Ghid de evaluare a sistemului de control intern - Curtea de Conturi

More documents

Recommendations

Info

instituţii. Sistemele informaţionale implică tipuri specifice de activităţi de control, tehnologia informaţiei nu este un element de control ce ”se susţine singur”. Utilizarea sistemelor automatizate de procesare a informaţiilor introduce mai multe riscuri care trebuie avute în vedere de instituţie. Aceste riscuri provin, printre altele, din procesarea uniformă a tranzacţiilor; sisteme informatice care iniţiază automat tranzacţii; potenţial sporit de erori nedetectate; existenţa, integralitatea şi volumul pistelor de audit; natura componentelor hardware şi a soft-urilor utilizate; şi înregistrarea de tranzacţii care nu sunt obişnuite sau de rutină. De exemplu, un risc inerent de la procesarea uniformă a tranzacţiilor este că eroarea care rezultă din probleme de programare informatică va apărea sistematic în tranzacţiile similare. Controalele eficiente privind tehnologia informaţiilor pot oferi conducerii o asigurare rezonabilă că informaţiile procesate de sistemele sale îndeplinesc obiectivele de control preconizate, cum ar fi asigurarea integralităţii, oportunităţii şi valabilităţii datelor şi păstrarea integrităţii acestora. Controalele privind tehnologia informaţiilor constau în două grupe mari: controalele generale şi controalele de aplicaţii. Controalele generale Controalele generale reprezintă structura, politicile şi procedurile care se aplică tuturor sau unui segment larg al sistemelor informatice ale instituţiei – cum ar fi mediile sistemelor mainframe, microcalculatoarelor, reţelelor şi utilizatorilor finali – şi contribuie la asigurarea funcţionării lor corespunzătoare. Ele creează mediul de operare al sistemelor şi controalelor de aplicaţii. Principalele categorii ale controalelor generale sunt: Managementul şi planificarea programului de securitate la nivel de instituţie asigură un cadru şi un ciclu continuu de activitate pentru riscul de management, creând politici de securitate, atribuind responsabilităţi şi monitorizând conformitatea controalelor aferente calculatoarelor instituţiei. Controalele de acces limitează sau detectează accesul la resursele calculatoarelor (date, programe, echipamente şi facilităţi), protejând respectivele resurse împotriva modificărilor neautorizate, pierderilor sau dezvăluirilor. Controalele de acces includ atât controale fizice cât şi controale logice. Controalele asupra dezvoltării, menţinerii şi modificării soft-ului de aplicaţii previn programele sau modificările neautorizate la programele existente. Controalele privind soft-ul sistemelor limitează şi monitorizează accesul la programele puternice şi fişierele sensibile care controlează sistemul hardware al calculatoarelor şi asigură aplicaţiile suportate de sistem. Separarea sarcinilor implică instituirea politicilor, procedurilor şi structurii organizatorice care să prevină controlarea de către o persoană a tuturor aspectelor cheie ale operaţiilor informatice şi, în consecinţă, efectuarea de operaţii neautorizate sau obţinerea de acces neautorizat la active sau evidenţe. Controalele cu privire la continuitatea serviciului asigură, în situaţii de producere a unor evenimente neaşteptate, continuarea fără întrerupere sau reluarea promptă a operaţiilor critice şi protejarea datelor critice sau sensibile. Controalele de aplicaţii Controalele de aplicaţii reprezintă structura, politica şi procedurile care se aplică sistemelor de aplicaţii individuale, separate – cum ar fi conturile creditoare, inventarul, statele de plată, subvenţii sau credite – şi au drept scop acoperirea procesării datelor în cadrul soft-ului de aplicaţii specific. Aceste controale sunt în general create pentru a preveni, depista sau corecta erorile şi neregulile din fluxurile de informaţii în sistemele informatice. Controalele de aplicaţii şi modul în care informaţiile circulă în sistemele informatice pot fi clasificate în trei faze ale ciclului de procesare: intrare: datele sunt autorizate, convertite în format automatic şi introduse în aplicaţie în mod corect, complet şi oportun; procesare: datele sunt procesate în mod adecvat de către calculator iar fişierele sunt actualizate corect; şi ieşire: fişierele şi rapoartele generate de aplicaţie reflectă tranzacţiile sau evenimentele care s-au produs efectiv şi reflectă corect rezultatele procesării iar rapoartele sunt controlate şi distribuite utilizatorilor autorizaţi. 93
Controalele de aplicaţii pot fi clasificate şi după tipurile de obiective de control aferente, inclusiv dacă tranzacţiile şi informaţiile sunt autorizate, complete, corecte şi valabile. Controalele de autorizare privesc valabilitatea tranzacţiilor şi asigură că tranzacţiile reprezintă evenimente care au avut într-adevăr loc într-o perioadă dată. Controalele de integralitate verifică dacă toate tranzacţiile valabile sunt înregistrate şi clasificate corespunzător. Controalele de corectitudine verifică dacă tranzacţiile sunt înregistrate corect şi dacă toate elementele datelor sunt precise. Controalele privind integritatea procesării şi a fişierelor de date, dacă sunt deficitare, pot anula fiecare din controalele de aplicaţii sus-menţionate, pot permite producerea de tranzacţii neautorizate şi pot genera date incomplete sau incorecte. Controalele de aplicaţii includ tehnici de control programat, cum ar fi editările automate, şi urmărirea manuală a ieşirilor generate de calculator, cum ar fi revizuirea rapoartelor care identifică elemente respinse sau neobişnuite. Controalele generale şi de aplicaţii privind sistemele informatice sunt interconectate. Eficienţa controalelor generale reprezintă un factor semnificativ în determinarea eficienţei controalelor de aplicaţii. Atunci când controalele generale sunt slabe, ele diminuează semnificativ siguranţa controalelor privind aplicaţiile individuale. Fără controale generale eficiente, controalele de aplicaţii pot fi făcute ineficiente prin omitere, eludare sau modificare. De exemplu, verificările de editare menite să împiedice utilizatorii să introducă un număr nerezonabil de ore de lucru (mai mult de 24 de ore pe zi) într-un sistem de plată al salariilor. Totuşi, nu se poate pune bază pe acest control dacă controalele generale permit modificări neautorizate de program care ar putea permite excluderea de la editare a anumitor plăţi. Dacă obiectivele fundamentale ale controlului nu se schimbă, modificările rapide din tehnologia informaţiilor impun ca controalele să evolueze pentru a se menţine eficiente. Modificări de genul unei încrederi mai mari în reţele, calculatoare puternice care plasează responsabilitatea procesării datelor în mâinile utilizatorilor finali, comerţul electronic şi internetul vor afecta natura şi implementarea activităţilor specifice de control. Pentru îndrumare în activităţile de control ale tehnologiei informaţiilor se poate consulta Asociaţia Sistemelor Informatice de Audit şi Control (ISACA), Obiectivele de Control pentru Informaţii şi Tehnologie (COBIT) cât şi buletinele comitetului de audit INTOSAI - IT. Exemple A se vedea anexele pentru exemple integrate cu privire la fiecare obiectiv şi componentă a controlului intern. 2.4 Informarea și comunicarea Informarea şi comunicarea sunt esenţiale pentru realizarea tuturor obiectivelor de control intern. Informaţii O precondiţie a informaţiilor sigure şi relevante este înregistrarea imediată şi clasificarea corectă a tranzacţiilor sau evenimentelor. Informaţiile pertinente trebuie identificate, obţinute şi comunicate într-o formă şi într-un interval de timp care să permită personalului să realizeze controlul intern şi responsabilităţile care îi revin (comunicare oportună persoanelor autorizate). De aceea, sistemul de control intern în sine şi toate tranzacţiile şi evenimentele semnificative trebuie integral documentate. Sistemele informatice generează rapoarte care conţin informaţii operaţionale, financiare şi nefinanciare şi de conformitate, ceea ce face posibilă executarea şi controlarea activităţii. Ele se ocupă nu numai de datele generate pe plan intern ci şi de informaţiile referitoare la evenimente, activităţi şi condiţii externe necesare pentru a permite luarea deciziilor şi raportarea. Capacitatea conducerii de a lua decizii adecvate este afectată de calitatea informaţiilor, ceea ce presupune că informaţiile trebuie să fie adecvate, oportune, actuale, corecte şi accesibile. Informaţiile şi comunicarea sunt esenţiale pentru realizarea obiectivelor controlului intern. De exemplu, unul din obiectivele controlului intern este îndeplinirea obligaţiilor privind răspunderea publică. Aceasta se poate realiza prin dezvoltarea şi menţinerea unor informaţii financiare şi nefinanciare sigure şi relevante şi prin comunicarea acestor informaţii prin dezvăluire corectă în 94
Page 1 and 2:
CURTEA DE CONTURI A ROMÂNIEI GHID
Page 4 and 5:
INTRODUCERE În cadrul procesului a
Page 6 and 7:
I. ISTORIC Într-o lume în care co
Page 8 and 9:
Conform unor opinii, printre care
Page 10 and 11:
permanente. Principiul informării
Page 12 and 13:
Criteriile de control sunt grupate
Page 14 and 15:
MEDIUL DE CONTROL EVALUAREA RISCULU
Page 16 and 17:
3. evaluarea înclinaţiei/dispozi
Page 18 and 19:
informaţiile procesate de sistemel
Page 20 and 21:
IV. ARMONIZAREA CONTROLULUI FINANCI
Page 22 and 23:
”Controlul financiar public inter
Page 24 and 25:
Conform recomandărilor Comisiei Eu
Page 26 and 27:
Deși controlul intern vizează toa
Page 28 and 29:
V. ETAPELE EVALUĂRII SISTEMULUI DE
Page 30 and 31:
În ce măsură/grad, entitatea pub
Page 32 and 33:
constituie contravenţie, dacă nu
Page 34 and 35:
În situația în care auditorul pu
Page 36 and 37:
I. Identificarea riscurilor II. Eva
Page 38 and 39:
Auditorii publici externi trebuie s
Page 40 and 41:
entităților mici, care nu au impl
Page 42 and 43:
Evaluarea sistemului de control int
Page 44 and 45: descriu tipul activităţilor de au
Page 46 and 47: - probele de audit obținute sunt s
Page 48 and 49: ) dacă o va utiliza, atunci va ave
Page 50 and 51: - O.M.F.P. nr. 946/2005 pentru apro
Page 52 and 53: Nr. crt. Exemplul nr. 1 - Chestiona
Page 54 and 55: Nr. crt. Criterii generale de evalu
Page 60 and 61: Zona de risc (domeniu compart) Comp
Page 62 and 63: Nr. crt. Lista procedurilor (exempl
Page 64 and 65: 28. OMFP 768/2004 pentru aprobarea
Page 66 and 67: ENTITATEA PUBLICĂ ADRESA APROBAT O
Page 68 and 69: ENTITATEA PUBLICĂ Serviciul Achizi
Page 72 and 73: Pas Descriere Responsabil(i) 11 * T
Page 74 and 75: Pas Descriere Responsabil(i) 34 35-
Page 78 and 79: Anexa nr. 10 INTOSAI GOV 9100-9150
Page 80 and 81: Prefaţă Liniile directoare emise
Page 82 and 83: 1. Controlul intern 1.1 Definiţie
Page 84 and 85: Etic priveşte principiile etice. I
Page 86 and 87: Prezentele Linii directoare pentru
Page 88 and 89: Atunci când conducerea superioară
Page 90 and 91: integrată procesului de planificar
Page 92 and 93: şi de prevenire. Măsurile corecti
Page 96 and 97: apoarte oportune. Informaţiile şi
Page 98 and 99: testării directe a controlului int
Page 100 and 101: controlului intern. Ele nu sunt în
Page 102 and 103: Îndeplinirea obligaţiilor privind
Page 104 and 105: Operaţiuni ordonate/sistematice, e
Page 106 and 107: Protejarea resurselor împotriva pi
Page 108 and 109: ANEXA 2 INTOSAI 9100 - GLOSAR DE TE
Page 110 and 111: Documentarea structurii de control
Page 112 and 113: • Procesul prin care organismele
Page 114 and 115: PREFAȚĂ În iunie 1992, Comitetul
Page 116 and 117: Deşi în Republica Africa de Sud m
Page 118 and 119: și corectează imediat acțiunile
Page 120 and 121: entităţi/organizatii guvernamenta
Page 122 and 123: standardul este definit de către a
Page 124 and 125: INTOSAI GOV 9120 Controlul Intern:
Page 126 and 127: Cadrul pentru stabilirea și menți
Page 128 and 129: obiectivelor clare, coerente care r
Page 130 and 131: Informaţii suplimentare (documente
Page 132 and 133: Operaţionale - executarea operaţi
Page 134 and 135: 1.7 Legătura dintre Controlul Inte
Page 136 and 137: 2.1.8 Competenţele reflectă cuno
Page 138 and 139: individual sau în cadrul categorie
Page 140 and 141: 2.6 Activităţile de control 2.6.1
Page 142 and 143: iscului trebuie raportate la un niv
Page 144 and 145:
1. INTRODUCERE 1.1 Acest document f
Page 146 and 147:
5.2. Obiectivitatea este definită
Page 148 and 149:
departamentului de audit intern. Tr
Page 150 and 151:
1. INTRODUCERE 1.1 Prezentul materi
Page 152 and 153:
O funcţie eficace de audit intern
Page 154 and 155:
o Poate fi folositor pentru ambele
Page 156 and 157:
o Dacă concluziile trase sunt core
Page 158 and 159:
Cuvânt înainte Conceptul de Contr
Page 160 and 161:
Un control financiar public intern
Page 162 and 163:
Obiectivul este acela de a oferi o
Page 164 and 165:
Auditul nu trebuie confundat cu fun
Page 166 and 167:
4 etape de implementare a CFPI 2.1
Page 168 and 169:
2.4 Politica de dezvoltare a person
Page 170 and 171:
3.3 Introducerea noilor legi și re
Page 172 and 173:
Ceva experiență…. Seful Unită
Page 174 and 175:
Conformitatea cu cerințele CFPI es
Page 176 and 177:
Multe drumuri trec prin cadrul Dire
Page 178 and 179:
ANEXA 1 LISTA DE VERIFICARE CU PRIV
Page 180 and 181:
Obiectivele și sarcinile inspector
Page 182 and 183:
Audit extern Orice audit efectuat d
Page 184 and 185:
Control financiar ex ante Este un s
Page 186 and 187:
Evaluarea Poate însemna: In partic
Page 188 and 189:
Managementul pe bază de activită
Page 190 and 191:
Randament/productivitate Rezultatel
Page 192 and 193:
ANEXA 3 UTILIZAREA LINIILOR DIRECTO
Page 194 and 195:
să actualizeze controalele, să co
Page 196 and 197:
Activități de control IT. Există
show all

Ghid de evaluare a sistemului de control intern - Curtea de Conturi

Create successful ePaper yourself

Delete template?

Save as template?