimitere a raportului care precizeaza foarte clar data de incheiere a operatiunilor de audit. Eventual, se aminteste ordinul de misiune initial;

sunt mentionate numele auditorilor care au participat la lucrari, impreuna cu cel al sefilor de misiune; este foarte indicat ca cei interesati sa semneze cu numele lor, cu exceptia cazului - pe care veti vedea ca nu-l recomandam - in care nu au participat la redactarea raportului. Produsul final este astfel validat de catre cei care au contribuit la crearea sa;

din acelasi spirit de claritate se cere precizarea numelor destinatarilor raportului de audit. Daca au fost difuzate doar extrase, se vor preciza si beneficiarii acestor extrase. Este foarte important ca la fiecare nivel al structurii ierarhice sa se stie foarte clar cine a primit documentul. O mentiune speciala precizeaza cine este entitatea auditata, destinatar principal si responsabil cu aplicarea recomandarilor.

O mentiune obligatorie de confidentialitate mai figureaza pe prima pagina (sau pe coperta). Aceasta cerinta de confidentialitate implica numerotarea diferitelor exemplare si precizarea numarului in fata numelui fiecarui destinatar. Regulile interne ale serviciului de audit trebuie sa interzica in mod normal editarea sau fotocopierea raportului.

Sumar- introducere si sinteza

Acest ansamblu introductiv incepe prin sumarul detaliat al raportului pentru a putea face usor trimiteri la un subiect sau altul. Acest sumar este indispensabil mai ales pentru rapoartele voluminoase sau care au multe anexe.

Introducerea este in general destul de scurta. Ea trebuie sa cuprinda in mod obligatoriu doua informatii:

prezentarea domeniului de actiune si a obiectivelor misiunii. Intr-adevar, cititorul nu cunoaste neaparat ordinul de misiune, si nici raportul de orientare a fortiori; aceasta prezentare precizeaza asadar cu o foarte mare utilitate scopul urmarit si limitele in care s-au situat investigatiile (limite in timp si spatiu);

o descriere foarte scurta a organizarii unitatii sau a functiei auditate; si aceasta nu pentru ca entitatile auditate solicita acest lucru, ci pentru a raspunde primei functii a raportului: informarea conducerii. La nivelurile cele mai inalte ale ierarhiei, poate sa fie nevoie de o prezentare a organizarii mediului auditat.

In final, sinteza. Unii autori o numesc "scrisoarea presedintelui", ceea ce subliniaza foarte clar obiectivul sintezei: sa informeze conducerea si sa respecte astfel prima functie a documentului. Acest capitol, clar separat de celelalte, permite responsabilului de la nivel inalt sa opreasca lectura in acel punct pentru a consulta in detaliu diferitele probleme pe care doreste sa le aprofundeze. Acest lucru presupune ca sinteza sa respecte doua reguli esentiale:

- trebuie sa fie scurta: nu mai mult de o pagina si jumatate, pentru a nu se lungi sau repeta.

- trebuie sa fie precisa si sa permita cititorului sa-si formeze o opinie dupa lectura.

In aceasta sinteza auditorul apreciaza calitatea controlului intern. In acest scop, ea nu trebuie sa fie un simplu rezumat al corpului raportului care contine numai observatii negative. Nota de sinteza restabileste echilibrul, coreland aspectele pozitive cu cele negative. Astfel poate fi aplicata Norma 2410.A2: "Comunicarea trebuie sa tina cont de punctele forte identificate". Sa precizam ca anumite rapoarte de audit aplica Norma evocand aspectele pozitive din corpul raportului. Dar pe langa faptul ca aceasta metoda ingreuneaza prezentarea si atenueaza punctele slabe, ea nu permite aplicarea Normei 2410.A1, care impune o "opinie generala a auditorului". Tehnicile de apreciere care permit formularea acestei opinii globale sunt tratate in capitolul urmator. Aceste tehnici sunt cu atat mai necesare cu cat auditorului intern i se cere de aici inainte sa-si assume opinia formulata, fapt care indica importanta sintezei.

Uneori, acest document de sinteza este lasat la sfarsitul raportului: aceasta este o greseala, deoarece cititorul are tendinta de a face o lectura integrala, in timp ce scopul urmarit este tocmai evitarea acestui parcurs.

Corpul raportului- sau "Raportul detaliat"

Este documentul integral destinat in primul rand entitatii auditate si care cuprinde: constatari, recomandari si raspunsuri la recomandari, toate prezentate in ordinea logica si coerenta a sumarului. Din pacate, exista o disputa intre doua scoli in privinta formei acestei parti care reprezinta esenta raportului:

o scoala "traditionala" care sustine faptul ca raportul de audit intern este un document destinat lecturii, si nu o cantitate de informatii care trebuie descifrate din documentele de lucru. Corpul raportului trebuie asadar redactat ca orice alt raport, adica conform traditiei.

o scoala "inovatoare" sustine faptul ca, avand in vedere ca practica foilor de lucru este generalizata datorita structurii sale coerente si logice, este de ajuns sa clasam toate foile de lucru conform ordinii anuntate in sumar si corpul Raportului este gata in forma sa definitiva. Aceasta practica are riscurile ei: in starea ei initiala, foaia de lucru este un document abrupt, fara nuante si a carei forma voit simplificata il poate soca pe cititorul neavizat. De aceea, este recomandat sa nu alegeti aceasta cale decat daca o permit contextul si cultura.

Concluzia-Planul de actiune- Anexele

Concluzia unui raport de audit nu este obligatorie: adevarata concluzie este nota de sinteza de la inceputul documentului. Putem totusi sa facem o scurta incheiere (15 randuri), nu pentru a repeta ceea ce s-a spus in sinteza, ci pentru a deschide doua directii posibile:

fie pentru a anunta - sau a sugera - alte misiuni al caror interes a fost evidentiat prin prezenta misiune de audit;

fie pentru a reaminti - facand referire la planul de audit aprobat - la ce data va avea loc urmatoarea misiune de audit intern pe aceeasi tema.

Dupa aceasta scurta concluzie urmeaza un document completat de catre entitatea auditata, trimis impreuna cu raspunsurile la recomandari si anexat la raport: este vorba de planul de actiune. Este un simplu formular, standardizat de auditul intern, si care permite entitatii auditate sa precizeze in cadrul fiecarei recomandari cine, ce si cand va actiona. Pentru a raspunde acestor obiective, actul anexat la sfarsitul raportului cuprinde inaintea numarului fiecarei recomandari numele persoanei responsabile cu punerea in aplicare si termenul in care recomandarea va fi pusa in aplicare si finalizata. Vom vedea mai tarziu la ce folosesc aceste informatii, insa imediat dupa difuzarea raportului, destinatarii stiu cui sa i se adreseze pentru fiecare problema adusa in discutie. Forma cea mai simpla si cea mai traditionala este aceasta:

Plan de actiune

Recomandari

Persoana responsabila

Data limita de finalizare

Nr.1

Seful de departament

30.06.2004

Nr.2

Director sucursala

30.05.2004


Majoritatea rapoartelor de audit intern contin si anexe pentru a nu complica prea mult textul documentului. De aceea, toate tabelele, graficele, textele oficiale, regulile procedurale, schemele etc. care sustin demonstratia sunt lasate in anexe, impreuna cu trimiterile si referintele de rigoare care sa permita identificarea lor fara probleme. In rapoartele importante, care necesita numeroase trimiteri, se utilizeaza uneori un "caiet cu anexe", un fel de raport complementar care nu este destinat citirii integrale. Utilizarea anexelor prezinta anumite pericole: auditorul trebuie sa se limiteze la documentele indispensabile pentru o mai buna intelegere a raportului; ar fi un adevarat dezastru daca am adauga documente inutile, doar pentru a obtine un anumit volum.


Raspunsurile la recomandari

Fiecare constatare da nastere unei recomandari a auditorului care este prezentata entitatilor auditate in timpul reuniunii de incheiere. Daca entitatile auditate au rezerve in privinta realismului si aplicabilitatii lor, si le vor exprima acum. Auditorii interni vor tine cont de acest lucru, sau nu, in functie de cum apreciaza observatiile facute. Deoarece recomandarea a devenit astfel definitiva din punct de vedere al formei, se cere un raspuns oficial din partea entitatilor auditate pentru ca observatiile lor sa poata fi integrate in raport. Aceste raspunsuri la recomandari se materializeaza in doua feluri:

fie - si aceasta este practica anglo-saxona - raspunsul este retinut si notat inca de la reuniunea de incheiere, in asa fel incat la  sfarsitul reuniunii sa existe un text definitiv: raport si raspunsuri. Raportul definitiv astfel finalizat este disponibil in orele de dupa reuniune, ba chiar in cateva minute, daca actualizarile si inregistrarile au fost facute pe calculator in timp real. Nu mai trebuie adaugate la document decat planul de actiune.

practica franceza este mai traditionala: intre exprimarea orala in timpul reuniunii si luarea de pozitie in scris dorim sa lasam entitatii auditate un ragaz de gandire, care variaza in functie de banca (de la 8 zile la 3 saptamani). Raspunsul scris ajunge asadar putin mai tarziu la serviciul de audit intern, care il integreaza, asa cum este, in raportul de audit dupa fiecare recomandare.

Aceste raspunsuri la recomandari trebuie sa respecte trei principii fundamentale:



1. Principiul 1

Trebuie sa reprezinte o luare de pozitie clara si fara ambiguitate prin care entitatea auditata:

- fie accepta recomandarea, acesta fiind - asa cum si trebuie - cazul cel mai intalnit, mai ales dupa reconcilierile si validarile din timpul reuniunii de incheiere.

- fie nu accepta decat partial, si numai pentru unele dispozitii

- fie o refuza, ceea ce nu trebuie sa se intample decat in mod exceptional.

Auditorilor trebuie sa li se atraga atentia asupra acestei probleme, deoarece unele refuzuri nu reprezinta rezultatul unei negari a constatarii, ci al caracterului nepotrivit al solutiei propuse. De aceea, seful misiunii, mai experimentat si cunoscand mai bine mediul, trebuie sa vegheze in mod special asupra calitatii si pertinentei recomandarilor propuse.

2. Principiul 2

Materializarea raspunsului entitatii auditate este "Planul de actiune" la care s-a facut trimitere in prezentarea structurii raportului de audit. Odata cu acceptarea recomandarii, se va decide cine va fi responsabil cu punerea ei in aplicare si cand. Acest aspect este foarte important deoarece introduce auditul in domeniul operational, permite trecerea de la teorie la practica si da recomandarilor auditorului un efect care ii pune in valoare actiunea.

3. Principiul 3

Daca recomandarea nu este decat partial acceptata, sau daca este refuzata total a fortiori, raspunsul entitatii auditate contine scurte explicatii care ii justifica pozitia.

De asemenea, raspunsul trebuie neaparat sa se refere la recomandare, el nu trebuie sa reprezinte o ocazie de a nega constatarile de fapt care figureaza in raportul de audit, aceste probleme trebuind sa fi fost rezolvate in timpul sedintei de incheiere. Daca cumva nu a fost nici una, nici alta si daca "Raspunsurile la recomandari" s-ar transforma in critici ale raportului de audit insusi, responsabilul auditului intern este cel care trebuie sa faca ordine:

- fie avand initiativa unei reuniuni de reconciliere;

- fie oprind orice incercare de dezbatere din partea auditorilor sai, dupa ce s-a asigurat inca o data de pertinenta observatiilor acestora.


Monitorizarea raportului de audit intern

Auditorii interni au avut intotdeauna grija sa stie ce se va intampla cu recomandarile lor pentru a putea masura eficacitatea reala a lucrarilor lor si sa verifice solutiile date unor probleme in care s-au implicat total. Insa exista pericolul de a vrea sa mearga prea departe, caci, daca modalitatile de monitorizare difera uneori in functie de banca, exista un principiu cu care toata lumea este de acord: auditorul intern nu ia parte la aplicarea propriilor sale recomandari. Principiul care pleaca chiar de la definitia functiei: auditorul nu este cineva care face lucrurile, este cineva care priveste cum sunt facute lucrurile.

Auditorul intern are dreptul sa fie informat referitor la aplicarea recomandarilor sale, drept care va permite masurarea eficacitatii, completarea dosarelor si, deci, sa incheie auditele ulterioare. Acest drept se bazeaza pe cateva principii normative de la care nu ne putem abate.


Cuvinte cheie


capacitatea auditului;        finalizarea misiunii de audit;

planul anual de audit;        raportul de audit;

etapa de informare;           plan de actiune;

derularea misiuni de audit;                   monitorizarea raportului de audit.


Intrebari si exercitii


1. Cum se calculeaza capacitatea auditului intr-o banca? Exemplificati pentru o banca care are 3 persoane angajate in cadrul departamentului de audit intern.

2. Care sunt elementele luate in consideratie la intocmirea planului anual de audit? Exemplificati pentru o banca care are 10 sucursale si urmatoarele departamente: credite, plati interne si externe, operatiuni de comert international (trade finance), legislative, trezorerie (front office, back office), contabilitate si financiar, informatica, calitate. Nota: unitatile trebuie sa fie auditate anual cu exceptia a doua sucursale care trebuie sa fie auditate o data la 2 ani si a functie de back office care trebuie auditata trimestrial (cele doua sucursale au fost auditate anul precedent).

3. Care sunt etapele activitatii de audit?

4. Enumerati sectiunile unui raport de audit?

5. Este important sa se intocmeasca un plan de actiune si sa se monitorizeze realizarea recomandarilor stipulate in acesta?                                               

5. Abordare practica.

In cadrul acestei parti se doreste a se prezenta foarte succint extrase de constatari realizate in cadrul diferitelor audituri realizate in domeniile de activitate ale unei banci. Acolo unde extrasele din rapoartele de audit nu sunt relevante, se vor prezenta liste de verificare care sunt utilizate de catre auditori in misiuniule lor de audit.

5.1. Activitatea de creditare


1. Debitor: MMM srl

Tara: Romania

Industria: prelucrarea lemnului

Scopul creditului: investitii

Data Aprobarii: 28.03.2005 Comitetul de Credite


Tipul creditului

Suma totala

Moneda

Soldul

Perioada

Rata dobanzii

Comisioane

INV

255.000

EURO

255.000

31.07.2009

7.5%



  • polita de asigurare nu este inregistrata in Arhiva Electronica de Garantii Reale Mobiliare
  • Alte asigurari nu au fost inregistrate in AEGRM
  • Garantii au fost evaluate la 487.483 EURO

CREDIT

RATING CLIENT

Opinia auditorului*

Conform BNR

Opinia auditorului*

Rating CRM


C

C

C

B


  1. Tragerea creditului : 25/03/2005
  2. Ipoteca : 30.03.2005
  3. Situatiile Financiare : 31.12.2004

a)     profit :899.061.000 ROL = 24.631 EUR

b)     Venit Net= 41.193.410.000 = 1.128.586 EUR

c)     Datorii platibile intr-un an : 10.289.433.000 = 281.902 EUR

d)     Datorii platibile peste un an : 13.209.276.000  = 361.987 EUR


Aspecte critice :


  • Conditii precedente (precedent conditions) « asigurarea cladirii » nu a fost realizata de catre client si nu a fost monitorizata de catre banca- de asemenea, nu a fost inregistrata in Arhiva Electronica de Garantii Reale Mobiliare.
  • Copiile bilantelor  primite de la clienti nu sunt stampilate pentru a dovedi conformitatea cu originalul
  • Tragerea creditului inainte de aprobarea lui de catre persoanele copetente si constituirea garantiilor.

Extras din raportul de audit :


Constatare :

Pentru clientul MMM SRL, banca nu a monitorizat constituirea garantiilor in timp efectiv, permitand tragerea creditului inaintea constituirii garantiilor. Dupa constituirea garantiilor, banca nu a reusit sa controleze asigurarea acestora. Mai mult banca a permis tragerea creditului inainte de obtinerea aprobarilor din partea Comitetului de Credit.

Raspuns unitate auditata :

Suntem de acord

Recomandare :

Banca trebuie sa implementeze un sistem de monitorizare/control a a ctivitatii de creditare in sensul constituirii garantiilor in timp efectiv si nepermiterea efectuarii tragerilor inainte de obtinerea aprobarii

Termenul limita de remediere : O saptamana de la semnarea raportului de audit

Risc: credit si operational


1.2.          Trezorerie si Piete de Capital

Contrapartida: Banca X

Tipul tranzactiei: FX spot

Suma: 1.000.000 EURO

Rata de schimb: 36.400 ROL

Dealer: Bogdan Ioan

Data: 31.03.2005

In urma consultarii documentelor suport ale tranzactiei de mai sus s-au putut retine urmatoarele:

Aspecte critice:

Dealerul Bogdan Ioan are dreptul sa tranzactioneze in limita a 500.000 EURO pe tranzactie, astfel ca in cazul nostru dealerul si-a depasit limita.

Expunerea pe contrapartida aprobata de consiliul de administratie era de 800.000 EURO

Deal ticket-ul nu era semnat de doua persoane (dealer si un ofiter back-office)- lipsa principiului celor 4 ochi.


Extras din raportul de audit:


Constatare:

In cazul tranzactie interbancare FX din data de 31.03.2005 cu contrapartida Banca X, in valoare de 1.000.000 EURO, s-a constatat ca principiul celor 4 ochi nu a fost  respectat, ceea ce a condus la nerespectarea limitei pe dealer si pe contrapartida.

Raspunsul unitatii auditate:

De acord

Recomandare:

Directorul unitatii trebuie sa implementeze un sistem solid de cntrol intern prin care sa nu se mai permita depasirea limitelor aprobate de consiliul de administratie


Termenul limita de implementare: imediat

Risc: piata si operational



5.3. Trade Finance (pasive contigente)


Scrisori de Garantie


Client: XYZ SRL

Tip scrisoare de garantie: pentru licitatie

Suma: 1.500.000.000ROL

Garantii: 1.500.000.000 ROL (depozit la banca)

Data aprobarii: 31.03.2005

Emisa: 28.03.2005

Beneficiar: Primaria Municipiului Bucuresti

Data expirarii: 28.04.2005


In urma verificarii documentelor suport acestei tranzactii, s-au constatat urmatoarele:


Aspecte critice:


Clientul nu oferise bancii contractul de participare la licitatie in care ar fi trebuit sa se mentioneze necesitatea unei scrisori de garantie, suma acesteia, beneficiarul si valabilitatea sa.

Textul scrisorii de garantie nu mentineaza data expirarii.

Depozitul este in valoare mai mica de 110% din valoarea scrisorii de garantie.


Extras din raportul de audit:


Constatare:

In cazul scrisorii de garantie emisa la cererea clientului XYZ SRL din data de 28.03.2005, banca nu a solicitat contractul de participare la licitatie, nu a mentionat data expirarii scrisorii in textul acesteia.


De asemenea, scrisoarea a fost emisa inainte de a fi aprobata, iar colateralul valoreaza mai putin de 110% din valoarea scrisorii.

Raspunsul unitatii auditate:

De acord cu anumite mentiuni:

Toate constatarile au fost remediate in timpul auditului

Recomandare:

Unitatea  trebuie sa respecte procedura in vigoare.

Termen limita de implementare: imediat

Risc: credit si operational



B. Acreditive

Client: XYZ SRL

Tip acreditiv: de import

Suma: 500.000 EURO

Data deschiderii: 30.03.2005

Data expirarii: 90 de zile de la trimiterea documentelor

Data platii: 30.07.2005

In urma verificarii documentelor suport ale acestei tranzactii, s-au constatat urmatoarele:

Aspecte critice

  • Printre documentele obligatorii trimise de catre exportator au lipsit certificatul de origine si scrisoarea de transport rutier

Extras din raportul de audit:

Constatare:

In cazul acreditivului de import emis de banca la cererea clientului XYZ SRL, banca nu a solicitat aprobarea clientului de a face plata acreditivului avand in vedere uzantele in cazul in care exportatorul nu trimite toate documentele obligatorii  (Ex: scrisoare de transport rutier si certificat de origine.)

Raspunsul unitatii auditate:

De acord cu mentiunea ca am luat acceptul clientului prin telefon.

Recomandare:

Unitatea trebuie sa respecte in intregime uzantele internationale.

Termenul limita de implementare: Imediat

Risc: reputational si operational

5.4. Plati


1.Platile interne (de pe teritoriul tarii)

Instrument de plata: Cec

Beneficiar: XYZ SRL

Suma: 500.000.000 ROL

Data emiterii: 30.05.2005

Data depunerii la banca: 30.03.2005

Data compensarii: 31.03.2005

Data incasarii: 01.04.2005

Circuit: 1

In urma verificarii documentelor suport, s-au constatat urmatoarele:

Aspecte critice:

  • Inregistrarea incasarii in contul clientului bancii cu o intarziere datorita esecului sistemului informatic si neverificarii de catre personalul unitatii a crediatii conturilor
  • Lipsa semnaturii beneficiarului pe borderoul de incasare cec.
  • Discrepanta intre suma scrisa in litere si ceea scrisa in cifre (s-a incasat suma scrisa in cifre)

Extras din raportul de audit:

Constatare:

In cazul cecului de incasat avand cabeneficiar clientul bancii XYZ SRL, din data de 30.03.2005, banca nu a urmarit incasarea acestuia, nu a verificat existenta semnaturii incasatorului pe borderou si nu a incasat suma scrisa in litere.

Raspunsul unitati auditate:

De acord cu mentiunea ca in cazul neincasarii, cauza principala este esecul sistemului informatic.

Recomanadare:

Unitatea trebuie sa verifice de fiecare data ca toate instrumentele de incasat s-au dus pe conturile clientilor. De asemenea, un program de (auto)control trebuie sa fie implementat imediat

Termen limita de implementare: Imediat

Risc: operational

2.Platile internationale

Tipul tranzactiei: incasare

Beneficiar: XYZ SRL

Suma: 500.000 EURO

Reprezinta: imprumut pe termen lung

Data: 30.03.2005


In urma verificarii documentelor suport ale tranzactiei, s-au constatat urmatoarele:


Beneficiarul nu a adus la banca un formular DIE in termen de 10 zile si nici documentele de credit,


Extras din raportul de audit:


Constatare:


Conform normelor in vigoare, clientii care au incasat anumite sume de la extern, trebuie sa completeze un formular DIE in maxim 10 zile de la data valuta. Echipa de audit a constatat ca acest principiu nu a fost respectat in cazul incasarii din data de 30.03.2005, in suma de 500.000 EURO, avand ca beneficiar clientul XYZ SRL. De asemenea, acesta nu a adus documentele de credit care au stat la baza acestei incasari

Raspunsul unitatii auditate:

De acord

Recomandare:

Unitatea trebuie sa impementeze un sistem de monitorizare a acestui tip de tranzactii

Termenul limita de implementat: Imediat

Risc: Reputational



5.5 Contabilitate


Unul dintre cele mai importante elemente care este verificat in cadrul functiei de contabilitate este inventarul sau cu alte cuvinte evidenta si inregistrarea pe clase de inventar a tuturor obiectelor de inventar.


O atentie deosebita trebuie acordata modului in care obiectele de inventar au fost clasificate, pentru ca fiecare clasa de obiecte de inventar are o perioada de amortizare diferita.


5.6. Furnizori/Cheltuieli

In cadrul acestui tip de audit, in general, auditorii verifica ca toate inregistrarile contabile referitoare la cheltuile intreprinse cu furinizorii de diferite servicii sau produse sunt intr-adevar sustinute de documente justificative. Printre cheltuielile inregistrate de banci s-ar putea numara si urmatoarele:

publicitate;

simpozioane

echipamente

premii;

materiale

-etc

Protectia si paza


Mai ales in cadrul auditurilor de sucursale, auditorii trebuie sa acorde o importata deosebit de mare modului in care sucursalele sunt securitizate si pazite. Mai jos, puteti citi un extras dintr-un raport de audit:



Constatare:

In urma unui test realizat de catre echipa de audit la sucursala x, s-a constatat ca echipa de interventie a ajuns dupa 15 minute de la declansarea alarmei, cu o intarziere de aproximativ 10 minute fata de maximul admis.

Raspunsul unitatii auditate:

De acord

Recomandare:

Echipa de securitate din centrala bancii impreuna cu directorul de sucursala vor incepe prospectarea pitei pentru inlocuirea furnizorului de servicii de interventii

Termenul limita de implementare:

O luna de la semnarea acestui raport

Risc: operational




5.7. Personal/Resurse umane


Evaluarea sistemului


Evaluarea sprijinului acordat de catre sistemul informatic departamentului de personal (automatizare, sistem de redactare documente, sisteme de afaceri pentru informarea personalului, contabilizarea salariilor, plata impozitelor catre Casa Nationala de Asigurare si sanatate, contabilizarea in balanta si a costurilor.).

In ceea ce priveste sistemele de afaceri, se evalueaza:

1. functiile sistemului disponibil si necesitatile utilizatorului,

2. introducerea datelor si procedurile de validare a inregistrarilor (detalii statice, date despre salarizare),

3. chestionarele disponibile,

4. listarile disponibile,

5. securitizarea accesului pentru date confidentiale (sistem de securitizare prin parola),

6. notificarea prompta a biroului de salarizare.


In detaliu, urmatorii pasi de audit se recomanda:

1.     Se obtin manualele, descrierile, normele si politicile in legatura cu administrarea personalului si se verifica daca:

au fost aprobate,

sunt actuale/actualizate (ex. cum ar fi ghidurile, politicile de calatorie, impozitarea, asigurarea, legislatia),

incorporeaza toate procedurile si sistemele,

2. Se indentifica numarul de personal, numele angajatilor/fisele postului (in timpul intalnirilor de prezentare a conducerii din prima zi a vizitei de audit).

3. Se obtine dosarul de personal pentru toti angajatii selectati de catre auditul intern (ex. se selecteaza un esantion de 20 angajati) si se verifica existenta si completitudinea lor:

- contractul de munca (contracte standarde sau individuale, prezentarea clara atat a drepturilor cat si a obligatiilor partilor, semnate de ambele parti),

- documentele ce certifica calificarea (certificatul scolar sau universitar, certificate de la angajatorul anterior, referinte),

- documente personale (certificatul de nastere, certificatul de nationalitate, certificatul de inregistrare daca este cazul),

- inregistrarea la casa de asigurare nationala,

- declaratie semnata de pastrare a confidentialitatii,

- carduri de inregistrare a angajatilor aratand evolutia salariului si calificarii,

- copii ale corespondentei cu personalul referitoare la salariu si promovare,

- documente pentru aprobarea angajarii personalului,

- alte materiale care ar putea fi necesare pentru a se conforma cu regulile si reglementarile locale.


3.     Se identifica procedurile pentru pregatirea salariilor si se verifica perioada de plata a salariilor pentru un esantion reprezentativ de angajati cum ar fi:

corectitudinea salariilor brute,

plata lucrului peste program,

plata impozitelor si deducerilor,

contributiile la casa de asigurare nationala sau fondul/planul de asigurare medicala,

plata bonusurilor,

replata angajatilor sau credite pentru tichete de sezon,

plati de subventionare a ipotecii acordate pentru credit de locuinta,

avansuri salariale si rambursarea lor adecvata.

si se asigura ca nu sunt platiti oamenii "manechin".


5. Se identifica pachetele de beneficii oferite personalului si se verifica acuratetea si aprobarea lor.

6. Se verifica inregistrarile de prezenta (ex. un esantion de 10 angajati):

completitudinea inregistrarilor aferente concediilor medicale si vacantelor,

sistemul de monitorizare pentru a asigura ca vacanta nu depaseste limita,

politica  pentru zilele de vacanta luate in avans,

politica referitoare la utilizarea obligatorie a unui numar pre-definit de zile de vacanta luate la rand,

certificatul medical pentru concediu medical ce depaseste numarul predefinit de zile (conform cu reglementarile locale).


7. Verificarea sistemului de compensare a lucrului peste program (ex. un esantion de 10 angajati):

politica generala referitoare la lucrul peste program,

numirea personalului,

sistemul de monitorizare si aprobare


8. Se identifica orele oficiale de lucru si se asigura prin observatie in timpul vizitei de audit ca personalul respecta aceste ore.

9. Se selecteaza un esantion reprezentativ de plati facturate realizate de catre departamentul de resurse umane si se verifica daca:

calculele sunt corecte,

factura platita este conforma cu instructiunile originale,

cheltuielile au fost aprobate de catre angajatii autorizati,

detaliile de pe stampila au fost incluse.


10. Daca plata salariilor se realizeaza prin alte banci se verifica extrasul bancii originale si contul din balanta.

11. Daca se permite departamentului de resurse umane sa obtina listarea actuala a creditelor nerambursate ale personalului si sa se asigure ca toate sunt aprobate, dobanzile sunt corecte, replata principalului si dobanzii se face la momentul exigibilitatii.

12. Exista un ghid pentru personal si este acesta distribuit catre intreg personalul (continut: drepturi si obligatii ale personalului, beneficii suplimentare, plata lucrului peste program, orele de lucru, etc.).

13. Se obtin normele despre revizuirea evaluarii performantelor personalului. Se evalueaza sistemul referitor la ratingul performantei si factorii cheie de performanta (ex. cunoasterea jobului, relatiile organizatorice si in echipa, punctele forte ale angajatului, ariile de imbunatatire, planul de dezvoltare/promovare).

14. Se obtin documente despre training si se evalueaza trainingul oferit angajatilor.

15. Se obtin documente si norme despre planificarea si dezvoltarea personalului.

16. Se verifica existenta consiliului de reprezentare a personalului (daca este obligatoriu conform legii locale).

17. Se evalueaza procedurile despre pregatirea bugetelor de personal pentru intreaga unitate (sucursala, filiala).

18. Se evalueaza statisticile asupra fluctuatiilor (demisiilor) si comentariile asupra motivelor pentru terminarea contactului de munca.

19. Se evalueaza normele locale asupra protectiei personalului feminin gravid si concediilor de maternitate si conformitatea cu astfel de norme.

20. Se obtin informatii asupra existentei unei legislatii de protejare a fortei de munca si se evalueaza daca sunt respectate.

21. Se evalueaza procedurile generale referitoare la timpul de proba (perioada calificata). Ex. note pentru urmarire, evaluare inainte de expirarea contractului de munca, extindere scrisa a terminarii contractului de munca.


5.8. Administrarea cladirilor si mijloacelor fixe


Responsabilitatile si indatoririle unitatii organizatorice insarcinate cu administrarea cladirilor variaza de la o piata la alta. Astfel, urmatoarele acopera activitatile care sunt cel mai raspandit acceptate ca fiind in cadrul acestor indatoriri. Oricum, aceasta gama de activitati nu trebuie sa fie privita atotcuprinzatoare, si programul de audit trebuie sa fie adaptat la nivelul local pentru a acoperi intreaga arie a gamei de operatiuni ce vizeaza cladirile si mijloacele fixe. Ca o regula generala, toate procedurile si costurile legate de aceste conturi de cheltuieli aferente departamentului responsabil cu cladirile si mijloacele fixe trebuie sa fie incluse in misiunea de audit.

Cu toate ca atat cumpararea de bunuri/servicii si decontarea facturilor relevante sunt o componenta semnificativa a indatoririlor departamentului respectiv, pasii necesari de audit nu sunt subliniati in aceasta lucrare, atat timp cat ei sunt aratati programul de audit aferent cheltuielilor.


A.    Cladirile bancii

Cladiri inchiriate:

Se verifica chiria actuala si se asigura ca banca este in conformitate cu obligatiile sale asa cum au fost descrise in articolele din contractul de leasing.

Verificarea valorii chiriei platite intre contractul de leasing si contul de cheltuieli relevant.

Se verifica scadentarul platilor de chirie si se indentifica sumele fixe de chirie, impozitele si cheltuielile operationale.

Se asigura ca diferite componente ale platilor de chirie sunt inregistrate in conturile de cheltuieli adecvate,

Se verifica cresterile de chirie si acordul dintre parti

Se asigura ca cheltuielile operationale incluse in platile de chirie nu sunt facturate separate la banca,

Se evalueaza procedurile pentru intretinere asigurata de proprietar in legatura cu mentinerea/repararea care cade in sarcina sa. Se asigura ca banca nu este taxata cu costurile aferente acestor reparatii/mentineri.


Cladirile proprii

Se obtin toate legile si reglementarile legale referitoare la proprietatea cladirii si se verifica daca banca este in conformitate cu astfel de reglementari.

Se verifica proiectele constructiei in ceea ce priveste conformitatea lor cu toate reglementarile externe si interne.


Proiectele constructiei/renovarii sunt de obicei foarte complexe si implica un numar mare de personal atat extern cat si intern. Auditul intern nu este menit sa aiba o expertiza profunda asupra tehnicilor de construire sau problemelor arhitecturale. Aceasta este responsabilitatea echipei de proiect si un arhitect care se bucura de increderea bancii este in mod normal in responsabilitatea unui supervizor de proiect profesionist.

Oricum, se poate anticipa ca auditul intern va verifica unele aspecte generale si va formula o opinie asupra calitatii generale a proiectului:

1. Se verifica cererea de proiect si se desfasoara o verificare plauzibila referitoare la faptul daca au fost incorporate toate informatiile relevante cunoscute la acel moment.

2. Se verifica daca cererea de proiect a fost corect aprobata de catre autoritatile locale si din administratia centrala a bancii.

3. Se compara costurile de proiect cu costurile actuale si se obtin informatii asupra motivelor cauzatoare de depasiri substantiale ale costului.

4. Se compara data proiectata de terminare cu data actuala de terminare si se obtin cauzele intarzierilor.

5. Se verifica procedurile pentru implicarea continua a supravegherii proiectului si se evalueaza daca aceasta a fost suficienta pentru dezvoltarea proiectului in timp si acurat.

6. Se asigura ca raportul de terminare a proiectului a fost pregatit pentru organele relevante in rang superior, aratand cifrele proiectate si actuale si furnizand explicatii despre deviatiile substantiale.

7. Se asigura ca depasirile de cost si timp au fost adecvat aprobate cat mai curand dupa ce au fost identificate.

8. Se asigura ca fie banca sau arhitectul mandatat au obtinut oferte competitive de la un numar rezonabil de contractori/prestatori. Se evalueaza explicatiile daca nu a fost ales cel mai bun ofertant.

9. Se verifica scadentarul amortizarii si se asigura ca sunt in conformitate cu reglementarile locale relevante.

In intreaga lume, industria de constructii este notorie la practicile neetice. Cand se verifica un proiect, trebuie sa fii mereu atent la aceasta posibilitate si intalneste-te imediat cu conducerea in cazul in care simti ca ceva este suspicios.


B.    Intretinerea si Reparatiile


1. Se verifica toate contractele de intretinere referitoare la urmatoarele:

a.   s-au obtinut oferte competitive inainte de a se alege partenerul?

b. se repeta aceste licitatii de oferte la intervale predefinite pentru a se asigura in mod continuu ca banca primeste servicii profesionale la un pret corect?

c. sunt necesare contracte de intretinere, ex. pot fi prestate astfel de servicii de catre angajatii bancii la costuri mai mici?

d. contractele de intretinere includ toate detaliile obligatorii:

Descrierea ambigua a serviciilor de prestat,

Data inceperii si perioada contractului,

Pretul si termenele platii,

Momentele de interventie,

Clauzele de penalitate;

2. S-a verificat siguranta celui ce realizeaza intretinerea?

3. Se verifica, folosind un esantion, un numar de facturi referitoare la contractele de intretinere:

a. au fost intr-adevar prestate serviciile facturate si a fost aceasta confirmata  de catre personalul bancii?

b. sunt preturile in conformitate cu contractul de intretinere?

4.     Se verifica procedurile pentru reparatiile/imbunatatirile necesare:

a. cererea,

b. estimarile de cost,

c. aprobari,

d. comanda si supravegherea,

e.verificarea si decontarea facturilor;

Trebuie sa se aiba grija la diferentierea dintre imbunatatirea cosmetica , care ar fi clasificata ca o cheltuiala operationala, si imbunatatirea unui capital sau a unui bun inchiriat, care ar avea o viata de utilizare predeterminata si ar fi amortizata de-a lungul vietii sale de utilizare.

5.     Exista o verificare care sa asigure ca intretinerea satisface banca?

6. Se verifica procedurile de control in legatura cheltuielile cu energia si decontarea facturii. 7. Se evalueaza daca energia este consumata la un cost eficient si intr-o maniera constiincioasa fata de mediu.


C.    Asigurarea

1. Se obtine un scadentar al politelor de asigurare in vigoare la data examinarii si se verifica politicile de baza pentru:

a) completitudine (incluzand cesionarea),

b) validitate,

c) acoperire,

d) deductibilitati,

e) banca sa fie aratata ca asigurata sau beneficiara pierderii,

f) protejare.

2. Se verifica prima de asigurare pentru:

a.     Corectitudine,

b.     autorizarea adecvata,

c.      plata prompta pentru a evita intermitente in acoperire,

d.     tratamentul contabil cu privire la primele preplatite.

3. Sunt primele de asigurare eficiente din punct de vedere al costului?

4. oseste banca serviciile unui broker profesionist pentru a obtine sfaturi despre prime reduse?

5. in cazul in care banca foloseste un broker: s-au obtinut oferte competitive de la un numar de societati de asigurari destul de mare pentru a asigura ratele de prima cele mai bune?

6. tot ceea ce se poate asigura este acoperit de o polita de asigurare? Sa se retina ca, in principiu, banca trebuie sa caute protectia impotriva numai a acelor riscuri care ar cauza, daca s-ar petrece, pierderi insemnate sau care ar ameninta existenta viitoare a bancii. In legatura cu riscurile minore, banca trebuie mai degraba sa se autoasigure si sa acopere pierderile daca si atunci cand acestea au loc din fluxul de numerar (cash flow), pentru ca aceasta abordare este in general mai putin costisitoare decat asigurarea pentru fiecare risc care este asigurabil teoretic.

7. Se verifica daca acoperirea prin asigurare este adecvata referitoare la riscurile de baza. In mod tipic, o astfel de verificare ar atinge probleme ca cele ce urmeaza:

a. este suficienta asigurarea pentru instrumentele in numerar/negociabile pentru a acoperi sumele mari?

b. s-au luat in consideratie la asigurare amelioratiunile/eliberarile de active fixe.

c. s-au incheiat polite de asigurare nenecesare pentru riscuri care sunt deja acoperite de catre asigurari a unei terte persoane (ex. asigurarea proprietarilor pentru cladirile inchiriate).

8. Se verifica orice pierdere inregistrata de banca in legatura cu riscurile asigurate si se evalueaza procedurile pentru trimiterea si decontarea despagubirilor.

9. A cumparat banca o polita de asigurare de fidelitate care sa acopere pierderile din fraude? Au avut loc fraude si au fost trimise cereri de despagubire pentru societatile de asigurari?


D.    Arhive, Pastrarea inregistrarilor


1. Exista o politica cuprinzatoare referitoare la pastrarea inregistrarilor, stabilind perioadele de pastrare pentru toate tipurile de inregistrari si documente?

2. Sunt astfel de perioade de pastrare in conformitate cu reglementarile locale si/sau internationale?

3. Sunt pastrate toate inregistrarile in conformitate cu politica?

4. Este restrictionat accesul la arhive numai persoanelor autorizate?

5. Cum sunt eliberate inregistrarile dupa perioada de pastrare?

5.1.documentele importante (sensibile) sunt tocate?

5.2.Sunt toate documentele (incluzand pierderile din documentele tocate) eliberate intr-o maniera constiincioasa fata de mediu si cu un cost eficient?

6. Exista o ordine transparenta de arhivare care sa asigure o urmarire usoara a inregistrarilor cand este necesar?

7. In cazul arhivelor externe: se verifica contractul cu furnizorul extern, in special in legatura cu:

4.1.secretul bancar,

4.2.procedurile de acces

4.3.timpul de introducere,

4.4.timpul terminarii


E.    Camera de corespondenta

1. Se verifica procedurile referitoare la primirea corespondentei pentru a se asigura ca intreaga corespondenta este procesata in timp util si cu o grija considerabila referitoare la aspectele normale de secret. In particular, aceasta verificare trebuie sa atinga urmatoarele probleme:

1.1. se livreaza toata corespondenta primita catre si deschisa de catre unitatea centrala (cu exceptia scrisorilor personalizate sau confidentiale care trebuie sa fie inmanate destinatarului)?

1.2. Este realizata deschiderea si sortarea corespondentei de catre un angajat care nu actioneaza ca si casier, contabil sau alta functie originatoare sau introducatoare de alte inregistrari ale bancii?

1.3. Este aceasta functie rotata periodic intre doi sau mai multi angajati?

1.4. Exista inregistrari ale corespondentei primite si poate fi aceasta corespondenta urmarita pana la ultimul primitor?

1.5. Exista inregistrari pentru primirea de numerar sau instrumente negociabile si este adusa la cunostinta unitatii procesatoare aceasta primire?

1.6. Este livrata toata corespondenta primita prompt catre zonele procesatoare?

1.7. Se aplica stampila cu data si ora pe corespondenta?

1.8. Inteleg oamenii implicati in activitatea de corespondenta distribuirea responsabilitatilor in cadrul bancii asa incat corespondenta primita sa poata fi alocata prompt catre unitatea relevanta?

2.     Se verifica procedurile in legatura cu corespondenta trimisa:

a.     este colectata corespondenta trimisa in mod periodic de la diferitele unitati ale bancii?

b.     este aceasta introdusa prompt in plicuri cu timbru pentru a se asigura ca paraseste banca in aceeasi zi?

c.      este personalul implicat avertizat corect despre taxele postale aferente tuturor tipurilor de corespondenta/destinatii pentru a se asigura ca scrisorile nu au fost timbrate nici peste dar nici sub valoarea normala?

d.     sunt primite confirmari de la autoritatile postale in legatura cu corespondenta inregistrata si consignatia de valori?

e.     exista un sistem de control care sa previna utilizarea neadecvata a timbrelor postale sau a masinilor postale?

f.      exista proceduri care sa previna fiecare angajat de la sustragerea de corespondenta pentru a zadarnici livrarea sa catre clienti (ex. traderii ridicand confirmarile dealerilor)?

3.     Se verifica procedurile in legatura cu serviciul de curierat:

a.     contractele (acorduri),

b.     costurile/verificarea facturilor,

c.      utilizarea,

d.     scadentarul livrarilor si receptionarii,

e.     ofertele periodice competitive de la diferiti curieri.


4.     Exista o politica in legatura cu corespondenta privata a angajatilor?

a.     rechizitele/timbrele sa nu fie utilizate pentru corespondenta privata;

b.     angajatii ar trebui sa fie descurajati in a primi scrisori private pe adresa bancii


F.    Masinile companiei


1. Exista o politica aprobata referitoare la masinile bancii stipuland norme clare despre cine este indreptatit sa utilizeze masinile?

2. Stipuleaza aceasta politica in mod clar care din cheltuielile realizate sunt suportate de banca/angajat?

3. Sunt cumpararile masini si decontarea cheltuielilor curente in conformitate cu politica de mai sus?

4. Daca utilizarea masinii bancii constituie un beneficiu impozabil: este reflectata corect aceasta situatie in calcularea statelor de salarii ale angajatilor?

5. Sunt oferite rabaturi (reduceri) de catre dealerii de masini?

6. S-au incheiat acorduri cu statii de benzina/intretinere si statii de service pentru a asigura reduceri adecvate?

7. Se verifica procedurile referitoare la alegerea masinilor bancii:

7.1.metodologia de obtinere a unui pret de vanzare real (valoarea contabila/valoarea de piata/valoarea oficiala),

7.2.licitatie.

8. Se verifica informatiile conducerii asupra cheltuielilor aferente masinilor bancii:

a. sunt cheltuielile distribuite pe fiecare masina?

b. Sunt cheltuielile peste medie urmarite?


G.   Mijloace fixe/obiecte de inventar/rechizite

1. Au fost autorizate achizitiile de mijloace fixe/obiecte de inventar in conformitate cu politica de cheltuieli a bancii?

2. S-au obtinut oferte competitive inainte de a se face comanda? Se evalueaza explicatiile in cazul in care cea mai buna oferta nu a fost aleasa.

3. Angajatii bancii au confirmat cu acuratete primirea bunurilor comandate inainte de decontarea facturii?

4. S-au oferit reduceri adecvate de catre furnizor in cazul unor comenzi mari sau continue?

5. S-au inregistrat amelioratiunile la mijloacele fixe ce depasesc o anumita suma (care trebuie sa fie in conformitate cu reglementarile fiscale locale) la capitolul mijloace fixe si au fost trecute la cheltuieli acelea sub suma limita?

6. Se amortizeaza mijloacele fixe in conformitate cu reglementarile locale?

7. Sunt inregistrate adecvat toate mijloacele fixe in registru si pot fi identificate usor prin registru (ex. prin numerotare in serie)?

8. Se realizeaza cel putin anual un inventar al mijloacelor fixe?

9. Se verifica procedurile referitoare la casarea (cedarea) mijloacelor fixe.

10. Sunt protejate in mod adecvat mjloacele fixe de furt si insusire ilegala?

11. Sunt pastrate obiectele de inventar intr-o maniera acurata si ordonata? Se inspecteaza rafturile pentru curatenie si se usureaza recuperarea obiectelor de papetarie.

12. Accesul la bunuri (rechizite) este restrictionat la persoanele autorizate?

13. Sunt utilizate formulare de rechizite pentru distribuirea acestora?

14. Se intocmeste un registru de stocuri referitoare la rechizite? Sunt inregistrate adecvat toate achizitiile/distribuirile? Ofera acest registru de stocuri semnale de avertisment timpurii pentru comandarea prompta de noi rechizite?

15. Exista sisteme de control adecvate pentru a preveni luarea ilegala de rechizite?

16. Se verifica sistemul de achizitie a rechizitelor de catre unitatile descentralizate/sucursale:

16.1. sunt autorizate sa comande direct pe piata?

16.2. este acest sistem sensibil si eficient din punct de vedere al costului?

16.3. Sunt stabilite bugete pentru achizitiile descentralizate si se respecta aceste bugete adecvat monitorizate la nivelul administatiei centrale?

16.4. Sunt stabilite standarde generale pentru achizitiile decentralizate (tip, marca, preturi maxime, etc.)?

17. Se evalueaza daca problemele de mediu sunt luate in consideratie la procesul de achizitii (ex. hartie reciclabila, articole care pot fi reciclate usor dupa terminarea vietii lor de utilizare fara a deteriora mediul).

18. Se verifica daca utilizarea copiatorului este monitorizata si daca exista masuri de prevenire si de detectare impotriva utilizarii neautorizate sau abuzive.

H.   Comunicatiile


1. Se verifica inregistrarile echipamentelor existente (telefoane, telecopiatoare, telexuri, etc) si se evalueaza daca locatia fiecarui articol este bine documentata.

2. Se verifica sistemul de monitorizare in legatura cu cheltuielile de comunicare:

2.1.pot fi impartite cheltuielile pe fiecare utilizator?

2.2.Sunt asfel de distribuiri supuse sefilor de departament pentru verificare?

2.3.Sunt cheltuielile, care apar ca fiind abuzive, urmarite?

3. Sunt constienti angajatii de cheltuielile respective?

4. Exista restrictii pe interioarele de telefon pentru convorbirile la distanta lunga?

5. Sunt cheltuielile cu telefonul, telex si telecopiator impuse clientilor de fiecare data cand este posibil?

6. Personalul dispecer vorbeste limbi straine pentru a intampina adecvat telefoanele primite?

7. Dispeceratul este dotat cu lista tuturor interioarelor si este aceasta actualizata in mod adecvat oricand au loc schimbari de personal?

8. Este restrictionat accesul la telecopiatoare si masinile telex doar catre personalul autorizat?

9. Sunt cheile de test pastrate in loc sigur pentru a asigura ca persoanele neautorizate nu au acces?

10. Sunt detectate prompt mesajele telex de testare si este acest exercitiu documentat prin initialele personalului responsabil?

11. Sunt telexele si faxurile primite distribuite prompt catre unitatile responsabile?


I.      Securitatea generala


1. Se mentine o lista a cheilor si se verifica periodic daca lipsesc chei?

2. Sunt modificate periodic codurile de acces?

3. Exista un program scris de securitate si a fost acesta aprobat de catre conducere?

4. Se verifica acest program pentru urmatoare prevederi:

4.1.un program pentru inspectiile periodice, testarea si utilizarea instrumentelor de securitate instalate in banca, incluzand inregistrarile pastrate referitoare la astfel de inspectii, testari si utilizari.

4.2.se determina daca toate devizele si instrumentele negociabile sunt pastrate in tezaure cu incuietori sau in seifuri in timpul orelor nelucratoare si sub controlul adecvat in timpul orelor de lucru.

4.3.desemnarea unei persoane care va asigura ca toate instrumentele de securitate sunt in functiune si opereaza de-a lungul perioadei pentru care sunt utilizate.

4.4.pregatirea si repregatirea periodica a intregului personal referitor la responsabilitatile lor din cadrul programului de securitate.

5. Exista un ofiter de securitate desemnat sa administreze programul scris de securitate?

6. Se verifica sistemul existent pentru paza cladirilor in timpul orelor nelucratoare, incluzand sistemele de alarma la unitatile slab protejate.

7. Sunt localizate in mod vizibil extinctoarele de foc? Sunt acestea verificate periodic? Este personalul pregatit pentru utilizarea lor?

8. Sunt efectuate exercitii de incendii periodic pentru angajati?

9. Exista truse de prim ajutor si se verifica periodic continutul lor in vederea reinlocuirilor necesare?

10. Exista usi de salvare si coridoare neobturate de materiale care ar putea obstructiona trecerea sigura in caz de urgenta?


J.     Personal


In aria de cuprindere a auditului trebuie sa fie inclus tot personalul ce raporteaza sefului departamentului de administratie, ex:

- receptionistii,

- operatorii telefonici,

- mesagerii.

Aceasta verificare se va concentra asupra urmatoarelor aspecte:

1.     Utilizarea capacitatilor disponibile;

2.     Pregatirea adecvata;

3.     Planuri de inlocuire in cazul absentei de la birou;

4.     Economisiri posibile prin realocarea responsabilitatilor (ex. conceptual integrator (pool concept) pentru receptionisti/operatori de telefonie sau mesageri/ personal arhivar);

5.     Economisiri posibile prin evitarea lucrului peste program (ex. sistemul de ture de lucru, angajati part-time, restructurarea incarcaturii (sarcinii) muncii)

Aceasta verificare va atrage dupa sine o inventariere completa a tuturor indatoririlor si responsabilitatilor personalului respectiv pentru a se identifica domeniile posibile unde indatoririle ar putea fi asumate de catre resurse la costuri mai mici.



5.9. Auditul de conformitate


Auditurile de conformitate sunt realizate in primul rand ca o verificare a aderarii bancii la reguli si reglementari si ca o evaluare a corectitudinii, completitudinii si sigurantei datelor contabile. Intr-un audit atotcuprinzator, acestea sunt alaturate evaluarii sistemului (in faza de testare referitoare la proceduri si controale).

In cazurile in care se realizeaza un audit pur de conformitate, procedurile operationale nu sunt un obiectiv major al unui astfel de audit, dar ele trebuie sa nu fie neglijate intr-un tot. Neconformitatea poate fi rezultatul erorii umane, neglijentei sau unei purtari rele, dar in mod egal rezultatul direct sau indirect al procedurilor sau slabiciunilor de control.

Instrumentele majore implicate sunt:

1.1  Numararea stocurilor

Exemplu:

1.     numerar,

2.     cecuri de calatorie,

3.     instrumente negociabile,

4.     instrumente de titlu,

5.     bunuri in depozitare,

6.     echipamente de birou si alte masini de lucru.

Astfel de audituri nu sunt in mod obisnuit anuntate in avans,ci sunt realizate inopinat.


1.2  Verificari de siguranta

Exemplu: corectitudinea

1.     calculelor de dobanzi si comisioane,

2.     conturilor furnizori/clienti,

3.     cereri de rambursare cheltuieli,

4.     reevaluarea valutara.


1.3  Autoritatile de aprobare

Exista aprobari adecvate pentru toate tranzactiile ce solicita aprobarea asa cum politicile si procedurile existente stipuleaza?


1.4  Contabilizarea

Procedurile de operare trebuie sa asigure ca toate tranzactiile sunt introduse in conturile respective in mod corect, complet si fara intarziere. Este responsabilitatea auditorului sa se asigure, prin mijloace de testare pe baza de esantion semnificativ, ca aceste obligatii primare sunt satisfacute. Aceasta include aderarea la principiile de contabilitate existente (atat locale cat si internationale).


1.5  Obligatii legale

Auditorul trebuie sa se asigure ca unitatea respecta toate obligatiile, ex:

1.     legea bancara,

2.     reglementarile bancii centrale,

3.     principiile nationale de contabilitate,

4.     secretul bancar,

5.     prevenirea spalarii banilor.


1.6  Reglementari de protectie

1.     restrictii de acces,

2.     parole, coduri,

3.     custodia cheii,

4.     programe de urgenta,

5.     acoperire cu asigurarea,

Atat timp cat nu exista o organizare sau procedura perfecta, este chiar normal ca in cursul unui audit de conformitate sa fie prezentate erorile si punctele slabe. Pentru a evalua impactul unor astfel de cazuri asupra operatiilor generale a entitatii auditate, va fi necesar sa se identifice tipul, marimea, frecventa producerii a astfel de deficiente.

In mod echivalent, motivele de baza urmeaza sa fie explorate, ex:

1.     separarea neadecvata a functiilor,

2.     probleme de resurse umane (pregatire, experienta),

3.     lipsa supravegherii manageriale,

4.     sisteme de control insuficiente,

5.     puncte slabe ale sistemelor,

6.     probleme de interfata cu alte unitati.

Auditorul trebuie sa fie informat despre motive pentru a fi capabil sa recomande solutiile efective pentru problemele aparute. In elaborarea recomandarilor, este responsabilitatea auditorului de a gasi un echilibru adecvat intre:

1.     riscul rezultat din punctele slabe identificate, si

2. costurile aditionale provocate de actiunile de remediere recomandate.


5.10. Auditul sistemelor informationale


In functie de capacitatea disponibila a auditului si a cunostintelor de IT, grupul de audit trebuie sa realizeze audituri referitoare la IT pentru urmatoarele domenii/proceduri:

securitatea fizica,

auditul profilului utilizatorilor,

verificarea pastrarii datelor si a sistemului de salvare a datelor,

precautiile de recuperare dupa dezastre sau planuri de contigenta,

controalele aplicatiei,

securitatea tranzactiilor.


Securitatea fizica


Se determina daca:

procedurile de personal si responsabilitatile abordeaza terminarea contractului de munca, functii incrucisate si pregatiri legate de sisteme;

controalele legate de securitatea fizica sunt adecvate pentru a preveni accesul neautorizat in perimetrul centrului informatic;

controalele de mediu sunt adecvate pentru a minimiza pierderile aferente hardware/software provocate de incediu sau inundatie;

procedurile de backup (inlocuire- salvare)  sunt adecvate pentru a minimiza intreruperile si pentru a proteja banca impotriva pierderii de date in eventualitatea unui dezastru.


1.1. Aspecte organizatorice/proceduri de personal


Se identifica acele pozitii responsabile pentru mentinerea programelor, alternantei sistemului/fisierelor de date si utilizarea diferitelor sisteme ale centrului informatic. Daca este necesar, se verifica fisele de post scrise pentru fiecare responsabilitate functionala descrisa in organigrama;

Se determina daca s-au realizat prevederi pentru inlocuirea personalului din pozitiile cheie;

Se determina daca procedurile de terminare sunt adecvate:

a)     cardurile de identificare ale angajatului trebuie sa fie returnata atunci cand el sau ea a terminat contractul de munca,

b)     parolele care au fost utilizate de angajatul ce-si termina contractul de munca trebuie sa fie anulate sau schimbate,

c)     cheile angajatului respectiv trebuie sa fie returnate si/sau incuietoarele sa fie schimbate,

d)     exista o sesiune/procedura de verificare a terminarii contractului de munca?

Se determina daca este oferita o pregatire si supraveghere adecvata referitoare la sistem acordata angajatilor ce utilizeaza sistemul;

Se determina daca personalul prestatorilor de servicii este supravegheat in timpul sederii acestuia in centrul informatic;

Se obtine sau documenteaza o opinie generala asupra sistemelor informatice (incluzand resursele de hardware, software, personalul de intretinere/design si utilizatorii) din cadrul centrului informatic;

Se determina pragul critic general al fiecarui sistem major identificat;

Pe liniile de retea se includ in cadrul sistemului de securitate aspecte de call-back sau cateva alte mijloace de control care sa asigure accesul autorizat?

Se determina daca exista proceduri scrise de operare a sistemului (in special pentru deschiderea si inchiderea calculatorului, mentinerea fisierelor si intretinerea preventiva).


1.2.           Securitatea fizica/controalele mediului


Se determina daca procedurile si politicile de securitate fizica sunt adecvate prin evaluarea controalelor cu ajutorul interviului si observatiei. Se utilizeaza urmatorii pasi de audit/intrebari in determinarea adecvarii:

se asigura ca exista proceduri scrise valabile care previn acordarea de acces la facilitatile informatice personalului neautorizat,

se asigura ca personalul autorizat este in mod specific definit in standardele de operare si/sau proceduri,

se observa la cateva momente diferite daca doar persoanele autorizate sunt in aria de procesare,

se determina daca facilitatile din camera calculatoarelor sunt restrictionate prin utilizarea de chei, cartele magnetice sau alte dispozitive de securitate automatizate,

locul unde se afla serverele este situat la parter si exista o fereastra de observatie?

locul unde se afla serverele se afla la subsol?

exista aer conditionat la parter care preia aer din exterior?

exista un acces direct la locatia serverelor din exterior sau printr-un hol public?

sunt pastrate intr-o custodie adecvata cheile de la cabinete, camerele cu echipamente si dulapurile electrice?

este centrul informatic protejat impotriva catastrofelor, ex. coliziuni ale aeronavelor, etc?


Adecvarea sistemelor de protectie impotriva incendiilor trebuie sa fie determinata prin utilizarea urmatoarelor aspecte:

instructiuni clare si adecvate impotriva incendiilor trebuie sa fie pastrate intr-un loc strategic;

alarma de incendiu si intrerupatoare de urgenta pentru curent electric trebuie sa fie clar vizibile si neobstructionate;

camera calculatoarelor trebuie sa aiba un sistem de stingere a incendiilor care trebuie sa fie testat periodic de catre reprezentantul service-ului;

sistemul de detectare a incendiului trebuie sa detecteze fumul, caldura excesiva sau miros de combustibil;

detectoarele trebuie sa fie localizate in conductele de aer din tavan si sub podeaua falsa;

detectoarele trebuie sa fie testate frecvent si protejate printr-o sursa de electricitate suplimentara;

atunci cand alarma de incendiu este activata, ea trebuie sa sune in afara camerei cu calculatoare  pana la statia de paza si la o statie de pompieri sau centru de control urgente;

personalul centrului de date trebuie sa fie capabil sa identifice sonorul alarmei de incendiu.


Echipamentul de mediu si controalele trebuie sa fie adecvate pentru a proteja hardware-ul impotriva pagubelor. Se utilizeaza urmatoarele domenii pentru a se determina adecvarea:

ventilatia si aerul conditionat trebuie sa fie adecvat pentru a mentine nivelul de temperatura adecvat specificat de catre producator;

inregistrarea termometrelor si indicatorilor de umiditate trebuie sa fie localizata asa incat citirea lor sa fie usor de realizat;

aceste instrumente trebuie sa fie monitorizate periodic de catre o persoana pregatita;

hardware-ul trebuie inchis automat pentru a se proteja de pagube daca s-au atins temperaturi neacceptabile;

echipamentele de calcul trebuie sa fie supuse unor inspectii periodice, curatenie si inspectie si trebuie pastrate inregistrari ale acestor activitati;

tavanul camerei cu calculatoare trebuie sa fie construit adecvat pentru a preveni intrarea apei;

trebuie evitata trecerea conductelor si a aburilor prin tavan;

o scurgere adecvata trebuie sa fie instalata;

trebuie sa fie instalat un sistem de aer conditionat independent care sa fie dotat cu o sursa de electricitate de rezerva;

tot timpul, camera cu calculatoare trebuie sa fie pastrata curata;

care este expunerea la inundatii?

ar putea ca o teava sparta sau un rau crescut sa cauzeze pagube?


Auditul profilelor utilizatorilor


Utilizatorii sistemelor informatice trebuie sa fie adecvat identificati si angajatii care au acces autorizat si obligatoriu trebuie sa-si realizeze indatoririle stabilite.

In plus, trebuie sa existe si mentinute accesari si piste de audit (audit trails) pentru a reflecta accesul utilizatorului si modificarile realizate la fisierele de date sensibile (ex. fisierul original al prestatorului de servicii, fisierele originale de furnizori/clienti, fisierul original al angajatului, fisiere de state de plata):

Se cere o copie a politicilor de securitate a accesului;

Se intreaba directorul de IT daca exista o procedura scrisa ca sa controleze adaugarile sau modificarile la restrictiile de acces ale utilizatorilor curenti;

Se obtin copii ale unor formulare de autorizare a accesului si se verifica acuratetea autorizarilor si accesului (acestea ar trebui sa fie pastrate de catre IT ca o pista de audit);

Se intreaba directorul de IT cum este notificat departamentul de IT atunci cand un angajat isi termina contractul de munca sau isi schimba responsabilitatile;

Se intreaba directorul de IT daca exista utilizatori care au capabilitatea de supraveghetori sau care au acces nelimitat;

Cum sunt tranzactiile sau actiunile aprobate si documentate atunci cand au fost initiate de acesti angajati:

1.     se intreaba directorul de IT daca modificarile retelei sunt autorizate si documentate (trebuie sa existe o pista de audit a modificarilor echipamentului de retea);

2.     se intreaba directorul de IT daca etichetele de sistem sunt pastrate;

3.     exista etichete de acces la sistem care sa inregistreze accesul la calculator sau la reteaua de comunicare;

4.     exista etichete de tranzactii/piste de audit pentru a inregistra adaugarile, stergerile si modificarile realizate datelor;

5.     se intreaba directorul de IT daca etichetele problema sunt pastrate de centrul de date/operatiuni;

6.     se intreaba directorul de IT daca etichetele activitatii sistemului sunt utilizate pentru a captura utilizarea resurselor de hardware asociate serverelor, CPU, activitatii de salvare a accesului. Acesta este mijlocul primar pentru identificarea problemelor de procesare create de catre componente neadecvate sau esuate;

Se intreba directorul de IT care proces/procedura asigura conformitatea cu contractele de licenta pentru software;

Se intreaba directorul de IT daca accesul in sistemul informatic este impartit intre utilizatori. Accesul impartit cat si parolele trebuie sa fie interzise daca cativa utilizatori nu solicita acces doar la interogari de date/informatii neconfidentiale;

Se intreaba directorul de IT daca modemurile sunt atasate la server (ofera acces la distanta);

Se intervieveaza administratorii de sistem pentru a se determina daca li s-au oferit sectiuni de pregatire referitoare la securitizarea serverelor;

Se determina daca exista topologie a retelei;

Se intreaba directorul de IT daca este cineva responsabil pentru contabilizarea tuturor hardware-urile si softurile din cadrul companiei;

Se intreaba directorul de IT cum sunt protejate de virusi computerele si serverele;

Se determina ce proceduri exista pentru a preveni sau detecta prezenta unui virus in servere si se verifica cine este responsabil pentru realizarea acestor proceduri;

Sunt incarcate softuri anti-virus pe statiile de lucru si cunosc utilizatorii cum sa ruleze programul?

Se intreaba cativa utilizatori pentru a se determina daca cunosc care sunt pasii ce trebuie urmati daca un virus este detectat sau suspectat pe calculatorul lor?

Verificarea pastrarii datelor si planului de rezerva-salvare (backup)


Privire generala


se discuta despre administrarea inregistrarilor cu personalul responsabil;

se obtine o copie a standardelor si procedurilor referitoare la administrarea inregistrarilor (casetelor);

se determina daca sistemul informatic a setat fisiere de date si perioadele de pastrare a inregistrarilor;

Se determina daca aceste perioade de pastrare sunt rezonabile pentru planul de rezerva (backup), dezastre/recuperare si audit.


Procedurile de salvare si controalele


Se determina daca procedurile de salvare a sistemul si fisierelor de date sunt adecvate pentru a minimiza timpul de recuperare si /sau pierdere de date;

Cat de des sunt salvate casetele si sunt pastrate in afara bancii?

Cum sunt controlate informatiile sensibile/critice?

Se asigura ca fisierele critice si programele sunt salvate si pastrate in afara bancii din motive de recuperare;

Ce proceduri au fost stabilite pentru a asigura conformitatea operarii calculatorului cu procedurile de salvare?

Exista proceduri dezvoltate pentru a se asigura integritatea si completitudinea proceselor de salvare programata?

Se determina daca salvarile sunt pastrate in afara bancii?

Se asigura daca un numar adecvat de generatii sunt pastrate in afara bancii;

Trebuie sa se utilizeze etichete externe si interne pentru a identifica casetele.


Recuperarea


Se verifica daca planurile de reincepere/recuperare a intreruperilor calculatoarelor pe termen scurt includ abilitatea de a identifica starea tuturor procesarilor la punctul unde aplicatia a esuat pentru a stabili sfarsitul inregistrarii tranzactiilor;

Au fost stabilite proceduri de recuperare pentru volumele de salvare?

Au fost testate procedurile?

Au fost testate procedurile de recuperare a bazei de date?

Se determina daca facilitatea calculatorului si depozitarea materialelor a fost testata periodic. Sunt fisierele de salvare testate pentru fezabilitate (6-12 luni)?


Securitate


Cine are acces la realizarea salvarii?

Cum obtine procesul de salvare accesul la un sistem?

Care sunt procedurile pentru mutarea casetelor din biblioteca?

Se verifica daca fisierele de salvare din afara bancii sunt protejate.


Documentarea


Sunt pastrate liste de inventar cu casetele depozitate in afara bancii?

Sunt documentate problemele si solutiile pentru a arata care sunt pasii ce trebuie urmati pentrua restaura fisierele sau integritatea programului?


Precautii de contigente si recuperare dupa dezastru


Obiectivul auditului


Se verifica daca planul de recuperare dupa dezastru este adecvat pentru a asigura repornirea sistemelor informatice in timp util de-a lungul unor conditii adverse si daca este in concordanta cu planul actual de continuare a afacerii si reflecta mediul actual de desfasurare a afacerii.

se determina daca exista planuri de recuperare a aplicatiei pentru restaurarea proceselor computerizate dupa o intrerupere pe termen scurt si lung;

se verifica daca aceste planuri abordeaza atat nevoile de restaurare tehnica cat si procedurile alternative de procesare a utilizatorului-final;

se stabilesc cat timp ar putea organizatia functiona confortabil si evita pierderile financiare semnificative daca aspectele computerizate ale acestei activitati ar esua;

se verifica daca planurile de repornire/recuperare si recuperarea de dupa dezastru ofera posibilitatea restaurarii acestei activitati in timpul necesar pentru a evita pierderile financiare semnificative.


Chestionar


Exista un plan de recuperare de dupa dezastru?

Daca exista un plan, cand a fost actualizat ultima oara?

Care sunt procedurile de actualizare a planului?

Cine este responsabil pentru administrarea sau coordonarea planului?

Este responsabilitatea administratorului/coordonatorului sa actualizeze planul?

Exista o echipa de implementare a recuperarii de dupa dezastru?

Unde este pastrat planul de recuperare de dupa dezastru?

Unde este pastrata lista cu coordonatele echipei de implementare?

Unde este locul de facilitare a salvarii?

Exista locuri alternative?

Exercitiul include utilizarea facilitatilor de salvare?

Daca nu, cand au fost ultima oara utilizate facilitatile de salvare?

Daca au fost utilizate cu peste un an in urma, cum a determinat organizatia ca programele sale pot inca functiona pe echipamentele de rezerva?

Care a fost rezultatul exercitiului?

Cum a imbunatatit pregatirea?

Ce sisteme critice sunt acoperite de plan?

Ce sisteme nu sunt acoperite de plan? De ce?

Planul functioneaza in orice conditii?

Care este procedura pentru activarea planului?

etc.


Documentare

se obtine copia planului organizatiei de recuperare de dupa dezastru,

se obtine o lista a membrilor echipei de implementare,

se obtine o copie curenta a organigramei,

se obtine lista actuala a stocurilor,

se obtine o copie a contractelor cu privire la utilizarea facilitatilor de rezerva.


Pasii testului


Se verifica planul de recuperare de dupa dezastru;

Se verifica daca planul contine calificarea datei pentru a se asigura moneda;

Se verifica daca planul a fost actualizat in ultimele 12 luni;

Se verifica daca exista o monitorizare efectiva a starii supraveghere a planului;

Se verifica locul de pastrare a planului;

daca este diferit fata de cel mai de sus, se verifica locatia de pastrare a listei de contact a echipei de implementare;

Se verifica daca lista cu echipa de implementare contine asociati activi, titlul lor actual si locatia, incluzand domiciliul prezent si numerele de telefon de la birou;

Se verifica daca membrii echipei sunt constienti de rolul si responsabilitatile lor;

Se verifica daca un program de testare si pregatire exista si este adecvat (cel putin anual);

Se verifica data exercitiului;

Se verifica daca punctele slabe identificate in ultimul exercitiu au fost abordate si corectate;

Se verifica daca planurile corespund planului de continuare a afacerii;

Se verifica daca planul reflecta mediul actual al sistemului;

Se verifica daca toate programele critice, fisierele de date, resursele de calculatoare (si sistemul de operare) sunt acoperite;

Se verifica daca sistemele neacoperite sunt sub observatie;

Se verifica daca planul incorporeaza prioritizarea aplicatiilor critice si a sistemelor;

Se verifica daca planul acopera procedurile pentru declararea dezastrului, inchiderea generala si migrarea operatiilor catre locul de rezerva;

Se verifica daca planul include cerintele de timp pentru recuperarea/disponibilitatea unor astfel de sisteme critice si ca ele sunt rezonabile;

Se verifica orice contract pentru utilizarea facilitatilor de rezerva si documentele respective. Se verifica daca locul este adecvat;

Se verifica daca locul are hardware adecvat si dispozitive de telecomunicatii pentru restaurarea operatiilor;

Se verifica procedurile pentru evaluarea periodica a facilitatilor de rezerva si echipamentelor pentru a se asigura adecvarea;

Se verifica daca locul este adecvat protejat de accesul neautorizat;

Se verifica daca este eficienta protectia echipamentelor si soft-urile de rezerva;

Se verifica daca contractele cu locul de rezerva sunt de natura si la un nivel organizational care au o probabilitate substantiala de a putea fi onorate pentru perioade substantiale (50 ore pe saptamana pentru doua saptamani consecutive);

Se verifica daca planul contine contigente in cazul conditiilor adverse prelungite;

Se verifica daca planurile contin instructiuni scrise de operare si proceduri ce include procedurile de regenerare a sistemului;

Se verifica locul de depozitare a stocurilor;

Se verifica daca planul include proceduri controlate pentru restaurarea locului original pentru operatiile normale;

Se verifica eficacitatea procedurilor de rezerva in general;

Se verifica daca programul critic, fisierele de date si resursele computerizate definite pentru planul de rezerva sunt de fapt create si trimise in afara bancii;

Se verifica daca biblioteca media actuala realizata de catre utilizatori corespunde bibliotecii de la locul de rezerva;etc.


Controalele aplicatiei


Utilizatorii-finali

Se determina mijloacele primare de introducere si procesare de date;

Se determina daca organizatia practica dreptul de proprietate asupra datelor. Daca da, se identifica si intervieveaza proprietarul datelor pentru a se determina daca a inteles rolul si responsabilitatile sale;

Se intervieveaza un esantion de directori - utilizatori finali pentru a se determina atitudinile conducerii-utilizatoare finala cu privire la calitatea si efectivitatea sistemului;

Se determina de la conducerea-utilizatoare finala ce inteleg ei ca reprezinta riscurile, expunerile si limitarile asociate cu sistemul;

Se determina numarul de utilizatori finali ce lucreaza cu sistemul, locatiile lor si responsabilitatile asociate sistemului. Se obtine o organigrama pentru aceste pozitii si oameni.

Se determina daca aceasta aplicatie genereaza date pentru agentii legale sau reglementare;

Se evalueaza calitatea documentelor utilizatorului final;

Se identifica programele de pregatire disponibile pentru utilizatorii finali. Se evalueaza aceasta pregatire pentru a se determina daca este adecvata, actuala si disponibila pentru oamenii noi;

Se determina daca activitatea utilizatorului final este adecvat supervizata.


Interfatele sistemului


se determina ce alte aplicatii interfereaza (manual sau electronic) cu aceasta aplicatie;

se determina cum verifica sau asigura utilizatorul final ca interfatele furnizeaza date complete, adecvate si autorizate.


Administrarea fisierelor


se determina perioadele de pastrare pentru diferitele fisiere de date ale aplicatiilor cheie;

se evalueaza daca perioadele de pastrare satisfac raportarea catre conducere, raportarea catre autoritatile fiscale si cerintele interne de contabilitate;

Se determina daca utilizatorul final, conducerea si proprietarii de date sunt constienti de perioadele de pastrare ale diferitelor fisiere de date ale aplicatiilor cheie si daca acesti directori sunt satisfacuti cu durata de pastrare.


Securitatea tranzactiilor


Se identifica toate tranzactiile din cadrul fiecarui subsistem (incluzand acelea generate automat de catre calculator).


Controalele introducerii


Controalele introducerii asigura ca tranzactiile sunt introduse si acceptate de catre calculator, procesate doar o data, fara duplicate si erorile in campurile de date financiare si nefinanciare sunt identificate, separate de tranzactiile valide, corectate in timp util, si returnate procesarii primare.

Cum sunt initiate tranzactiile?

Cum este tranzactia autorizata (semnatura manuala, semnatura electronica, autorizarea accesului la ecran, etc)?

Cine introduce datele sursa?

Sunt aceste persoane separate de acelea care reconciliaza rezultatele procesarii?

Cum sunt datele sursa introduse in aplicatie?

Dupa ce datele sursa sunt introduse in aplicatie, sunt ele marcate cu verificat sau semnate intr-un fel care sa indice ca au fost introduse, reducand riscul duplicarii accidentale sau reutilizarea documentului?

Exista o separare de indatoriri adecvata pentru cei autorizati sa actualizeze datele?

Cum sunt controlate documentele de date sursa pentru completitudine si acuratete?

Exista o perioada de pastrare pentru datele sursa?


Se identifica controalele existente care asigura completitudinea si acuratetea introducerii:

Daca controalele introducerii include utilizarea de totaluri de control, sunt comparate totalurile generate de calculator cu totalurile stabilite independent?

Ce rapoarte obtin utilizatorii pentru a verifica si monitoriza operarea aplicatiei (totaluri de control, sumarizari, numararea erorilor, rapoarte de exceptii, etc)?

Se determina cum sunt evitate sau identificate tranzactiile duplicat?

Se determina daca si cum sunt datele primite de la alte aplicatii validate pentru completitudine si acuratete.


Controalele de procesare


Controalele de procesare asigura ca tranzactiile sunt acceptate de catre calculator, procesate cu o logica valida, trecandu-se prin toate fazele procesarii si actualizate in fisierele de date corecte.

se identifica controalele existente pentru asigurarea completitudinii si acuratetei procesarii;

se  documenteaza procedurile de reconciliere ale utilizatorului final care faciliteaza completitudinea si acuratetea procesarii;

ce rapoarte obtin utilizatorii pentru a verifica si monitoriza operarea aplicatiei?

se descrie cum se verifica totalurile de control;

se descrie orice comparare a rezultatelor actiunilor la cele anterioare pentru verificari rezonabile;

cum verifica utilizatorii actualizarile fisierelor contra autorizatiilor?

se determina daca procedurile de reconciliere speciale trebuie sa fie aplicate la sfarsitul lunii, anului fiscal, etc.


Corectarea erorii


Se determina impactul pe care datele si erorile de procesare le au asupra procesarii;

Se determina daca erorile sunt separate intr-un fisier suspensiv;

Se determina daca acest fisier este cumulativ sau nu;

Se verifica rapoartele de erori pentru a determina daca sunt de marime rezonabila;

Se determina cum sunt corectate erorile;

Se determina daca tranzactiile corectate sunt autorizate;

Se verifica daca tranzactiile corectate sunt reintroduse in procesarea principala fie la punctul initial de introducere fie printr-un proces de corectare a erorii speciale;

Se determina daca procesul de corectare a erorii inlocuieste articolele din fisierul suspensiv;

Se determina promptitudinea corectarii erorii;

Se identifica cum monitorizeaza utilizatorii finali erorile ramase si desfasoara in timp util investigatiile suplimentare;

Exista o separare adecvata a sarcinilor (custodie, autorizare, inregistrare si reconciliere periodica) pentru cei autorizati sa actualizeze datele?

Se determina daca toate reconcilierile si procedurile de corectie a erorilor sunt documentate in documentele utilizatorului final;

Exista un raport de exceptii generat pentru tranzactiile eronate de mult timp nerezolvate?


Controalele rezultatului


Controalele rezultatului asigura ca datele rezultatului sunt raportate in maniera corecta, vizibila/disponibila doar personalului autorizat, adecvat retinute sau distruse, supuse procesarii necesare pistelor de audit si daca sunt eronate, separate de tranzactiile valide, corectate si reintroduse in procesarea principala.

se identifica daca rezultatul este distribuit;

se determina daca distribuirea reduce expunerile la vizualizarea neautorizata a informatiilor sensibile fie prin implicarea imprimantelor de la locatia utilizatorului final fie prin utilizarea listelor de verificare a distribuirii rezultatului;

cum asigura organizatia ca rapoartele si fisierele sa fie distribuite la utilizatorii finali corespunzatori;

cine primeste rapoartele de rezultat? Sunt ele separate de acelea de desfasurare a introducerii?

cum verifica utilizatorul final ca toate rapoartele au fost primite si ca toate paginile rapoartelor au fost incluse?

includ rapoartele de rezultat urmatoarele informatii de identificare:

1. titlul raportului,

2. numele/numarul programului de procesare,

3. a fost produsa data si ora raportului,

4. perioada acoperita.


Cum evidentiaza utilizatorul final primirea rapoartelor si fisierelor (liste de verificare, semnaturile,etc)?

Exista o separare adecvata a sarcinilor?

Cum sunt identificate si distribuite rapoartele confidentiale?

Se identifica toate formularele speciale utilizate in procesare si raportare. Se determina daca formularele sensibile sunt protejate;

Sunt oamenii responsabili cu protectia documentelor sensibile diferiti de cei care pastreaza inregistrarile contabile respective?

Exista proceduri speciale de generare a rapoartelor sensibile?


Documentele utilizatorului final


Documentele utilizatorului sunt sursele primare de informare pentru tot personalul responsabil pentru utilizarea zilnica a aplicatiei.

exista documente ale utilizatorului final ce explica initierea adecvata a documentului sursa, autorizatia, colectarea de date, pregatirea introducerii, administrarea rapoartelor, corectarea erorii si pastrarea rapoartelor/datelor?

sunt pastrate documentele sursa in asa fel incat datele pierdute sau distruse in timpul procesarii ulterioare pot fi recreate?

Fiecare tip de document sursa are o perioada specifica de pastrare?

Autorizarea


Controalele de autorizare asigura ca toate informatiile si datele introduse sau utilizate in procesare sunt autorizate de catre conducere si reprezentantii evenimentului care de fapt are loc.

Daca tranzactiile sunt autorizate manual, ce controale asigura ca nu are loc nici o modificare neautorizata dupa autorizare, ci inainte de stabilirea controalelor de introducere?

Se determina daca nivelul conducerii corespunzator autorizeaza activitatea;

Daca autorizarea tranzactiei este facilitata de catre restrictii de acces logic, se selecteaza un esantion de reguli de acces la introducerea si actualizarea tranzactiilor si se verifica persoana adecvata care are aceste capacitati;

Se identifica orice depasire permisa sau trecere pe langa validarea datelor si se editeaza verificarile;

Se determina cine poate face depasiri si se verifica daca acele persoane sunt in pozitia de conducere care trebuie sa aiba aceasta autoritate;

Sunt inregistrate automat toate depasirile asa incat aceste actiuni sa poata fi ulterior analizate pentru acuratete.


Separarea indatoririlor


Sunt separate indatoririle astfel incat nici o persoana sa nu realizeze mai mult de una dintre urmatoarele operatii:

1.     autorizarea tranzactiei

2.     initierea tranzactiilor

3.     introducerea tranzactiei

4.     distribuirea rezultatului?

Sunt corectate tranzactiile respinse necauzate de introducerea de erori de catre utilizatorul care a initiat tranzactia?

Are utilizatorul final responsabilitatea ultima pentru completitudinea si acuratetea tuturor datelor aplicatiei?



Bibliografie

V. Dedu -"Gestiune si audit bancar", Editura Economica, Bucuresti, 2003


E. Nicolaescu -"Auditul intern-o privire spre viitor", Revista Audit Financiar, ianuarie 2003


J. Renard - "Teoria si practica auditului intern", Ministerul Finantelor Publice, Bucuresti, 2002


A. Rusovici, F. Cojoc, Gh. Rusu - "Audit financiar, servicii conexe si de consultanta in banci", Monitorul oficial, Bucuresti, 2001


J. K. Wagner "Asking the Right Questions: Sage Advice for Audit Committees", revista "Directors and Boards", septembrie 2000


TCF Financial Corporation, Audit Committee Charter, octombrie 2002


Ordonanta de Urgenta a Guvernului nr. 75/1999, aprobata cu modificari si completari prin Legea nr. 133/2002, apoi modificata prin Ordonanta Guvernului nr. 67/2002, aprobata cu modificari si completari prin Legea nr. 12/2003

Legea nr. 672/2002 privind auditul public intern


Norma B.N.R. nr. 17/2003 privind organizarea si controlul intern al activitatii bancilor, administrarea riscurilor semnificative, precum si organizarea si desfasurarea activitatii de audit intern in cadrul bancilor


Legea bancara nr. 58/1998 modificata prin Legea nr. 357/2002 si Legea nr. 485/2003


"Internal audit in banking organisations and the relationship of the supervisory authorities with internal and external auditors", Basel Committee on Banking Supervision, Basel, 2000


"Internal audit in banks and the supervisor's relationship with auditors: A survey", Basel Committee on Banking Supervision, Bank for International Settlements, August 2002


"Internal audit in banking organisations and the relationship with internal and external auditors", Basel Committee on Banking Supervision, Basel, 2000


"Internal Audit Charter", Internal Audit, Version 1.0, martie 2003

International Standards for the Professional Practice of Internal Auditing, The Institute of Internal Auditors, October, 2001


"Framework for internal control systems in banking organisations", Basle Committee on Banking Supervision, Basle, septembrie 1998


"The relationship between banking supervisors and banks exterbal auditors", Basel Committee on Banking Supervision, January 2002