Analiza unui sistem de audit intern

ACADEMIA DE STUDII ECONOMICE - Bucuresti
Facultatea de Contabilitate si Informatica de Gestiune
LUCRARE DE DISERTATIE
Conducator stiintific Absolvent
Lector univ. dr. Nicoleta Coman Grecu Constantin – Alexandru
Grecu Constantin - Alexandru
Analiza sistemului de audit intern
la o societate din sectorul productie panificatie

ACADEMIA DE STUDII ECONOMICE - Bucuresti
Facultatea de Contabilitate si Informatica de Gestiune
Master – Concepte si Practici de Audit la Nivel National si International
LUCRARE DE DISERTATIE
ANALIZA SISTEMULUI DE AUDIT INTERN
LA O SOCIETATE DIN SECTORUL
– PRODUCTIE PANIFICATIE –
Bucuresti
2012

CUPRINS
Cuprins .................................................................................................................................................2
Capitolul I - Cadrul teoretic si conceptual al auditului intern..............................................................3
1. Notiuni introductive ..................................................................................................................3
1.1. Introducere .........................................................................................................................3
1.2. Normalizarea auditului intern pe plan national si international.........................................6
1.3. Cadrul conceptual al auditului intern.................................................................................7
2. Functia de audit intern intr-o organizatie ..................................................................................8
2.1. Diferentele dintre audit intern si control intern..................................................................8
2.2. Organizarea functiei de audit intern intr-o organizatie......................................................9
2.3. Relatia dintre audit intern si audit extern.........................................................................10
3. Misiunea de audit intern..........................................................................................................11
3.1. Etapa 1 – Evaluarea riscurilor..........................................................................................11
3.2. Etapa 2 – Intocmirea planului de audit ............................................................................13
3.3. Etapa 3 – Planificarea misiunii ........................................................................................14
3.4. Etapa 4 – Auditul interimar..............................................................................................14
3.5. Etapa 5 – Raportul de audit.............................................................................................16
3.6. Responsabilitati post-audit...............................................................................................17
Capitolul II - Contributii personale. Proiect de perfectionare si aprofundare....................................18
4. Studiu de caz: Evaluarea sistemului de audit intern................................................................18
4.1. Prezentarea studiului de caz.............................................................................................18
4.2. Analiza activitatii departamentului de audit intern..........................................................18
Bibliografie.........................................................................................................................................29

CAPITOLUL I - CADRUL TEORETIC SI CONCEPTUALAL
AUDITULUI INTERN
1. NOTIUNI INTRODUCTIVE
1.1. INTRODUCERE
O companie este o organizatie structurata in mai multe grupuri de indivizi cu un interes comun care
prin activitatea lor desfasurata ajung la o finalitate numita profit. In zilele noastre structura unei
companii poate imbraca nenumarate forme si poate avea functiuni cat mai variate, insa oricare ar fi
structura organizatiei, exista o axioma care reglementeaza procesul de atingere al finalitatii
activitatii si anume: orice activitate trebuie sa aiba un obiectiv care va puncta finalitatea ei.
Atingerea obiectivelor presupune o suma de procese ce trebuie sa aiba loc pentru ca finalitatea sa
aiba loc. Aceste procese devin din ce in ce mai variate si mai dificile odata cu dezvoltarea
organizatiei si astfel o companie are nevoie de oameni diferiti si cat mai specializati in
departamente specifice ce au ca scop realizarea unui singur proces. Astfel o companie va avea
atatea grupuri de indivizi specializati sau departamente cu diferite functiuni cate procese sunt
necesare pentru atingerea obiectivelor.
Obiectivele sunt stabilite de catre managementul companiei si atingerea acestora reprezinta
responsabilitatea lor, iar procesele necesare a lua loc vor fi executate de catre toate departamentele
organizatiei. Insa exista nenumarate forme de risc care conduc la o realizare mai putin eficienta a
executarii decat cea preconizata. Cum se pot reduce aceste riscuri la un nivel cat mai scazut pentru o
preformanta crescuta? Cum se poate asigura o eficienta maxima si o pierdere minima de resurse in
timpul realizarii acestor procese? O parte a managementului si anume managementul riscului va fi
insaricinata cu identificarea acestor riscuri si va introduce metode de control astfel incat sa asigure
executarea proceselor in bune conditii, astfel intervine functia de sistem de control intern. Insa
cine asigura ca metodele de control stabilite de management sunt eficiente si ca sunt implementate
corect? Aici intervine functia de audit intern care asigura prin metode specifice ca toate riscurile la
care se expune societatea sunt controlate la un nivel acceptabil prin mecanismele de control intern
instituite.

Mai jos este reprezentata legatura dintre aceste 4 functiuni intr-o organizatie care conlucreaza la
asigurarea atingeriiobiectivelor:
Managementul unei organizatii trebuie sa se asigure ca, pentru a se proteja impotriva riscurilor, ia
masuri de precautie prin instituirea controlului intern. Punerea in aplicare a acestui proces necesita
mecanisme, instrumente, politici si proceduri, oameni si sisteme. Pentru a exista functia de control
intern, nu este obligatoriu sa fie infiintat un departament care sa-i poarte numele. De exemplu un
portar indeplineste o sarcina specifica de control intern, dupa cum si un contabil, prin
responsabilitatile sale, reprezinta implicit o rotita din cadrul acestui proces.
Managementul riscurilor are misiunea de a examina in permanenta activitatile organizatiei cu
scopul de a identifica riscuri noi sau modul in care acestea au evoluat in timp. Totodata,
departamentul de management al riscurilor elaboreazasi actualizeaza normele si procedurile
organizatiei privitoare la controlul intern ce urmeaza a fi implementate. Printre activitatile
departamentului de management al riscurilor se numarasedintele de analizasi evaluare a apetitului
pentru risc, activitati de mare interes pentru auditui intern. In principiu, cele doua departamente din
cadrul unei organizatii colaboreazain realizarea misiunilor lor, dar nu se subordoneaza unul
celuiIalt. In mod ideal, functia managementul riscurilor nu trebuie sa se suprapuna cu functia
audilului intern.
Apoi, pentru a se asigura ca masurile de control intern sunt suficiente, eficiente si eficace in
prevenirea si atenuarea riscurilor care ameninta obiectivele organizatiei, este necesara o functie
independenta de monitorizare si evaluare continua a controlului intern numita audit intern. Prin
intermediul auditului intern, managementul unei organizatii urmareste sa se asigure ca functia de
control intern instituita functioneaza eficient, eficace si suficient pentru a ameliora sau elimina
riscurile identificate.
∴
„Auditul intern furnizeaza managementului unei organizatii o opinie independenta si obiectiva cu
privire la faptul ca riscurile cu care se confrunta organizatia sunt sau nu ameliorate la un nivel
acceptabil prin controlul intern”.D. Griffits
Functia: Management Stabilirea obiectivelor
Functia: Managementul Riscului Identificarea riscurilor
Functia: Control Intern Asigurarea masurilor de control
Functia: Audit Intern Monitorizarea controlului

TIPURI DE AUDIT INTERN
AUDITUL FINANCIAR
Scopul misiunilor de audit financiar realizate de auditorii interni este de a examina credibilitatea
sistemului contabil si de informare financiara. Diferenta majoraintre auditul financiar extern si
auditulfinanciar intern constain credibilitatea si destinatarii raportului de audit. In timpce raportul
auditorilor externi se adreseaza utilizatorilor externi de informatiifinanciar-contabile si, prin
independenta totala a auditorilor externi fata de clientiisai, opinia lor confera un grad de incredere
sporit in raportarile financiare publiceale companiilor, raportul auditorilor interni se adreseazain
exclusivitatemanagementului organizatiei. Opinia auditorilor interni este constransa de
apetitulpentru risc al conducerii, in timp ce opinia auditorilor externi are drept criteriu dereferinta
imaginea fidelain relatie cu pragul de semnificatie. De altfel, in ipotezain care raportul auditorilor
interni privind activitatea financiar-contabila ar fipublic, credibilitatea lui ar fi nula, avand in vedere
faptul ca scopul principal alauditul ui intern este de a sprijini atingerea obiectivelor si intereselor
organizatiei.
AUDITUL DE CONFORMITATE
Presupuneevaluarea calitatii si gradului de adecvare a sistemelor interne instituite inir-oorganizatie
pentru a se examina conformitatea acestora cu legile, regulamentele,politicile sau procedurile
aplicabile la un moment dat in timp. Spre exemplu, omisiune de audit de conformitate examineaza
masura in care activitatile privindresursele umane dintr-o organizatie sunt realizate in conformitate
cu legislatia invigoare si cu politicile si strategia de personal stabilite de management.
AUDITUL OPERATIONAL
Este unuldintre cele mai complexe tipuri de audit intern,presupune evaluarea critica a calitatii si a
gradului de adecvare a sistemelor,metodelor, resurselor si procedurilorutilizate de organizatie, a
structurii organizationale comparativ cu responsabilitatile alocate. Spre exemplu, atuncicand o
organizatie isi doreste implementarea unei reforme sau restructurari,strategia de schimbare are la
baza concluziile formulate de auditorii interni inurma unei misiuni de audit operational.
AUDITUL DE MANAGEMENT
Permite evaluarea calitatii actului managerial, a structurii acestuia si a atitudinii managementului cu
privire la riscuri si control incontextul obiectivelor organizatiei. Din nefericire, denumirea acestui
tip de auditconduce la o atitudine rezervata a conducerii organizatiilor. In realitate, auditul
demanagement se aseamana foarte mult cu auditul de conformitate, diferentaconstand in materialul
studiat: activitatile manageriale.
AUDITUL DE EFICACITATE
Presupune examinarea a trei coordonate definitorii: eficienta, eficacitateasi economicitatea
proceselor din cadrul organizatiei. Eficacitatea vizeaza atingerea obiectivelor fixate prin actiunile
intreprinse. Eficienta impune selectareacelor mai bune alternative sau resurse pentru a realiza un
scop. (Camelia Liliana Dobroteanu, Laurentiu Dobroteanu – Audit Intern)

1.2. NORMALIZAREA AUDITULUI INTERN PE PLAN NATIONAL SI
INTERNATIONAL
NORMALIZAREA AUDITULUI INTERN PE PLANINTERNATIONAL
Cel mai important organism de reglementare in domeniu la nivel international este:
A. Institutul Auditorilor Interni (The Institute of Internai Auditors - IIA) este o asociatie
profesionala internationalainfiintatain 1941 cu sediul in Statele Unite. IIA este recunoscut drept
liderul international al profesiei de audit intern in ceea ce priveste autorizarea, educatia,
cercetarea si indrumarea profesionala a membrilor sai. Printre altele, IIA si-a asumat misiunea
de a emite norme si ghiduri profesionale cu caracter international care sa asigure o practica
uniformasi un criteriu omogen de referinta la nivel global.
De mentionat mai sunt:
B. New York Stock Exchange (NYSE) si Public Company Accounts Oversight Board
(PCAOB) care emit reglementari aplicabile companiilor care activeaza pe piata americana, in
special celor cotate la bursa din New York. Din ratiuni dictate de prudenta competitiva, aceste
companii exercita presiuni pentru uniformizarea reglementarilor pe pietele non-americane. Prin
urmare, uneori direct, alteori indirect, reglementarile NYSE sau PCAOB influenteaza
considerabil normalizarea si practicile nationale, europene si internationale.
C. Comisia Europeana si European Confederation of Instilutes of Internai Auditing ( ECIJA)
au rolul de a emite directive care sa armonizeze standardele si practicile de audit la nivelul
membrilor sai si sa contribuie, la consolidarea conduitei etice a profesiei.
NORMALIZAREA AUDITULUI INTERN PE PLAN NATIONAL
In Romania, auditul intern reprezinta o activitate relativ noua pentrumediul de afaceri. Primele
preocupari legate de reglementarea si normalizareaactivitatii de audit intern au vizat sectorul public.
Ministeruluide Finante in 2002 a publicat Legea 672/2002, care a instituit activitatea de audit intern
la nivelul institutiilor publice, modificata in anii urmatori printr-o serie de acte normative. Astfel a
luat fiinta Unitatea centrala pentru Armonizarea Auditului Public Intern(UCAAPI)si
Comitetul pentru Audit Public Intern(CAPI). UCAAPI este o structura specializatacare pune in
aplicare obiectivele Ministerului FinantelorPublice in domeniul auditului intern si are ca principala
atributieasigurarea conditiilor de desfasurare a activitatilor CAPI, organism cu caracterconsultativ
care functioneaza pe langa UCAAPI.
In 2003, Banca Nationala a Romaniei a emis Normele 17 BNRcare au instituit obligativitatea
constituirii functiei de audit intern in sectorul bancarromanesc.
In 2004, s-a creat Asociatia Auditorilor Interni din Romania (AAIR) avandca obiectivestabilirea
unui forum deschis in vederea promovarii si dezvoltarii practicii de audit intern, sa prezinte un
cadru unde sunt promovate Standardele Internationale de Audit si unde auditorii interni pot primi
sprijin profesional de specialitate.
In 2004s-a creat Camera Auditorilor Financiari din Romania (CAFR) cu misiunea de a
asiguracadrul de reglementare si normele profesionale necesare pentru crearea sifunctionarea
auditului intern la nivelul societatilor comerciale. In acest sens, aufost emise o serie de acte
normative sub semnatura guvernului sau a CAFR.Reglementarile emise ulterior anului 2004 au
continuat sa consolideze functia deaudit intern la nivelul companiilor, culminand cu modificarea, in

anul 2007, aLegii 31/1990 care marcheaza crearea cadrului pentru guvernanta
corporativainsocietatile comerciale romanesti si circumscrie functia de audit intern
guvemanteicorporative.
Astfel, CAFR a asimilat in plan national cadrul conceptual profesionalelaborat de IIA,
completandu-l cu un set de proceduri privind cadrul general dedesfasurare a misiunilor de audit
intern. Potrivit reglementarilor legale in vigoare,societatile comerciale care sunt obligate prin lege
sa prezinte situatii financiareauditate extern, au totodata obligatia de asigura organizarea si
functionareaauditului intern.
1.3. CADRUL CONCEPTUAL AL AUDITULUI INTERN
Cadrul conceptual de referintaal practicilor profesionale elaborat de IIAcuprinde:
i. Definitia auditului intern
ii. Codul deontologic al auditorilor interni
iii. Normele profesionale aplicabile in practicile dc audit intern
iv. Modalitatile practice de aplicare a normelor (norme de aplicare)
v. Sprijinul pentru dezvoltarea profesionala
i. Definitia auditului intern: o activitate de asigurare independentasi obiectiva cu privire la
controlul exercitat asupra operatiunilor desfasurate de o organizatie. Auditul intern trebuie sa
contribuie la imbunatatirea operatiunilor organizatiei si sa creeze un plus de valoare pentru
aceasta. Auditul intern ajuta entitatea sa-si atinga obiectivele evaluand, printr-o abordare
sistematicasi metodica, procesele de management al riscurilor, de control si guvernanta
corporativasi formuland propuneri pentru consolidarea eficacitatii acestora
ii. Codul deontologic cuprinde doua componente esentiale:
 principiile fundamentale pentru profesia si practica auditului intern: integritatea,
obiectivitatea, confidentialitateasi competenta profesionala
 regulile de conduita etica profesionala
iii. Normele profesionale ofera auditorilor interni reperul profesional in indeplinirea misiunii si in
gestionarea activitatii lor. Normele profesionale sunt structurate in trei clase principale:
 norme de calificare (descriu caracteristicile si abilitatile cerute organizatiilor care
practica auditul intern)
 norme de performanta/functionare:detaliaza natura activitatilor de audit intern si
criteriile calitative pentru evaluarea serviciilor
 norme de implementare/aplicare: transpun normele de calificare si de functionare pentru
misiuni specifice
iv. Modalitatile practice de aplicare (MPA, ghidurile practice) ofera auditorilor interni
comentarii, explicatii si indrumari privitoare la aplicarea normelor, precum si recomandari
pentru cele mai bune practivi deaudit intern. In timp ce respectarea normelor de audit intern este
obligatorie, respectarea ghidurilor practice este lasata la latitudinea auditorului
v. Sprijinul pentru dezvoltarea profesionala consta in punerea la dispozitiaauditorilor interni, a
unei biblioteci cu articole, documente si materiale de la conferinte, colocvii, etc.(IFAC – Manualul de
standarde internationale de audit si control de calitate : Audit financiar)

2. FUNCTIA DE AUDIT INTERN INTR-O ORGANIZATIE
2.1. DIFERENTELE DINTRE AUDIT INTERN SI CONTROL INTERN
Atat controlul intern, cat si auditul internsunt necesare pentru construirea unei guvernante
corporative credibile. Cele douafunctii nu se suprapun, dar colaboreazasi contribuie impreuna la
atingereaobiectivelor organizatiilor.Controlul intern este un concept complex care poate fi usor
interpretat gresit si confundat cu activitatea de audit.
O definitie foarte reprezentativa este cea data de organismul america AICPA la sfarsitul anilor ’40:
„controlul intern este un sistem ce cuprinde planurile de organizare si toate metodele si masurile
adoptate cu scopulde a securiza activele, de a controla acurateteasi credibilitatea
informatiilorcontabile, de a promova eficienta operationalasi pentru a incuraja aderenta lapoliticile
manageriale stabilite”.( Camelia Liliana Dobroteanu, Laurentiu Dobroteanu – Audit Intern)
O alta definitie suna astfel: controlul intern cuprinde toate elementele unei organizatii - resursele,
sistemele, procesele, cultura, structura si sarcinile – care impreuna, ajutala atingerea obiectivelor
organizatiei: eficacitatea si eficienta operatiilor, credibilitatea raportarii interne si externe,
conformitatea cu legile reglementarile si politicile companiei.Camelia Liliana Dobroteanu, Laurentiu Dobroteanu –
Audit Intern)
IIA prezinta controlul intern sub urmatoarea forma: definitie: „controlul reprezinta orice masura
luata de conducere, de consiliu sau dealte parti, in vederea imbunatatirii gestionarii riscurilor si
cresterii probabilitatii cascopurile si obiectivele stabilite sa fie indeplinite. Managerii
planifica,organizeazasi coordoneaza aplicarea de masuri suficiente pentru a oferi oasigurare
rezonabila ca scopurile si obiectivele vor fi indeplinite”.(IFAC – Manualul de standarde internationale de audit si control
de calitate : Audit financiar) Camelia Liliana Dobroteanu, Laurentiu Dobroteanu – Audit Intern)
Daca controlul intern asigura bunastarea indeplinirii obiectivelor si a eficientei in executarea
proceselor, atunci cu se ocupa auditul intern? Orice sistem trebuie evaluat si verificat iar auditul
intern reprezinta acea functie independenta a organizatiei care se ocupa cu evaluarea eficientei si
eficacitatii controului intern.
Evaluarea realizata de catre auditul intern asupra controlului intern trebuiesa se plieze la cele trei
dimensiuni ale acestuia: dimensiunea culturala, universala,respectiv relativa. Dimensiunea culturala
se refera la faptul ca organizatiile aflate in proces de dezvoltare secaracterizeaza printr-un controi
intern flexibil, lejer, care sa raspunda urgentelormomentului decizional. Spre deosebite de acestea,
organizatiile mature, complexeau dezvoltate deja controale interne stabile iar auditorul intern
trebuie sa evalueze controlul internadaptandu-se la mediul cultural al organizatiei. Universalitatea
vizeaza toate activitatile organizatiei si raspundeacelorasi nevoi: eliminarea sau atenuarea riscurilor.
Dimensiunea relativa reprezinta constrangerile pe care le infrunta auditul in misiunea sa si
aplicabilitatea relativa care se poate realiza.
In baza asocierii componentelor controlului intern, un observator ar putea asocia auditul intern drept
o structura din intregul univers al controlului intern. Dar analizat prin prisma rolului jucat in
interiorul organizatiei, auditul intern nu se poate judeca pe sine cu credibilitate. Prin urmare, este
absolut obligatoriu ca cele doua structuri sa fie separate: una aplica, cealalta monitorizeaza si
evalueaza.

2.2. ORGANIZAREA FUNCTIEI DE AUDIT INTERN INTR-O ORGANIZATIE
Atunci cand intr-o organizatie exista o functie de audit intern, principiulindependentei acestuia
impune organizarea lui sub forma unei structuri distinctede controlul intern si managementul
riscurilor. Dar, doar existenta distincta nugaranteaza independenta departamentului ci confera un
gradrezonabil de incredere cu privire la obiectivitatea colectiva a departamentului deaudit intern. In
ceea ce priveste subordonarea departamentului de audit intern, exista numeroase modele care se
apropie mai mult sau mai putin deprincipiile unei bune guvernante corporative: de la subordonarea
fata de directorulfinanciar, directorul general, consiliul director, la subordonarea fata de comitetulde
audit. Practicile anglo-saxone releva o subordonare fata de comitetul de audit,ca autoritate din
cadrul organizatiei capabila sa protejeze efectiv independentaauditorilor interni. Orice alta varianta
de subordonare desi, asa cum am mai spus,existain realitate, este discutabila prin prisma
independentei auditului intern.(Marcel Ghita – Auditul Intern)
In functie de marimea organizatiei, departamentul poate fi organizat in mod centralizat (un singur
departament la nivelul grupului) sau descentralizat (cu servicii la nivelul fiecarei filiale). O alta
posibilitatea este cea de a opta pentru servicii externalizate de audit, insa este de indicat ca acest
lucru sa fie ca o solutie temporara pana cand functia se poate organiza intern.
In primul rand, la momentul constituirii departamentului, este necesara elaborarea cartei auditului
intern. Este recomandabil ca in carta sa fie prevazute relatiile de comunicare siraportare ale
auditului intern cu celelalte structuri organizationale, modalitatile de solutionare a diferitelor
probleme cu care s-ar putea confrunta auditorii interni,precum si competentele si responsabilitatile
comitetului de audit. Apoi, esential in realizarea activitatii departamentului de audit intern il
constituie planulde audit. Responsabilitatea pentru elaborarea planului de audit revine
sefuluidepartamentului de audit intern. Exista practici diferite privind orizontul de timppe care-l
acopera un plan de audit: de la planuri trimestriale, la planuri bi-anualesau chiar mai lungi. Totusi,
monitorizarea si evaluarea performantelor audituluiintern pare a fi mai usor de realizat in baza unor
planuri anuale, de unde si opreferinta mai larg impartasita pentru aceste tipuri.
Planul de auditcuprinde o expunere suficient de detaliata, cronologica, a
obiectivelordepartamentului de audit intern pe parcursul unei perioade determinate: tipulmisiunilor,
natura acestora, momentul inceperii, respectiv al finalizarii, termen siproceduri, bugete
previzionate. etc. Planul de audit va fi un reper permanentdeopotriva pentru angajatii
departamentului si ai organizatiei in ceea ce privesteactivitatile de audit intern. Totodata, la finalul
perioadei, planul de audit servestedrept criteriu de raportare pentru aprecierea performantelor
realizate dedepartamentul de audit intern.
Seful departamentului de audit are, ca una dintr responsabilitatile principale, gestionarea resurselor.
Aici ne referim la tot ceea ce inseamna resurse, respectiv: resursaumana, materiala, financiarasi
know-how.
In ceea ce priveste resursa umana, sunt cateva aspecte de ordin calitativ sicantitativ ce trebuie
punctate aici. Astfel, seful departamentului trebuie sa aibainvedere dimensionarea cantitativa a
personalului din subordine astfel incat sa poata forma echipe suficient de mari care sa nu pericliteze
realizarea misiunilor pe de oparte si, pe de alta parte, sa poata asigura rotatia echipelor impusa de
normeleprofesionale.
In cea ce priveste resursele materiale si financiare, in functie de complexitatea activitatilor
departamentului de audit intern, seful acestuia trebuiesa se asigure ca acestea nu vor constitui limite
impenetrabile in atingereaobiectivelor misiunilor de audit intern. De la calculatoare adecvate, spatii

de lucru,consumabile, recursul la consultanta externa de specialitate, pana la salarii, primesi
recompense. Limitarea resurselor poate genera efecte adverse asuprarezultatelor misiunilor de audit.
Deasemenea, rapoartele de audit trebuie sa contina o sectiune in care sa fie prezentatenatura
limitarilor impuse si efectele acestora asupra rezultatelor misiunii si opinieiauditorilor.
Referitor la resursa know-how a departamentului, este important ca sefulacestuia sa fie preocupat
continuu de consolidarea si largirea permanenta acunostintelor angajatilor sai. De altfel, normele de
calificare, normele de aplicaresi ghidurile atasate acestora prezinta criteriile de moralitate,
competentasiconstiinciozitate care trebuie sa constituiereperul fiecarui auditor intern.Programele de
instruire profesionala continua, stabilirea unui set de performante sievaluarea lor periodica
potcontribui substantial la sustinerea eforturilor in acest sens.
2.3. RELATIA DINTRE AUDIT INTERN SI AUDIT EXTERN
Diferentele esentiale se circumscriu urmatoarelor aspecte:
Destinatarii raportului de audit -in timp ce destinatarii prioritari airaportului de audit extern sunt
utilizatorii externi ai situatiilor financiare,beneficiarii raportului de audit intern sunt conducerea
executiva, consiliulde administratie si implicit, actionarii organizatiei respective. Spredeosebire de
auditul extern care trebuie sa-si mentina neutralitatea, auditulintern este un serviciu ce sprijinain
mod direct interesele si obiectiveleorganizatiei.
Natura raportului de audit – dacain cazul auditului extern raportul deaudit este un document
public, in cazul auditului intern raportul are uncaracter privat, accesul persoanelor din afara
organizatiei fiindrestrictionat.
Scopul procedurilor –aplicarea procedurilor si testelor de control de catreauditorii externi vizeaza
cu predilectie identificarea erorilor semnificativela nivelul situatiilor financiare. Auditorii interni
aplica proceduri si testede control cu scopul de a testa existenta si functionarea eficientasi eficace
a controalelor interne.
Aria de intindere a misiunilor – misiunile de audit extern vizeaza aspectecare tin de activitatea
financiar-contabilasi raportarea financiara aorganizatiei auditate. Spre deosebire de acestea,
misiunile de audit internacopera toate activitatile, operatiunile si procesele organizatiei in functiede
riscurile identificate si evaluate. Auditarea interna a activitatilor financiar-contabile poate
reprezenta doar o sectiune din planul anual deaudit.
Independenta auditorilor – pentru a fi considerati independenti, auditoriiexterni nu trebuie sa aiba,
printre altele, relatii de tip „angajator - angajat"cu societatea auditata. in cazul auditorilor externi,
independenta acestoraare o cu totul alta conotatie, relatia „angajat - angajator" fiind permisasichiar
preferatain multe cazuri. (CECCAR - Manualul pentru standarde internationale de audit, certificare si etica)
Standardele internationale de audit extern (ISA 610) prevad ca, pentru acolabora eficient cu
auditorii interni, auditorii externi ar trebui ca, in urmaevaluarii activitatii de audit intern, sa poata
confirma cel putin ca:
 Auditul intem este efectuat de catre persoane care au competenta profesionala necesara;
 Activitatea asistentilor este corect supervizata, indrumata, revizuitasi documentata;

 Sunt obtinute probe suficiente si adecvate de audit, astfel incat sa ofere o baza de
rationament rezonabila pentru concluziile la care s-a ajuns;
 Concluziile Ia care s-a ajuns sunt adecvate circumstantelor;
 Orice raport de audit intern este in concordanta cu activitatea de audit desfasurata;
 Orice exceptie de la activitatea obisnuita a intreprinderii, sau orice problema neobisnuita
descoperita de catre auditorii interni este luatain considerare si rezolvatain mod adecvat de
catre conducerea intreprinderii.(IFAC – Manualul de standarde internationale de audit si control de calitate : Audit
financiar)
In principiu, auditorul extern consemneazain documentele sale de lucruconcluziile referitoare la
activitatea de audit intern, precum si modul in care acestaa fost testatasi evaluata.
Atunci cand auditorul extern intentioneaza sa se sprijine pe activitateadepartamentului de audit
intern, trebuie sa aibain vedere programul de audit intern pentru perioada respectiva pentru a-l
discuta cu auditorii interni. Legatura cu auditul intern este mai eficienta atunci cand astfel
deconsultari intre cele doua echipe au Ioc la intervale regulate, pe parcursulporioadei de timp
alocate misiunii. Este esential caauditorul externsa aiba acces la rapoartele relevante de audit intern
si sa fie permanent informatasupra oricaror aspecte semnificative care intrain atentia
departamentului de auditintem si care pot afecta activitatea de audit extem.
3. MISIUNEA DE AUDIT INTERN
Practicile de elaborare aplanurilor de audit intern si a programelor de misiune sunt variate,
majoritateaacestora fiind ancorate la o strategie traditionala de audit care plaseazain centrulatentiei
auditului intern una sau mai multe dintre urmatoarele variante: auditul peprocese, pe functii, pe
meserii, pe teme, auditul de conformitate, audituloperational, etc. Aceste abordari traditionale vizau
auditarea interna a tot ce eraposibil. La polul opus, strategia prevazuta de standardele internationale
de auditintern –Risk Based Auditig (RBA) - implica o selectie si o priontizare a activitatilor si
misiunilor deaudit intern pe baza unei evaluari a riscurilor, astfel incat auditul intern
saserveascaintr-adevar obiectivelor organizatiei. Schimbarea de strategie produceefecte asupra
modului in care se desfasoara activitatea de audit intern.
3.1. ETAPA 1 – EVALUAREA RISCURILOR
Obiectivele acestei etape vizeaza obtinerea unei asigurari cu privire lafaptul ca riscurile situate peste
nivelul apetitului pentru risc au fost identificate sievaluate corect de catre management, cu scopul
de a stabili credibilitatea folosiriiulterioare a registrului de riscuri.
In acest sens, auditorii interni aplica urmatoarele proceduri de audit:
 Discutii cu managementul cu privire la riscurile la care este expusa societatea
 Documentarea cu privire la: obiectivele organizatiei, metodele folosite de conducere cu
privire la evaluarea riscurilor, scala de evaluare a dimensiona relevanta acestora, efectuarea
unui registru al riscurilor
 Examinarea documentelor obtinute
 Formularea unei concluzii cu privire la credibilitatea si posibilitatea utilizarii registrulu
riscurilor pentru actiunile ulterioare.(Camelia Liliana Dobroteanu, Laurentiu Dobroteanu – Audit Intern)

INTOCMIREA REGISTRULUI RISCURILOR
Registrul riscurilor reprezinta o lista completa a riscurilor (de obicei o bazade date) identificate de
conducerea organizatiei, care ameninta atingereaobiectivelor organizatiei. Dacain cadrul
organizatiei exista o functie demanagement al riscurilor, atunci construirea si actualizarea acestei
baze de dateeste responsabilitatea acesteia. Evident, volumul de munca al auditorilor internieste
mult redus daca managementul riscurilor existasi functioneazacorespunzator. In lipsa
managementului riscurilor, auditorii interni pot sprijini si consiliaconducerea superioarain ceea ce
priveste infiintarea registrului deriscuri, evaluarea riscurilor si determinarea apetitului pentru risc.
Unii auditori interni prefera construirea registrului riscurilor plecand directde la sursa: consiliul de
administratie si persoanele relevante din cadrulorganizatiei. Desi, aceasta procedura directa
economiseste foarte mult timppretios,prezinta dezavantajul ca, unele riscuri pot ramane
neidentificate, dat fiindfaptul ca auditorii nu mai au o baza de confruntare pregatita de ei anterior.
De principiu, exista trei proceduriutilizate cu scopul de a identifica riscurile:
Interviul. Rezultatele unui interviu reflecta punctul de vedere individualexprimat de catre cel
intervievat referitor la riscurile la care obiectiveleorganizatiei sunt expuse. Printre avantajele aceste
proceduri se numara: usurintastabilirii unei intrevederi cu o singura persoana fata de un grup de
persoane,respectiv confortul mai mare al intervievatului in exprimarea punctelor sale devedere pe
care intr-un seminar poate nu si le-ar exprima deschis. Printredezavantajele utilizarii acestei
proceduri pot fi enumerate dificultatea de aomogeniza, punctele de vedere individuale exprimate si
de a clasifica riscurileastfel obtinute.
Seminariile de identificare a riscurilor. Rezultatele seminariilor seconcretizeazaintr-o lista de
riscuri care pun in pericol obiectivele organizatiei,respectiv o dimensionare a probabilitatii si
consecintei acestora. Un avantaj alutilizarii acestei proceduri constain faptul ca persoanele
interactioneazasi creeazaidei noi.
Evidentele contabile. Examinarea fiecarei clase/pozitii din situatiilefinanciare sau din evidentele
contabile, precum si a evenimentelor atasate acestorapoate scoate la iveala o scrie de riscuri
importante. (Camelia Liliana Dobroteanu, Laurentiu Dobroteanu – Audit Intern)
DIMENSIONAREA RELEVANTEI RISCURILOR
Avand construit registrul riscurilor, pasul urmator trebuie sa vizezesprijinirea consiliului in ceea ce
priveste rafinarea registrului riscurilor prinidentificarea tuturor riscurilor „semnificative".Acest
proces este resposabilitatea departamentului de management al riscurilor, in cazul in care acesta este
instituit.
Dimensionarea relevantei riscurilor (R) este realizata prin prisma celor doua variabile componente
ale fiecarui risc: probabilitatea (P) si impact (I). Aritmetic, relatia de calcul este exprimata astfel:
R(relevanta riscului) = P(probabilitate) x I(impact)

3.2. ETAPA 2 – INTOCMIREA PLANULUI DE AUDIT
Obiectivele urmarite de auditori in cadrul acestei etape vizeaza:
 Determinarea riscurilor care vor fi incluse in planul de audit
 Alocarea acestor riscuri misiunilor de audit
 Elaborarea planului de audit.
Filtrarea riscurilor din registru pentru identificarea celor care vor fi incluse inplanul de audit anual
se realizeaza prin raportarea la apetitul pentru risc alconducerii drept criteriu prioritar.Astfel,
riscurile care se situeaza sub nivelul apetitului pentru risc alconducerii nu vor necesita o atentie din
partea auditorilor si, drept urmare, nu vor fi incluse in planul de audit. In ceea ce priveste riscurile
situate peste nivelulapetitului pentru risc, pot exista urmatoarele situatii cu privire la care
auditoriiinterni vor decide mentinerea sau eliminarea lor din planul de audit:
 Riscurile pe care conducerea le considera ca, din diverse motive, nu vor putea fi ameliorate
astfel incat sa fie reduse la nivelul apetitului pentru risc, motiv pentru care le accepta;
 Riscurile pentru care au fost adoptate masuri de prevenire de tipul transferului. Inclusiv
acestea vor putea fi mentinute in planul de audit, deoarece auditorii vor dori probabil sa se
convinga, in contextul unei misiuni, daca toate riscurile de acest gen au fost transferate si
daca transferul este eficient si eficace ca mecanism de protectie;
 Riscurile pe care conducerea este decisa sa le elimine prin diverse actiuni sau programe.
Asupra acestor riscuri auditorii vor decide daca le pastreaza sau nu in planul de audit.
Mentinerea lor in plan poate fi justificata de faptul ca actiunile conducerii de eliminare a
riscului respectiv, pot genera alte riscuri, iar auditorii vor dori sa se convinga ca aceste sunt
controlate corespunzator;
 Riscurile examinate si evaluate de o terta parte (ex: auditorii externi) care furnizeaza o
asigurare directa consiliului de administratie asupra gradului de control exercitat de
organizatie asupra acestora. In astfel de cazuri, strategia si politicile interne ale organizatiei
reprezinta un punct de sprijin in adoptarea unei decizii asupra mentinerii sau eliminarii lor
din planul de audit;
 Riscurile care au fost aduse in limita apetitului pentru risc, fapt dovedit de rapoartele
misiunilor de audit intern anterioare. In functie de intervalul de timp care a trecut de la
finalul acelor misiuni, precum si de rezultatele relevate de programele dc monitorizare post-
audit cu privire la implementarea masurilor corective, auditorii vor dccide daca pastreaza
sau nu in planul de audit aceste riscuri. (Camelia Liliana Dobroteanu, Laurentiu Dobroteanu – Audit Intern)
Toate celelalte riscuri care au ramas vor fi incluse in planul de audit. Alocarea riscurilor pe misiuni
de audit are ca punct de plecare registrul riscurilor, actualizat cu rezultatele procesului dc filtrare
precedent. Criteriile dc alocare cel mai frecvcnt utilizate sunt:
 Perioada de timp si resursele necesare pentru o misiune de audit (cu cat mai multe riscuri si
procese alocate pe o misiune, cu atat mai lungasi mai costisitoare va fi misiunea de audit);
 Persoanele ce se intentioneaza a fi intervievate in contextul misiunii;
 Locatia proceselor auditabile, etc.
Existasi companii care prefera gruparea riscurilor pe misiuni, dupa ce obtin o lista cu toate
procesele auditabile sigruparea lor ulterioarain functie de locatie sau alte criterii particulare. In ceea
cepriveste prioritizarca misiunilor de audit si includerea acestora in planul anual,auditul intem
trebuie sa formuleze un rationament rezonabil, tinand cont deresursele financiare, materiale, umane
si fondul de timp avut la dispozitie. Nu esteobligatoriu ca toate misiunile identificate sa fie incluse

intr-un singur plan anual,daca toate considerentele de mai sus nu permit acest lucru. Este motivul
pentrucare, unele companii opereaza cu planuri de audit multi-anuale. De asemenea,companiile care
abia infiinteaza functia de audit intern fac fata unor constrangericonsiderabile, mai ales in ceea ce
priveste resursa umana.
Planul de audit trebuie aprobat de catre comitetul de audit si consiliul de administratie al
organizatiei si i se poate transmite unraport care sa contina detalii referitoare la: riscurile si
procescle ca vor face obiectul misiunilor de audit cuprinse in planul de audit, riscurile si controalele
asupra carora auditorii interni vor formula o opinie pe baza rezultatelor cumulate, activitatile de
consultanta ce vor fi acordate de catre auditul intern conducerii organizatiei, riscurile neacoperite,
datorita politicilor organizatiei sau limitarii resurselor, asigurarea ca planul de audit este in
conformitate cu carta auditului intern.
3.3. ETAPA 3 – PLANIFICAREA MISIUNII
Pentru a elabora planul de audit, auditorii trebuie sa se familiarizeze mai intai cu natura si structura
clientului. Aceasta cunoastere preliminara aclientului pentru a fi utilaeste organizatasivizeaza
colectarea unor informatii structurate pe patru sectiuni principale:
 organizarea entitatii si a proceselor ce vor face obiectul misiunii de audit (personal, bugete,
performante, resurse, etc.);
 obiectivele proceselor ce vor fi auditate;
 mecanismele si tehnicile utilizate in cadrul proceselor ce vor face obiectul misiunii de audit;
 actualizarea informatiilor privind riscurile specifice prin referinta la planul anual si registrul
riscurilor. (Camelia Liliana Dobroteanu, Laurentiu Dobroteanu – Audit Intern)
Planificarea misiunii de audit are ca principal scop determinarea arieide intindere a acesteia prin
evidentierea urmatoarelor aspecte importante:
 motivatia misiunii de audit: motivul pentru care se face misiunea?
 obiectivele proceselor ce urmeaza a fi auditate, riscurile si controalele ce vor fi examinate
 programul de lucru elaborat in conformitate cu manualul de proceduri interne de audit
 limitele ariei de intindere a misiunii
 echipa de auditori care va realiza misiunea
 perioada de timp in care misiunea va avea loc
 destinatarii planului de misiune, a rapoartelor interimare, respectiv a raportului final al
misiunii. (Camelia Liliana Dobroteanu, Laurentiu Dobroteanu – Audit Intern)
3.4. ETAPA 4 – AUDITUL INTERIMAR
Auditul interimar sau realizarea misiunii este marcata de sedinta de deschidere a misiunii. Pe
parcursul acestei etape auditorii interni sunt preocupati de douaprobleme majore:
a) sa examineze daca pentru sectiunea auditata:
i. exista un proces prin care riscurile sunt identificate si evaluate
ii. opereaza un sistem de control
b) sa evalueze controalele interne utilizate pentru ameliorarea riscurilor identificate
i. controalele directe
ii. controalele de monitorizare(Camelia Liliana Dobroteanu, Laurentiu Dobroteanu – Audit Intern)

Cu privire la prima problema registrul riscurilor esteobligatoriutrebuie detaliat si actualizat cu
informatiile pe care auditorii levor colecta pe parcursul acestei etape din misiune.
Existenta controalelor interne trebuie testata, in special a celorcare au ca efect semnificativ asupra
riscului inerent. Astfel, determinarea scoruluide control este utila pentru a putea aprecia efectele
controalelor interne testateasupra riscurilor considerate. Scorul de control poate fi
dimensionatduparelatia:
SC(scor de control) = RI(risc inerent)– RR(risc rezidual)
 o valoare pozitiva este de asteptat si reprezinta un indice pozitiv;
 o valoare nula indica ineficacitatea controalelor interne testate in ameliorarea riscului
respectiv;
 o valoare negativa a scorului trebuie sa ridice semne de intrebare in ceea ce priveste fie
evaluarea riscului inerent, fie identificarea controalelor aferente.
Riscul inerent poate aparea in cazul lipsei sistemului de control intern, tranzactiile efectuate pot sa
nu fie inregistrate in contabilitate deloc sau in mod eronat. Aceste situatii pot conduce la ascunderea
unei erori sau a unei intentii de frauda.
Risc rezidual este riscul care ramane dupa ce conducerea ia masuri de reducere a impactului si
probabilitatii de aparitie a unui eveniment advers, incluzand activitatile de control derulate ca
reactie la un risc.
Procedurile utilizate pentru testarea controalelor interne includ teste deconformitate, reconcilieri,
teste computerizate, teste de urmarire, teste inductive,etc. Testele de urmarire sunt utile in
verificarea gradului de acoperire acontroalelor interne, poateidentifica acele riscuri care nu sunt
acoperite prin controalele interne. Testeleinductive sunt utile in verificarea functionarii efective a
controalelor interne si permit auditorului sa depistezeacele controale carenu functioneaza adecvat in
ameliorarea riscurilor.
Probele obtinute in baza testelor de control aplicate ii vor permiteauditorului evaluarea riscurilor
reziduale, aspect cheie ce va conditiona opiniilecontinute in raportul de audit.Determinarea
risculuirezidual permite auditorilor verificarea acuratetea cu care au fost evaluate riscurileinerente.
Scorul de control ar trebui sa fie pozitiv sau,cel mult, nul deoarece, o valoare negativa nu poate fi
interpretata altfel decat prinfaptul ca mecanismele de control atasate riscului respectiv au drept
efectaccentuarea riscului.
Elaborarea matricei riscului rezidual, permite auditorilor sa identifice riscurile care sunt sau
nuameliorate la nivelul acceptabil dorit de conducere. Tabelul 9.1. de mai jos,elaborat in baza
exemplului considerat in capitolul precedent ilustreazaposibilitatile de concluzionare.

Probabilitatearisculuirezidual
5 5 10 15 20 25
4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5
1 2 3 4 5
Impactul riscului rezidual
[1-4] – pentru riscul rezidual a carui semnificatie se incadreazain intervalul acesta controalele
interne sunt eficiente si eficace, deoarece ele aduc riscul respectivsub controlul dorit de catre
conducerea organizatiei.
[5-8] – asupra acestor situatii, conducerea va trebui sa decidaacceptarea lor la nivelul respectiv.
Auditorii interni trebuie sa ia in considerareposibilitatea de a identifica unele controale interne
eficiente si eficace pentruameliorarea acestor riscuri, inclusiv din punctul de vedere al costului
implementarii lor.
[9-14] – controlului intern de a ameliora prin instrumenteleactuale riscurile respective la nivelul
acceptabil nu este adecvat. Obligatoriu, se impun masuri corective, deoarece exista pericolulmare ca
unele obiective sa nu poata fi atinse.
[15-25] – in acest interval obiectivele organizatiei sunt in pericol de a nu fi atinse fie in prezent, fie
inviitorul previzibil. Aceste riscuri ar trebui, cu prioritate, ameliorate prinimplementarea unor
programe de masuri corective care sa le aduca la un nivelacceptabil.(Camelia Liliana Dobroteanu, Laurentiu
Dobroteanu – Audit Intern)
3.5. ETAPA 5 – RAPORTUL DE AUDIT
Raportul de audit este un document oficial adresat conducerii organizatiei si este foarte important ca
raportul sa fie descriptiv, clar si concis pentru a fi credibil si transparent.Raportul de audit trebuie
transmis si comunicat tuturor partilor interesatedin cadrul organizatiei, in principal managerii de
departamente.
Normelede audit intern nu prescriu un format standard al raportului de audit intern. Inpractica se
obisnuieste ca fiecare sectiune a raportului sa prezinte o opinie aauditorilor asociata acesteia,
respectiv la final sa existe un paragraf de opinieglobala. Daca forma de redactare nu este
standardizata, continutul trebuie insa sa contina urmatoarele mentiuni:
A. un rezumat ce cuprinde motivatia si obiectivele misiunii, riscurile si procesele auditate,
concluziile si actiunile necesare a fi adoptate;
B. riscurile esentiale vor fi prezentatedataliat si sunt riscurile reziduale cuprinse in intervalele [9-
25], situate mult peste nivelul apetitului pentru risc al conducerii. Trebuie prezentatedetalii cu
privire la impactul si consecintele acestora in cazul producerii lor, masurile corective
necesare,etc;

C. riscurile semnificative sunt riscurile reziduale cuprinse in intervalele [5-8] care fie vor fi
acceptate de catre conducere, fie vor fi atenuate prin masuri de control eficiente din punctul de
vedere al costurilor de implementare. Poate fi inclusasi o descriere a controalelor propuse.
Pentru a avea eficacitate maxima, raportul de audit de obicei include si masurile/recomandarile
auditorilor pentru a elimina deficientele identificate si reduce / evita riscurile aferente.
Recomandarile ar trebui agreate cu managementul responsabil si identificate persoane responsabile
pentru implementare precum si termenul in care acestea vor produce rezultate.
Raportul de audit este de obicei un raport de exceptii – care prezinta problemele identificate cu
scopul de a le inventaria si stabili masuri de remediere a acestora. Insa opinia globala trebuie sa
exprime viziunea globala asupra ariei auditate, care bineinteles considera si toate aspectele pozitive
identificate/ verificate in cursul auditului. Pot fi incluse si mentiuni pozitive acolo unde procesul
respectiv reprezinta un standard de urmat si de alte subunitati.
3.6. RESPONSABILITATI POST-AUDIT
Munca auditorilor nu reprezinta doar activitatile prezentate mai sus ci si monitorizarea evolutiei
implemntarii ulterioare programelor de actiuni agreate de management cu privire la ameliorarea
riscurilor luate in urma prezentarii raportului de audit.
Principalele responsabilitati post-audit se refera la implementarea unui proces de monitorizare a
implementarii recomandarilor agreate in cursul auditului, masurarea impactului acestora si
raportarea stadiului conducerii societatii/ Comitetului de Audit.
De asemenea formarea unei opinii globale pe baza rezultatelor auditurilor diferitelor procese, in
diferite unitati din grup, precum si pe baza monitorizarii continue a inventarului de riscuri la care
este expusa unitatea, reprezinta una din functiile importante care dau conducerii companiei o opinie
consolidata asupra controlului intern si eficacitatii acestuia in diferite procese interne, posibilitatii
aparitiei unor erori semnificative sau riscuri latente care ar pune in pericol compania in viitorul
apropiat. De asemenea opinia auditorilor este esentiala in stabilirea opiniei auditului extern si
situatiilor financiare ale unitatii.

CAPITOLUL II - CONTRIBUTII PERSONALE. PROIECT DE
PERFECTIONARE SI APROFUNDARE
4. STUDIU DE CAZ: EVALUAREA SISTEMULUI DE AUDIT INTERN
4.1. PREZENTAREA STUDIULUI DE CAZ
Studiul de caz va prezenta activitatea departamentului de audit intern din cadrul unei societatii
comerciale din domeniul productiei si distributiei deproduse de panificatie si totodata se va face o
analiza pe baza datelor colectate.Se vor trage concluzii cu privire atat la modul de organizare si
actionare al departamentului cat si la calitatea activitatii prestate de acesta.
Departamentul de audit intern analizat face parte din cadrul societatii comerciale PANADOR SA,
unul dintre importantii producatori si distribuitori de paine si produse de panificatie pe piata de
profil din judetul Galati.
DESCRIEREA SOCIETATII COMERCIALE PANADOR SA
 Compania a fost infiintata in 1993 si detine 3 fabrici de paine si produse de panificatie.
 Date financiare:
 Capitalul si managementul societatii este autohton.
 Departamentul de audit intern a luat fiinta la finele anului 2010 si are in componenta 3
persoane.
4.2. ANALIZA ACTIVITATII DEPARTAMENTULUI DE AUDIT INTERN
Activitatea departamentului de audit intern din cadrul societatii este in conformitate cu
reglementarile nationale si respecta regulile si procedurile de lucru impuse de CAFR – nu au fost
sesizate abateri cu privire la modalitatea de lucru. Seful departamentului de audit intern este
membru CAFR din anul 2005 si are in subordine 2 economisti.
In continuarevor fi analizate etapele misiunii de audit intern intreprinse in cadrul societatii pe
parcursul anului 2011. Se vor prezenta datele colectate si totodata concluziile cu privire la modul de
lucru.

ETAPA 1 – EVALUAREA RISCURILOR PANADOR SA
Pentru ca departamentul de audit intern activeaza in cadrul companiei de putin timp, anul 2011 fiind
primul an in care s-a pus in aplicare un plan de audit care sa asigure reducerea riscurilor in atingerea
obiectivelor companiei si pentru ca, datorita marimii medii a structurii organizatiei, managementul
nu are departament specializat in managementul riscului, echipa de audit a avut ca prima sarcina
intocmirea registrului de riscuri.
Auditorii au preferat construirea registrului riscurilor plecand directde la sursa: consiliul de
administratie si sefii de departament. Desi, aceasta procedura directa prezinta dezavantajul ca, unele
riscuri au putut ramane neidentificate nu mai au o baza de confruntare pregatita anterior si deci s-a
considerat solutia optima.
S-au organizat interviuri atat cu managerii de departamente cat si cu resonsabilii cheie de procese,
cu ar fi: contabilul sef, casiera societatii, gestionarul sef, sef ciclu productie, etc. Rezultatele
interviurilor reflecta punctul de vedere individualexprimat de catre cel intervievat referitor la
riscurile la care obiectiveleorganizatiei sunt expuse.
Totodata s-au verificat evidentele contabile pe ultimii 5 ani, auditorii avand acces permanent la
arhiva societatii.
Enumerarea riscurilor din registru si detalierea lor vor fi prezentate in raportul de audit.
ETAPA 2 – PLANUL DE AUDIT AFERENT ANULUI 2011
Planul de audit aferent anului 2011 se prezinta, pe scurt, dupa cum urmeaza:
Titlul proiectului de audit Importanta
Incepe la
data de
Se finalizeaza
la data de
Ore alocate
Vanzari - stabilirea preturilor Medie Trim I Trim I 320
Vanzari - facturare si incasare Mare Trim II Trim II 400
Cumparari - negociere si incheiere contracte Medie Trim III Trim III 600
Depozite - inventariere si depozitare Medie Trim III Trim III 600
Resurse umane - salarizare si promovari Medie Trim IV Trim IV 400
Monitorizare Medie Permanenta
La efectuarea etapei de audit interimar au participat toti membrii departamentului si fiecare a avut
sarcini bine definite. Interviurileaufost sustinute de seful departamentului iar testele de control au
fost efectuate de catre cei doi auditori juniori.
ETAPA 3 – PLANIFICAREA MISIUNILOR
Datorita nivelului de dezvoltare si expansiuni a companiei si a numarului redus de personal incadrat
in departamentul de audit intern planificarea misiunilor nu a fost elaborioasa si deci nu va fi
dezvoltata in studiul de caz.

ETAPA 4 –REALIZAREA MISIUNII DE AUDIT
Datorita inexistentei in anii precedenti a unui departament de audit intern sau de management al
riscului care sa creeze o arhiva cu date despre riscurile inerente, in alte cuvinte datorita lipsei de
date elocvente ajutatoare la intocmirea matricei riscurilor, aceasta nu a putut fi intocmita in
prealabil asumarii planului de audit aferent 2011.Insa la finele anului, cand toate misiunile de audit
au luat sfarsit si s-a intocmit raportul de audit, s-a completat si matricea riscurilor reziduale pentru
ca urmatorul plan de audit, aferent 2012, sa fie mai precis in inlaturarea erorilor si sa atace direct
problemele mai delicate care au fost omise sau chiar trecute cu vederea in anul precedent din motive
logistice sau din cauza relevantei reduse la momentul respectiv.
La asumarea primului plan de audit din cadrul companiei, s-a dorit o verificare a tuturor riscurilor
care pot duce la pierderea de valoare a activelor societatii sau a productivitatii muncii si s-a
considerat ca orice risc inerent este destul de relevant. Astfel au fost audiatate toate departamentele
si toate procesele atat tehnologice cat si comerciale.
Procedurile utilizate pentru testarea controalelor interne au inclus teste deconformitate a
procedurilor, verificari ale arhivei cu privire la corectitudinea intocmirii documentelor contabile,
reconcilieri cu clientii si furnizorii unde au fost gasite nereguli, verificari ale stocului, ale
remuneratiei personalului, etc.
Probele obtinute in baza testelor de control aplicate au condus la evaluarea riscurilor reziduale si la
completarea, pentru prima data, a matricei riscurilor reziduale. Determinarea risculuirezidual va
permite auditorilor, in anii urmatori, sa verifice acuratetea cu care au fost evaluate riscurileinerente
in anul precedent.
Pentru o reprezentarea mai usor de inteles riscurile au fost grupate pe categorii ce prezinta
caracteristici sau implicatii comune, astfel matricea riscurilor reziduale aferenta 2011 este
urmatoarea:
Probabilitatearisculuirezidual
5 A G J
4 B E
3 I
2 C D
1 H F
1 2 3 4 5
Impactul riscului rezidual
1-4 5-8 9-12 16-25

A. Lipsuri in tinerea evidentei materialelor consumate in productie
B. Lipsuri in tinerea evidentei stocurilor de materii prime si produse finite / marfa
C. Lipsuri in evidenta contractelor de clienti (conditii contractuale, grile de discounturi
nerespectate)
D. Lipsuri in tinerea evidentei comenzilor primite si a cantitatii de marfa livrate
E. Evidenta insuficienta si eronata in contabilitatea incasarilor de la clienti
F. Strategii de marketing implementate gresit
G. Tinerea arhivei contabile in mod necorespunzator (lipsa doc, doc intocmite eronat, lipsa
rapoarte lunare, etc)
H. Program informatic neperformant
I. Control inexistent asupra alocarii de useri si nivele de securitate in programul de gestiune
J. Baza de date intretinuta precar (inregistrari lipsa / duplicate)
ETAPA 5 –RAPORTUL DE AUDIT 2011
In continuare se gaseste raportul de audit aferent anului 2011 intocmit de departamentul de audit
intern si cuprinde concluziile la care s-a ajuns in urma testelor de control. Raportul a fost prezentat
consiliului de administratie si a fost intocmit cu scopul de aexpune intr-un mod cat mai transparent
riscurile mari cu care se confrunta societate. Totodata s-au prezentat si efectele negative care au
avut loc sau implicatiile ce ar putea aparea pe viitor. In raport au fost aduse si recomandari cu
privire la corectarea erorilor sau la reducerea in limite admise a riscurilor.
Raportul nu prevede termene de implementare a recomandarilor si persoanele responsabile cu
stabilirea sarcinilor. Acest lucru ar face raportul un instrument mai util in urmarirea implementarilor
in perioada de monitorizare.
De asemenea, raportul este mai mult o lista de nereguralitati sau imbunatatiri identificate in cursul
auditului si nu sunt prezentate modul de selectie a esantionului acolo unde s-a facut testarea prin
sondaj; nu prezinta o concluzie generala sau o opinie asupra eficacitatii sistemului de control intern
luand in calcul si aspectele pozitive observate in cursul auditului;acolo unde s-au idetificat
deficiente grave sau cu risc ridicat nu a fost identificat impactul potential al acelor nereguli.
Luand in calcul numarul mare de riscuri observate si facptul ca acesta este primul proiect desfasurat
de catre departament de audit intern, atat raportul prezentat cat si activitatea desfasurata de-a lungul
primului an fost un pas important in corectarea erorilor si imbunatatirea sistemului de control intern
in cadrul companiei PANADOR SA. Raportul de audit a reprezentat un studiu foarte imporant
pentru managementul societatii si efectul scontat a depasit asteptarile:consiliul de administratie a
impus urmatoarele modificari ce au avut ca termen de implementare primul semestru al anului
2012:
- in ceea ce priveste personalul companiei s-au facut recrutari de personal calificat si s-au inlocuit
anumite posturi cheie;
- sistemul informatic a fost imbunatatit prin achizitia unui nou soft de gestiune;
- sistemul de proceduri a fost regandit si imbunatatit;
- s-au introdus controale periodice pentru verificarea intocmirii corecte ale documentelor
contabile si in evidentierea corecta a stocului de marfa sau materii;
- totodata s-au impus noi standarde in ceea ce priveste calitatea raportarii interdepartamentale.

RAPORT AUDIT INTERN
OPTIMIZARE PROCESE SI IMBUNATATIRE CONTROL
SC PANADOR SA
Data: 19.02.2012
Distributie: Director general
Observatie Implicatii Recomandari
Productie
1. Nu exista o balanta de material pentru determinarea
consumurile specifice realizate sau pentru
determinarea productiei reale (fata de cea raportata).
Din analiza am observat ca la acelasi consum de
faina, productia realizata era diferita in mod
consecvent pe acelasi schimb (ex. Din 70 kg faina 360
franzele, respectiv 336).
Ineficienta in productie,
pierderi, furt (materie prima
sau produs finit)
nedetectate.
Monitorizare consumuri
specifice realizate pe o
perioada de timp si analiza
variatii. Stabilire target
pentru consumuri de atins
de catre fiecare schimb si
urmarire atingere obiective
(pentru imbunatatire
performanta/ eficienta
productie).
2. Nu sunt monitorizate cauzele care genereaza bas si
rebut – pentru corectie/ control.
Ineficienta in productie,
pierderi, furt productie
nedeclarata nedetectate.
Cauzele generatoare de
bas si rebut trebuie
monitorizate pentru a putea
fi luate actiuni preventive /
corrective de evitare si
reducere pierderi.
Monitorizare eficienta
fiecarui schimb.
3. − Intregul process de inregistrare consum/ productie/
gestiune livrari este manual.
− Datele completate in documente nu sunt folosite in
prezent.
− Reconcilierea pentru verificare raport productie nu
este efectuata in practica/ fezabila datorita volumului
mare de munca.
Lipsa date operative pentru
decizii de crestere eficienta
si control.
Repetitii in inregistrari si
necorelari, erori si diferente
nedetectate.
Implementare un sistem de
inregistrare a datelor
electronic.
(Dezvoltat model in Excel
pentru implementare
imediata si reducere
costuri. Datele consolidate
in aceasta perioada pot fi
luate ca baza la
implementarea sistemului
integrat de gestiune si
urmarirea productiei).
4. Defecte tehnice care pot fi rezolvate cu cost relativ mic
(inlocuire divizorului si sincronizarea motorului
predospitorului), poate reduce personalul cu 2
persoane/schimb.
Prsonalul eliberat poate fi
folosit in alte activitati.
Deja in lucru.
5. Inventarierea materiilor prime si a produselor finite se
realizeaza de catre gestionari respective si nu de
personae independente.
Pierderi/ furt/ lipsa gestiune
nedetectate.
Plusuri gestiune
netetectate conduc la furt.
Stocul scriptic tinut strict si
comparat cu stocul real.
(model in Excel
functionabil)

In plus, nu se tine evidenta stocurilor scriptice atat la
materii prime cat si productie – deci nu vor fi detectate
niciodata diferente/ pierderi.
Stoc 26.02 27.02 28.02
- scriptic 1280 1283 533
- faptic 1304 1073 711
Diferenta +24 -210 +178
Inventarierea sa fie
realizata minim lunar de
catre personae
independente (daca e
posibil prin rotatie).
Periodic si o persoana din
conducere/ de incredere.
6. Depozitul de produse finite este amenajat astfel incat
permite accesul neautorizat la produsele finite.
Risc de furt. Depozitul de produse finite
trebuie amenajat
corespunzator, astfel incat
accesul sa se faca doar in
prezenta gestionarului.
7. Calitatea fainii primite nu este verificata in majoritatea
cazurilor (indice deformare/ gluten) – nu este
documentat.
Risc de pierderi in
productie/ calitate slaba.
Indicii de calitate sa fie
verificati de fiecare data si
rezultatul testului inregistrat
intr-un Excel pentru
monitorizare/ analize
ulterioare pe o perioada de
timp.
Vanzari/ Marketing
1. Nu se monitorizeaza secventialitatea avizelor, pentru
a a se asigura ca toate avizele au fost inregistrate in
contabilitate. Pentru a fi posibila aceasta analiza,
practica inregistrarii mai multor avize intr-unul singur
sa fie oprita.
Pierderi din neincasarea
unor livrari care nu au fost
inregistrate.
O analiza pentru urmarirea
inregistrarii avizelor ar
trebui realizata lunar
(secventialitate).
2. Nu exista o situatie centralizata a tuturor contractelor
pentru a ne asigura ca:
− exista contracte valide / actualizate cu toti clientii;
− in contracte sunt specificate toate clauzele
contractuale (ex: termenul de plata nu este specificat
in toate cauzele – ex. Oportun ctrl 784/6.11.2009)
Pierderi in caz de litigiu. O situatie centralizata cu
toate contractele trebuie
intocmita pentru a ne
asigura ca exista contracte
semnate, valide cu toti
clientii ( in special cu cei cu
care se lucreaza pe credit).
De asemenea toate
clauzele importante
(termen plata) trebuie
incluse in contract.
3. Nu e definit formal pretul de vanzare (discounturi) pe
client – facturi vanzari emise pe preturi comunicate
informal.
Nu este definita limita de credit pentru fiecare client. O
monitorizare a acestora nu e posibila acum deciziile
nefiind documentate.
Erori/ fraude in stabilire
preturi/ emitere facturi.
Pierderi din neplata
creantelor. Credit acordat
neautorizat.
1. Preturile autorizate,
limita de credit trebuie
definita pentru fiecare
client, pentru a evita erori/
credit neautorizat/ limita de
credit prea mare pentru
unii clienti.
2. Lista acestora in Excel
poate fi semnata si
distribuita la sedinta
saptamanala. Deciziile ad-
hoc/ telefonice siu
operative a fi documentate
in lista saptamanal – lista
sa fie disponibila la
contabilitate pentru
introducere preturi
facturare (persoana

autorizata MASTER
DATA). Sistemul sa
restrictioneze modificare
preturi vanzare.
4. Nu exista un raport periodic de analiza a profitabilitatii
pe client/ perioada.
Maximizare profit. Un raport cu profitabilitatea
produselor pe
client/perioada ar trebui
intocmit periodic.
5. Nu se emite un raport lunar cu cantitatea livrata vs
cantitatea facturata.
Generand raportul pentru luna feb 2010 am observat
urmatoarele cantitati nefacturate:
Nume Marfa Avize
Fact
inchidere
Avize
neinchise
covrigi impletiti 70g 275 265 10
covrigi cu susan 70g 100 0 100
covrigi impletiti 70g 85 0 85
Incasarea cu intarziere. Un raport de analiza a
cantitatea livrata vs
cantitatea facturata ar
trebui intocmit si trimis
catre management periodic
6. Nu se face provizion pentru clientii neincasati
(conform Codului Fiscal 30% din creantele neincasate
sunt deductibile fiscal ).
Din analiza vechimii creantelor a rezultat suma de
10,791 RON avand o valoare mai mare de 9 luni (270
zile), pentru care ar putea fi inregistrat provizion.
Plati suplimentare de taxe. Provizionul pentru clientii
neincasati trebuie
inregistrat.
14. Nu exista control asupra acuratetii monitorizarii
incasarilor. Din verificare prin sondaj am observat ca
in data de 28.01 nu s-a incasat cantitatea de 25
franzele.
Neincasarea creantelor de
la clienti
(De implementat cu o noi
gestiune pentru fiecare
sofer in aplicatia curenta).
15. Incasarile cash nu sunt verificate zilnic de
contabilitate.
Furt, erori Periodic (zilnic) registrul de
casa trebuie verificat si
semnat de catre
Departamentul
Contabilitate.
16. Obiective neclare / nemotivante pentru crestere
vanzare paine.
Pierdere vanzari Redefinirea obiectivelor de
vanzare paine
17. Strategie clienti mari nedefinita clar.
HORECA neatacata suficient pentru vanzari.
Pierdere vanzari Toti clientii mari (mai ales
care nu vand acum
Panador) identificati si
planuri de atragere a lor la
Panador definite pe termen
mediu/ lung – pe rand. (ex.
atragere 1 client mare pe
trimestru cu actiuni
speciale).
Definire strategie pentru
crestere cota de piata pe
HORECA.
18. Actiunile de marketing nu au la baza o strategie cu
obiective definite clar pentru fiecare marca. Marca
Panador nefolosita ca umbrela pentru majoritatea
gamei de produse – Atentie: de ales daca pentru
volum sau specialitati.
Actiuni fara eficienta sau
cu eficienta limitata.
Definire obiectiv pe termen
lung al fiecarui brand si
apoi definire actiuni in
aceasta directie. Target:
reducere actiuni spontane
la 1/3 si crestere actiuni
planificate la min 2/3.
19. Nu se cunoaste motivul care il determina pe
consumatorul final sa cumpere un anumit produs
Panador (ca e recomandat de vanzator, e aproape, e
ieftin, e bun etc.)
Obiectivele de marketing si
pozitionare produs,
stabilire preturi si
dezvoltare noi produse ar
putea fi “pe langa” sau nu
Cercetare identificare
motive pentru care
consumatorul final
cumpara un anumit produs
Panador.

”in fata” competitiei
20. Potentialul de calitate al Graham nefolosit – fiind
singura paine din faina graham veritabila/ naturala si
nu coloranti.
Potential de crestere
vanzari
Stabilit strategie pentru:
pas1 - pozitionare imagine
Graham si apoi pas2 -
crestere vanzari. Strategia
sa fie validate prin
cercetare de piata anterior
si calcule contributie.
21. Ambalaje returnabile nu sunt urmarite corespunzator
pentru a fi recuperate de la client/ sofer.
Pierderi. Urmarire gestiune
ambalaje returnabile si
imputare pierderi.
22. Analiza detaliata concurenta – pe produs: de ce se
vinde al concurentei.
Propunere analiza pe
produs a concurentei si
pozitionare BGC a
produselor pentru
determinare ciclu viata si
strategie de piata/
marketing si de cost
(Ansoff). (de discutat)
Aprovizionare
1. Transmiterea preturilor negociate (ex. la materie
prima) si a discounturilor (ex. la magazine) nu este
documentata.
Risc de plata in plus a
facturii
Lista cu preturi negociate/
discounturi a fi tinuta in
Excel si distribuita catre
contabilii responsabili.
2. Verificari repetate la inregistrarea facturii de la
furnizori, care nu sunt necesare, factura nefiind
verificata cu contract (pret/ calitate/ alte clauze/
penalitati) sau cu semnatura pentru primire.
Factura nu e verificata la momentul platii.
(Am observat prin sondaj mai multe cazuri in care
seful de magazin nu semneaza pe factura pentru
receptia marfurilor.)
Risc a plati cumpararea
unor marfuri/ servicii
necomandate, in cantitati
mai mari decat cele cerute
sau la o calitate diferita,
pret mai mare decat cel
comandat. Risc de frauda
– plata facturi fictive.
Penalitati neaplicate.
1. Factura sa fie verificata
doar la momentul platii –
cu contractul si pentru
receptie cantitativa/
calitativa.
2. Restrictie sistem
pentru modificare adaos.
Stabilire adaos comercial
doar de 1 persoana
autorizata (master data).
(Avantaje: 1. Se verifica
complet. 2. Se elimina
astfel toate verificarile
anterioare – minim 1
contabil disponibil pentru
alte sarcini. 3. In caz de
introducere gresita a unei
cifre in system, se
identifica eroarea automat
in momentul inregistrarii
platii.)
(Dezavantaj: facturile vor fi
indosariate in functie de
data scadenta).
3. Documentarea tabelului cu persoane autorizate (pe
nivele de valoare sau materiale) pentru:
− a verifica si aproba facturi la plata;
− a semna contracte, comenzi.
In prezent un exista o regula in acest sens si e o
oarecare confuzie in aceasta privinta (origine poate
semna contract sau semna factura la plata).
Risc de a angaja
societatea in comenzi /
contracte dezavantajoase
care pot conduce la
pierderi.
Definire si circulare tabel
persoane autorizate pentru
a aproba / verifica facturi la
plata si contracte/ comenzi.

Lipsa control asupra platilor facturilor cu cash de la
gestionara – biletele.
4. Receptia marfurilor un se efectueaza de o persoana
independenta.
Acceptarea de marfuri
slabe calitativ/ expirate sau
lipsa cantitativ pot fi
acceptate fara a fi
identificate.
Control preventiv: Receptia
marfurilor sa fie efectuata
de persoane independente
de gestione/ consum.
SAU
Control detective:
Inventarieri regulate si
dese efectuate de
persoane
independente.(Dezavantaj:
in cazul identificarii unor
probleme un poate fi usor
identificata persoana
responsabila).
IT
1. Sistem informatic slab si neperformant: lipsa rapoarte/
multe verificari manuale si ineficienta/ inregistrarea
manuala a acelorasi date in mod repetat.
Ineficienta – costuri mari.
Lipsa informatii de analiza/
decizie.
Sistemul informatic a fi
inlocuit cu un sistem
integrat (respectand
conditiile de normalizare a
bazelor de date) si cu
urmarirea productiei si
operatiuni intre societati in
grup.
2. Aplicatia de gestiune actuala:
− nu este adecvata modului de lucru cu multi
utilizatori de la Panador;
− nivel de securitate si procesare al datelor foarte
slab.
Aplicatia nu a fost conceputa pentru modul de lucru
client server, drept urmare modul de lucru actual cu
aceasta aplicatie este periculos deoarece poate
rezulta in pierderea datelor in orice moment – orice
utilizator poate sterge datele (chiar si din greseala).
Nu exista un mediu de test separate, pentru a testa
eventualele schimbari ce trebuiesc implementate in
aplicatie. Lipsa unui mediu de test separate poate
duce la distrugerea aplicatiei in momentul
implementarii unor modificari.
Ineficienta. Functioneaza
lent in cazul mai multor
operatori in acelasi timp.
Pierderea tuturor datelor in
orice moment – poate
conduce la blocarea
companiei pentru cateva
saptamani si la pierderi
incasari/ vanzari.
Modificari
necorespunzatoare a
aplicatiei pot conduce la
pierderi/ modificari
nedetectate de date si
frauda.
Recomandari imediate:
1. Partitia aplicatiei sa nu
mai fie mapata iar modul
de acces la aplicatie sa se
efectueze prin definirea
caii directe catre
executabilele acesteia.
2. Ar trebui implementat
un mediu de test pentru
testarea modificarilor
aplicatiei.
(Pe termen lung: vezi obs 1
mai sus)
3 In urma analizarii accesului utilizatorilor la aplicatii, am
identificat urmatoarele :
− 9 utilizatori au access de administator in aplicatia
GestProd.
− Toti utilizatorii au access sa modifice si sa stearga
documentele deja create (exemplu avize/ facturi/
incasari).
− Accesul utilizatorilor in aplicatie nu este acordat in
functie de societatile pe care lucreaza.
Aplicatia Registre nu prezinta facilitatea de acces pe
baza de utilizator si parola. In acest mod, activitatea
utilizatorilor nu poate fi umrarita
Exista riscul ca unii
utilizatori sa efectueze
modificari nedorite in
aplicatie
Stergerea/ modificarea de
documente neobservata
poate favoriza frauda.
1. Se recomanda ca
drepturile de administrator
sa fie restrictionate
utilizatorilor.
2. Dreptul de stergere
documente ar trebui retras.
Trebuie consultata firma
ce ofera service aplicatiei,
pentru a gasi o modalitate
pentru retragerea dreptului
de modificare a
documentelor importante,
fara a afecta activitatea

obisnuita a utilizatorilor
(sx. Printarea)
3. Ar trebui implementat
un sistem de acces pe
baza de utilizator si parola
in aplicatia Registre.
4 Am observat ca bazele de date principale de furnizori
si clienti nu sunt completate corespunzator.
Baza de date de clienti contine inregistrari duplicat.
Informatiile despre clienti/
furnizori pot fi incomplete
Unele campuri sa fie
configurate ca si campuri
obligatorii (ex. denumire
client/ furnizor, adresa,
telefon, cod fiscal, cod de
inregistrare la Registrul
Comertului).
Aplicatia sa fie modificata
sa permita inregistrarea
unica a clientilor.
5 Antivirus inefficient. (Actuala configuratie a
programului antivirus presupune consumul unui numar
mare de resurse. Astfel, pe unele calculatoare acesta
este dezactivat pentru ca utilizatorii sa isi poata
desfasura activitatea.)
Risc ridicat ca unele
calculatoare sa fie infectate
cu virusi/ spyware –
pierderi date sau spionaj.
Incetinire viteza de lucru a
operatorilor.
Configurarea antivirusului
instalat pentru ca acesta sa
consume mai putine
resurse.
Folosirea unei solutii
antivirus pentru persoane
juridice, cu facilitati de tip
client-server si care
folosesc resurse mai putine
(ex. Bit Defender, McAfee,
AVG.
6 Din revizuirea contractului de service pentru aplicatii,
cu firma Atto Soft am observat urmatoarele probleme:
− Lipsa back-up date. Conform contractulul firma
AttoSoft trebuie sa efectueze back-up regulat al
datelor, ceea ce nu se intampla (RISC MAJOR in caz
de pierdere date/ hardware stricat).
− Cu toate ca, prin contract se plateste o taxa lunara
de upgrade, firma Panador nu beneficiaza de toate
upgradte-urile lansate de catre AttoSoft.
− In contract nu este stipulata o clauza de
confidentialitate (RISC MAJOR)
− termenul de interventie de max. 48 ore este prea
mare.
Nu exista contract de servicii cu firma Mondo
Computers, cea care asigura mentenanta
calculatoarelor si a echipamentelor de retea.
Risc mare de pierderi date
si furt / divulgare date.
Plata pentru servicii care
nu sunt furnizate.
Neperformanta in servicii.
1. Firma AttoSoft sa faca
back-up regulat pe suport
extern al datelor conform
contract.
2. Periodic, sa se ceara
de la firma AttoSoft o lista
cu update-urile lansate, ce
pot fi instalate pentru
aplicatia firmei Panador
pentru analiza/
implementare.
3. Introducerea unei
clauze de confidentialitate
in contractul cu AttoSoft cu
penalitati financiare si
personale.
4. Termenul de interventie
prevazut in contract ar
trebui revizuit si micsorat.
7. Server vulnerabil.
− locatia serverului permite accesul oricarui
persoane la acesta. Mai mult, in momentul vizitei,
am observat ca panoul lateral al carcasei era
desfacut.
− accesul la server nu este restrictionat prin user si
parola, cu drepturi specifice pentru fiecare
utilizator.
− nu se efectueaza un back-up reulat al bazei de
date pe support extern
Riscul ca un utilizator sa
defecteze fizic serverul sau
sa inlocuiasca
subansamble din acesta.
Sistemul de operare poate
fi destabilizat sau fisierele
aplicatiei pot fi sterse/
deteriorate de catre
utilizatori deoarece nu
exista o restrangere a
dreptului de acces logic la
server.
Serverul aplicatie sa fie
mutat intr-o locatie sigura,
unde accesul fizic la acesta
sa fie restrictionat.
Accesul pe server sa se
efectueze doar pe baza de
user si parola.
Efectuarea de back-up
regulat pe support extern al
datelor aplicatiei. Suportul

Riscul pierderii
nerecuperabile a datelor
din aplicatie in cazul unui
accident la server,
deoarece back-up-ul nu se
efectueaza pe support
extern.
pe care se face back-up-ul
ar trebui stocat in alta
locatie decat cea a
serverului
8. Am observat ca toti angajatii se conecteaza la
calculator folosind un cont de utilizator cu drepturi de
administrator.
Mai mult, am observat ca pe unele calculatoare exista
instalate programe care incetinesc performantele
calculatoarelor sau unele programe cu scop
recreational ce pot distrage utilizatorul de la sarcinile
de lucru. (vezi lista din anexa 1)
Totodata, am observat ca toti utilizatorii au acces la
internet. Accesul excesil va internet creste riscul
infectarii cu virusi/ spyware
Ineficienta la servici.
Utilizatorii pot destabiliza/
strica sistemul de operare.
Exista riscul ca utilizatorii
sa instaleze singuri
programme neautorizate
sau sa isi acorde drepturi
nepermise in retea (ex.
acces la internet)
1. Creare cont propriu
pentru fiecare utilizator,
caruia sa i se limiteze
accesul la activitati
administrative si la
programme ce nu ii sunt
necesare prin natura
serviciului.
2. Dezinstalarea de pe
calculatoare a tuturor
aplicatiilor care nu sunt
necesare.
3. Acordarda dreptului de
acces la internet doar
limitat.
9. Pe parcursul auditului am observat ca nimeni nu
intretine o lista cu echipamentele din firma. Lipsa unei
evidente a echipamentelor IT poate duce la
Nu exista o evidenta a licentelor progamelor instalate
pe calculatoarele utilizatorilor. Pe parcursul auditului
am identificat o serie de programme (Ms. Office 2003
basic & Professional, abby fine reader) pentru care nu
s-au putu identifica licentele
Riscul de furt de
echipamente sau
componente IT, ce nu
poate fi detectat.
Penalitati sau furtul
licentelor de catre angajati.
1. Tinerea evidentei
tuturor echipamentelor IT
(numarul de inventar si
configuratie).
2. Inventariere licente -
evidenta acestora
Alte observatii
1. Folosirea “inteligenta” a posibilitatii sponsorizarii unei
fundatii pentru a consitui un fond de ajutorare/
motivare angajati – GRATIS (86%) prin deducerea de
la plata impozitului pe profit.
Motivare angajati. Sursa
suplimentara de venituri.
Discutat deja.
2. Crestere competente sef contabilitate pentru partea de
“controlling”, management financiar, management
cash/ fond de rulment, analize investitii / surse
investitii.
(ex. lease-back poate fi avantajos pentru atragere
credite)
Lipsa unei “balante” pentru
optimizare “financiara” a
societatii.
Luminita – ACCA (chiar si
numai pentru curs daca nu
pentru certificare – devine
automat auditor financiar).
3. Tabloul fluxurilor de numerar nu e intocmit/ analizat.
Previziuni incasari nu sunt intocmite/ monitorizate.
Pierderi din costuri
financiare mari sau lipsa
resurse pentru dezoltare/
investitii.
Urmarire profesionista a
cash-ului / creditului/ fond
rulment etc. pentru
optimizare surse de
finantare.
4. Implicare operationala directa a managerului general.
Lipsa timp pentru analiza tendinte, piata, stabilire
directie si dezvoltare.
Dezvoltare persoane
pentru preluarea sarcinilor
operative. Delegare sarcini
neimportante/ fara impact
major asupra companiei.

BIBLIOGRAFIE
 IFAC – Manualul de standarde internationale de audit si control de calitate : Audit
financiar
Editura IFAC, Bucuresti, 2009
 CECCAR - Manualul pentru standarde internationale de audit, certificare si etica
Editura CECCAR, Bucuresti, 2007
 Camelia Liliana Dobroteanu, Laurentiu Dobroteanu – Audit Intern
Editura InfoMega, Bucuresti, 2007
 Marcel Ghita – Auditul Intern
Editura Economica, Bucuresti, 2009
 Mircea Boulescu – Audit intern si statutar : entitati economice
EdituraTribuna Economica, Bucuresti, 2007
 Bogdan Anca Madalina, Mircea Boulescu – Auditul financiar in conditiile armonizarii cu
standardele internationale de contabilitate. Posibilitati de perfectionare
Editura ASE, Bucuresti, 2005
 Stefan Craciun – Auditul intern : evaluare, consiliere
Editura Economica, Bucuresti, 2006

Analiza unui sistem de audit intern

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (20)

Semelhante a Analiza unui sistem de audit intern

Semelhante a Analiza unui sistem de audit intern (20)

Analiza unui sistem de audit intern