Sunteți pe pagina 1din 72

UNIVERSITATEA BABE-BOLYAI, CLUJ-NAPOCA Centrul de Formare Continu, nvmnt la Distan i Frecven Redus Facultatea de tiine Economice i Gestiunea Afacerilor

Specializrile: ExCA, MCAC Disciplina: Auditul sistemelor informaionale contabile

SUPORT DE CURS

ANUL II Semestrul 2

CLUJ-NAPOCA 2013

CUPRINS
I. INFORMAII GENERALE ......................................................................................................... 1
Date de identificare a cursului........................................................................................................................ 1 Descrierea cursului.......................................................................................................................................... 1 Materiale bibliografice obligatorii ................................................................................................................... 2 Materiale i instrumente necesare pentru curs ................................................................................................. 3 Calendar al cursului ........................................................................................................................................ 3 Politica de evaluare i notare ........................................................................................................................... 4 Strategii de studiu recomandate ...................................................................................................................... 5

II. SUPORTUL DE CURS ................................................................................................................ 7 MODULUL I: Aspecte generale privind informaia i noiunea de sistem informaional ........ 9
Unitatea de curs 1: Aspecte generale privind noiunea de informaie ............................................................ 9 Unitatea de curs 2: Rolul i caracteristicile informaiilor n cadrul entitilor ............................................ 10 Unitatea de curs 3: Entitatea economic abordare sistemic..................................................................... 12 Rezumatul modulului .................................................................................................................................... 16 Bibliografie modul ........................................................................................................................................ 18

MODULUL II: Aspecte generale privind auditul sistemelor informaionale ............................ 20


Unitatea de curs 1: Necesitatea auditului sistemelor informaionale ........................................................... 20 Unitatea de curs 2: Auditul sistemelor informaionale ................................................................................. 21 Unitatea de curs 3: Auditul aplicaiilor informatice ..................................................................................... 24 Unitatea de curs 4: Valorificarea rezultatelor auditului ............................................................................... 26 Rezumatul modului ....................................................................................................................................... 27 Bibliografie modul ........................................................................................................................................ 28

MODULUL III: Auditul sistemelor informaionale i auditului intern ..................................... 29


Unitatea de curs 1: O abordare bazat pe riscuri .......................................................................................... 29 Unitatea de curs 2: Auditul sistemelor informaionale i misiunile de audit intern ....................................... 30 Unitatea de curs 3: Gestiunea riscurilor......................................................................................................... 32 Rezumatul modulului .................................................................................................................................... 38 Bibliografie modul: ....................................................................................................................................... 40

MODULUL IV: Auditul sistemelor informaionale i auditul financiar .................................... 42


Unitatea de curs 1: Auditul sistemului informaional i misiunile de audit financiar .................................. 42 Unitatea de curs 2: Evaluarea riscurilor ....................................................................................................... 44 Unitatea de curs 3: Riscurile de audit........................................................................................................... 48 Rezumatul modulului .................................................................................................................................... 52 Bibliografie modul ........................................................................................................................................ 53

MODULUL V: Auditul sistemelor informaionale n Romnia .................................................. 54


Unitatea de curs 1: Reglementri legale privind auditul sistemelor informaionale .................................... 54 Unitatea de curs 2: Implicarea Camerei Auditori Financiari din Romnia .................................................. 57 Unitatea de curs 3: Implicarea Asociaiei Auditorilor Interni din Romnia ................................................ 59 Unitatea de curs 4: Implicarea ISACA Romnia ......................................................................................... 62 Rezumatul modulului .................................................................................................................................... 63 Bibliografie modul ........................................................................................................................................ 64

III ANEXE ....................................................................................................................................... 65


Bibliografie obligatorie ................................................................................................................................. 65 Glosar de termeni .......................................................................................................................................... 67

I. INFORMAII GENERALE Date de identificare a cursului Date de contact ale titularului de curs: Nume i Prenumele: Vasile Cardo Birou: str. T. Mihali, nr 58-60, cam. 226 Telefon: 40 + 0264-41.86.52 int. 5806 Fax: 40 + 0264-41.25.70 E-mail: vasile.cardos@econ.ubbcluj.ro Consultaii: se vor afia la cam.2 26 la nceputul semerstrului Date de identificare curs i contact tutori: Numele cursului: Auditul sistemelor informaionale contabile Codul cursului: EMC024 Anul, Semestrul: anul II, sem 2 Tipul cursului: obligatoriu Tutore: Cardo Vasile Adresa e-mail tutori: vasile.cardos@econ.ubbcluj.ro

Condiionri i cunotine dobandite anterior Cursul Auditul sistemelor informatice i propune s dezvolte abiliti i cunotine necesare persoanelor care doresc sa se specializeze in domeniul acest domeniu, precum i celor care doresc s acumuleze cunotine privind implicaiile i importana auditrii sistemelor informaionale n cadrul unor misiuni de audit financiar sau intern. Titularul de curs ncurajeaz participarea oricror studeni n cadrul cursului, indiferent de pregtirea educaional a acestora. Pentru studenii care provin din afara nvtmntului economic se recomand parcurgerea unei bibliografii minimale n domeniile contabilitii, auditului intern, auditului financiar i al informaticii. Descrierea cursului Cursul de fa reprezint esena unor conotine dobndite deja dar i a unor tehnici care vor fi nsuite de ctre participani la finalul sau n domeniul vast al profesiei contabile din care o derivat este auditul sistemelor informaionale. Persoanele care sunt beneficiarii de baz ai acestuia sunt studenii nscrii la masterat, absolveni ai specializrilor de profil din cadrul facultii, nefiind ns exclui nici cei care sunt absolveni ai altor specializri, sub rezerva deja artat anterior. Patriciparea la acest curs ofer posibilitatea cursanilor de a deprinde aspectele eseniale ale auditului sistemelor informaionale precum i a implicaiilor pe care sistemul informaional al unei entiti l are asupra auditului intern i cel financiar.. Aspectele teoretice vor fi mbinate cu aplicaii practice care contribuie la fixarea cunotinelor i dobndirea instrumentarului necesar pentru a se putea accede la profesia liberal de auditor financiar.

Complexitatea noiunilor este una progresiv, fcndu-se numeroase referine la celelalte discipline din care auditul sistemului informaional i are mprumutate unele procedee de lucru, evideniind i instrumentele specifice.

Materiale bibliografice obligatorii 1. Arens A. & Loebbecke J., 2003, Audit o abordare integrat, ediia a 8-a, Ed. ARC (Mod de accesare: Biblioteca Catedrei de Contabilitate i Audit) 2. Boulescu M. et al. (2005), Auditul sistemelor informatice financiar-contabile, Ed. Tribuna economic, Bucureti (Mod de accesare: Biblioteca Central Universitar) 3. Brnda C., 2004, Auditul sistemelor informaionale de gestiune, Universitatea de Vest, Timioara (Mod de accesare: FSEGA) 4. Cascarino R., 2007, Auditors Guide to Information Systems Auditing, John Wiley&Sons, (Mod de accesare: Biblioteca Central Universitar) 5. Eden A. & Stanciu V., 2004, Auditul sistemelor informatice, Editura Dual Tech, Bucureti, (Mod de accesare: Biblioteca FSEGA) 6. Information Systems Audit and Control Association ISACA, 2008, IT Assurance Framework, disponibil on-line la adresa: www.isaca.org 7. Laudon K.C. & Laudon L.P. (2006) Management Information systems managing the digital firm, 9th edition, Ed. Prentice Hall, (Mod de accesare: Biblioteca Central Universitar) 8. Munteanu A., 2001, Auditul sistemelor informaionale contabile, Editura Polirom, Iai (Mod de accesare: FSEGA) 9. Nstase P. et al., 2007, Auditul i controlul sistemelor informaionale, Editura Economic, Bucureti. (Mod de accesare: Biblioteca Catedrei de Contabilitate i Audit) 10. Oprea D. (2005), Analiza sistemelor informaionale, Edidura Universitii Alexandru Ioan Cuza, Iai, (Mod de accesare: Biblioteca FSEGA) 11. The Institute of Internal Auditors, IIA, 2008, Global Technology Audit Guides, disponibil online la adresa: http://www.theiia.org/guidance/technology/ 12. ugui Al., (2003), Produse informatice generalizate pentru contabilitate, Editura CECCAR, Bucureti (Mod de accesare: Biblioteca Central Universitar)

Materiale i instrumente necesare pentru curs Susinerea prelegerilor i discutarea aplicaiilor practice se va realiza prin utilizarea urmtoarelor echipamente: videoproiector (asigurat de facultate), laptop sau calculator (asigurat de facultate), acces la internet (asigurat de facultate). suport de curs (format electronic i tiprit asigurat de catedr) alte materiale (format electronic i tiprit asigurat de catedr)

Se vor putea face simulri privind utilizarea tehnicilor de audit asistate de calculator

Calendar al cursului Activiti Tematica abordat Responsabilitile masteranzilor ntlnire I: Informaia economic; Activiti Sistemul informaional; didactice Necesitatea auditului sistemelor informaionale; Auditul sistemelor informaionale Auditul aplicaiilor informatice ntlnire II: Rolul auditului sistemului Activiti informaional din perspectiva didactice auditului intern i financiar Parcurgerea bibliografiei Rezolvarea studiilor de caz sau a activitilor alocate Locul de

desfurare Campus conform orarului postat pe site-ul facultii

Examen final

Parcurgerea Campus bibliografiei Rezolvarea studiilor de caz sau a activitilor alocate Parcurgerea Campus bibliografiei precizate n vederea susinerii examenului

Calendarul ntlnirilor cu studenii poate suporta modificri care ns vor fi aduse la cunotina studenilor n timp util, n funcie de programul general al cadrului didactic.

Politica de evaluare i notare Modalitatea de notare a masteranzilor pentru disciplina Auditul sistemelor informatice are n vederea urmtoarele aspecte: participarea activ la activitile tutoriale: 20%. ndeplinirea sarcinilor i activitilor alocate 50% examenul final 40%

Studenii trebuie s tie c syllabusul de fa reprezint un suport minimal, a crui simpl parcurgere nu este suficient pentru promovarea examenului. n vederea promovrii examenului cu o not satisfctoare, studenii vor trebui s parcurg bibliografie indicat n cadrul acestui syllabus.

Elemente de deontologie academic Plagiatul este o problem serioas i este pedepsit cu asprime. Orice student care este prins c plagiaz se poate atepta s i fie anulat munca i s se ntreprind msuri disciplinare din partea conducerii facultii. Exemple de plagiat: realizarea proiectului de cercetare de ctre o alt persoan. copierea parial sau total a unui proiect de cercetare. copierea unui proiect de cercetare de pe internet i rspndirea acestuia i n rndul altor masteranzi. conspectarea unor surse bibliografice fr citirea prealabil a acestora (copierea unor conspecte fcute de alii). Masteranzii pot s citeze surse bibliografice alctuite din reviste sau cri cu condiia ca respectivele surse s fie identificate i prezentate n cadrul proiectului de cercetare. Un proiect care se constituie n mare parte din compilarea unor idei ale unor autori, neavnd o contribuie proprie din partea masterandului va fi notat cu un calificativ inferior.

Studeni cu dizabiliti n vederea oferirii de anse egale studenilor afectai de dizabiliti motorii sau intelectuale, titularul de curs i manifest disponibilitatea de a comunica cu studenii prin intermediul potei electronice. Astfel, studenii cu dizabiliti vor putea adresa ntrebrile lor legate de tematica cursului Auditul sistemelor informatice pe adresa de email a titularului de curs, menionat la nceputul acestui silabus, putnd primi lmuririle necesare n maxim 48 de ore de la primirea mesajului.

Strategii de studiu recomandate Pentru a obine performana maxim, studenii trebuie s in cont de urmtoarele recomandri n ceea ce privete studiul individual, precum i activitile colective realizate n cadrul cursului: 1. Este recomandat remprosptatrea cunotinelor de contabilitate, audit intern i financiar, respectiv informatic; 2. Se recomand parcurgerea suportului minimal n ordinea capitolelor, aa cum sunt descrise n prezentul syllabus; 3. Este recomandat ca studiul s se bazeze pe o bibliografie minimal, indicat n syillabus i pe alte surse bibliografice indicate de tutori. 4. Se recomand participarea la discuii i analize mpreun cu tutorii, pe marginea temelor indicate spre studiu.

II. SUPORTUL DE CURS


MODULUL I: Aspecte generale privind informaia i noiunea de sistem
Unitatea de curs 1: Aspecte generale privind noiunea de informaie Unitatea de curs 2: Rolul i caracteristicile informaiilor n cadrul entitilor Unitatea de curs 3: Entitatea economic abordare sistemic

MODULUL II: Aspecte generale privind auditul sistemelor informaionale


Unitatea de curs 1: Necesitatea auditului sistemelor informaionale Unitatea de curs 2: Auditul sistemelor informaionale Unitatea de curs 3: Auditul aplicaiilor informatice Unitatea de curs 4: Valorificarea rezultatelor auditului

MODULUL III: Auditul sistemelor informaionale i auditului intern


Unitatea de curs 1: O abordare bazat pe riscuri Unitatea de curs 2: Auditul sistemelor informaionale i misiunile de audit intern Unitatea de curs 3: Gestiunea riscurilor

MODULUL IV: Auditul sistemelor informaionale i auditul financiar


Unitatea de curs 1: Auditul sistemului informaional i misiunile de audit financiar Unitatea de curs 2: Evaluarea riscurilor Unitatea de curs 3: Riscurile de audit

MODULUL V: Auditul sistemelor informaionale n Romnia


Unitatea de curs 1: Reglementri legale privind auditul sistemelor informaionale Unitatea de curs 2: Implicarea Camerei Auditori Financiari din Romnia Unitatea de curs 3: Implicarea Asociaiei Auditorilor Interni din Romnia Unitatea de curs 4: Implicarea ISACA Romnia

MODULUL I: Aspecte generale privind informaia i noiunea de sistem informaional

Scopul i obiectivele modulului

Scopul acestui modul este familiarizarea cursanilor cu noiunile de informaie i sistem informaional n vederea nelegerii acestora din perspectiva unei entiti economice. Totodat se urmrete nelegerea importanei sistemului informaional din perspectiva auditului acestuia. Obiectivele prezentului modul sunt: 1. Familiarizarea studenilor cu principalele aspecte privind informaia i sistem; 2. Cunoaterea caracteristicilor informaiilor economice i contabile; 3. Cunoaterea caracteristicilor sistemelor informaionale; 4. nelegerea importanei sistemului informaional n cadrul unei entiti economice.

Unitatea de curs 1: Aspecte generale privind noiunea de informaie Generic, informaia se definete ca un mesaj rezultat din reprezentarea realitii prin cunoaterea creia att emitentul ct i destinatarul i asociaz aceeai semnificaie. ntr-o alt accepie informaia este o reprezentare simbolic asupra unor entiti din realitate, avnd caracter de noutate pentru subiecii receptori" ea fiind generat prin procese de cunoatere de natura observrii directe sau a interpretrii semantice de mesaje".( Dicionar de Economie, 2001: 233). Informaie este unul din cuvintele cel mai des folosite, de foarte multe ori abuziv. Diferite discipline tiinifice acord diferite nelesuri acestui termen, sau i asociaz omonime incoerente. Cu toate c de cteva decenii omenirea a pit n era informaional, iar societatea a trecut de la societatea informaional la societatea cunoaterii, cuvntul informaie este folosit adesea fr a se da atenia cuvenit diferitelor sensuri pe care le poate avea. Creterea gradului de informatizare a proceselor entitii precum i a creterii gradului de folosire a informaiilor n rezolvarea problemelor umane a fcut ca informaia s fie considerat ca o resurs economic, n mare msur egal cu alte resurse cum ar fi munca, materia (prim) i capitalul. n calitatea ei de resurs neofactorial, obinerea informaiei i utilizarea ei n orice demers al activitii umane, presupune un efort uman i material financiar. Aceast perspectiv scoate n eviden faptul c posesia, manipularea i folosirea informaiei poate mbunti raportul cost-eficien n multe procese fizice sau cognitive. Ca resurs individual i 9

social, informaia are cteva caracteristici ce o deosebesc de noiunea tradiional de resurs economic. Spre deosebire de alte resurse economice, informaia este teoretic nelimitat, avnd totui unele limite aparente impuse de timp, de capabilitatea cognitiv uman sau care in de posibilitile de accesare a diverselor canale de comunicare a informaiilor ceea ce n fapt ridic costul informaiilor. Dezvoltarea tehnologiilor informaionale, proliferarea internetului, ceea ce a dus la reducerea timpului necesar cutrii i accesrii informaiilor, a ridicat problema cantitii de informaii pe care o entitate economic este dispus s o comunice pe o pia informaional deschis. Zu K. (2005) ntr-un studiu privind aspectele sociale i economice ale transparenei informaiilor ntr-o pia electronic deschis, arat c ntr-un mediu transparent entitile economice au acces mai uor la informaii ceea ce le permite: reducerea costurilor sub nivelul concurenilor, alegerea strategiilor de viitor innd cont de situaia pieei i implicit creterea profiturilor. Se creeaz fenomenul de corelare a strategiilor tuturor entitilor care activeaz pe o pia informaional deschis i astfel accesul la informaie tinde s reduc avantajele competiionale ducnd la o reorientare spre o mai bun alocare a resurselor tradiionale. Informaia, ca resurs economic utilizat la nivelul unei entiti genereaz un avantaj competiional numai n msura n care costurile obinerii i transmiterii ei sunt mai mici dect beneficiile pe care le genereaz. Totui costurile obinerii informaiilor nu pot fi abordate numai dintr-o perspectiv financiar ci i dintr-o perspectiv abstract, a impactului pe care comunicarea informaiilor o are asupra pieei. De asemenea beneficiile nu pot fi comensurate numai n termeni de eficien a proceselor interne ci i din perspectiva parametrilor externi influenai de informaiile deinute i comunicate. A doua percepie a informaiei (ce dateaz din aceeai perioad), de serviciu de prim necesitate, a determinat dezvoltarea n ntreaga lume a unui nou segment a economiilor naionale: sectorul de servicii informatice. Beneficiind de avantajele proprietilor informaiei i construind o percepie a utilitii i valorii sale individuale i sociale, acest sector furnizeaz o larg gam de produse i servicii informatice.

Unitatea de curs 2: Rolul i caracteristicile informaiilor n cadrul entitilor ntr-un mediu supra-abundent n informaii, o entitate performant trebuie s-i dezvolte capacitatea de a identifica sursele importante, de a selecta, stoca, gestiona, prelucra i folosi inteligent

10

informaia, de a-i dezvolta fluxurile de informaii (interne i externe) n calitate de generator de informaie i de a-i alege cele mai favorabile strategii i suporturi de comunicare. Entitatea nu poate exista fr informaie i comunicarea ei, informaia devenind un bun al acesteia. Informaia prezint ntr-o entitate patru roluri principale (Nica & Panaite, 1994: 378, dup Simon, 1977): Msur a succesului: de exemplu, informaia cu privire la profitabilitatea entitii poate fi folosit pentru evaluarea succesului acesteia pe o anumit perioad de timp; Semnal de alarm: Unele informaii reflect schimbri nsemnate n volumul vnzrilor, nivelul costurilor, nivelul profitului, constituind astfel semnale de alarm pentru manageri, determinndu-i s ia decizii i s declaneze aciuni pentru remedierea neajunsurilor. Sistemul informaional al ntreprinderii are rolul de a dirija informaiile spre locul unde acestea sunt necesare, evitndu-se aglomerarea managerilor cu informaii inutile; Baz pentru aprofundarea analizei activitii: Investigarea i analiza operaiunilor curente ale unei entiti, n urma crora sunt evideniate punctele ei forte i aspectele vulnerabile ale activitii, au la baz informaii pertinente, att din mediul intern ct i din cel extern; Baz pentru planificare: Pentru a fi realiste i eficace, obiectivele i aciunile viitoare ale entitii trebuie proiectate pe baza unor informaii adecvate. Informaia este indispensabil funcionrii entitii. Utilizarea informaiilor are n vedere urmtoarele trei tipuri de obiective: Suport pentru luarea deciziilor. Informaia este baza lurii deciziilor. Elaborarea deciziilor necesit informaii de complexiti diferite, n cadrul firmei pe diferite nivele iar pentru utilizatorii externi, n funcie de natura acestora; Satisfacerea unor obligaii legale. Fiecare entitate trebuie s transmit mediului n care activeaz categorii diferite de informaii privind starea acesteia, diveri parametri, etc. n conformitate cu reglementrile legale; Asigurarea comunicrii. Este vorba att de o comunicare intern realizat prin schimburi orizontale i verticale de informaii, ct i de o comunicare extern, materializat n schimbul de informaii cu exteriorul (primirea i difuzarea de informaii din/ctre exterior, schimburi regulate de informaii cu partenerii, furnizorii, clienii, creditorii etc.). Necesitatea informatizrii s-a manifestat pe fondul creterii continue a volumului de informaii vehiculate. Excesul de informaii a determinat nevoia de informaii sintetizate, mai uor de urmrit i analizat. Aceast sintetizare o realizeaz, de exemplu, contabilitatea, dar volumul imens de

11

informaii pe care trebuie s le gestioneze a impus cutarea de noi posibiliti de eficientizare a respectivelor activiti. Delimitri privind informaia economic Informaia economic reprezint o comunicare, o tire sau un mesaj ce conine elemente noi de cunoatere a unor stri, a unor situaii sau a condiiilor de manifestare a anumitor fenomene sau procese economice din trecut, prezent sau viitor. Informaiile reprezint elemente noi n raport cu alte cunotine prealabile. (Mati, 2003: 8) Analiza definiiei informaiei, redat mai sus, conduce la urmtoarele concluzii principale: din punct de vedere economic, are relevan numai informaia care prezint interes pentru altcineva dect subiectul care a elaborat-o; numai n acest caz se poate vorbi despre nevoi i resurse de informaie i despre motivaii care determin furnizarea, respectiv procurarea de informaii; faptul c informaia este o reprezentare de natur simbolic face ca utilitatea ei, n sens economic, s fie determinat de modul de aranjare a simbolurilor care i dau expresie; caracterul de noutate este indispensabil pentru a putea vorbi despre informaie; noutatea trebuie perceput ca atare de fiecare primitor de informaie. n cadrul sistemului informaional, informaia economic deine un loc de prim rang. Prin esena ei, informaia economic are un rol deosebit de important n funcionarea sistemului economic, intervenind n procesele de producie i de comercializare, n gestionarea resurselor, n cunoaterea tiinific a realitii economice. Funcionarea unei entiti a crei obiectiv este obinerea unui bun economic destinat satisfacerii unei nevoi, n condiii de eficien economic, exprimat prin mrimea profitului, are loc pe baza unor perturbri ce se manifest att la nivelul fluxurilor materiale, tehnologice i informaionale, ct i la nivelul sistemului de management al organizaiei economice. n astfel de condiii, alturi de resursele economice clasice, rolul resursei informaionale n atingerea obiectivelor strategice, precum i n asigurarea competitivitii firmei devine esenial, iar organizarea i utilizarea informaiei pe toate palierele decizionale devine mai important dect utilizarea n sine a calculatorului electronic.

Unitatea de curs 3: Entitatea economic abordare sistemic Un sistem reprezint orice instan din viaa real pentru care se identific un ansamblu de componente (fenomene, obiecte, procese, noiuni, concepte, entiti sau colectiviti) aflate att n 12

relaii reciproce, ct i cu mediul nconjurtor i care acioneaz n comun pentru atingerea unor obiective bine stabilite (Oprea, 2005). O alt abordare consider sistemul ca fiind ... un set de elemente difereniate conectate sau interrelaionate nct s ndeplineasc o funcie unic care nu poate fi realizat de elementele privite n mod individual (Rechtin, 1991: 7) Sistemele sunt universal prezente n cosmos, n realitatea fizico-biologic i n viaa social. Oprea (2005: 34) consider organizaiile ca fiind formaii sociale constituite din oameni implicai n vederea ndeplinirii anumitor funcii predeterminate. Orice organizaie este un sistem, fr ca orice sistem social s fie propriu-zis o organizaie. n pofida numeroaselor caracteristici generale, sistemele nu sunt identice ntre ele. Dei sunt formate dintr-o mulime de elemente aflate n interaciune i se comport unitar i integral n relaiile lor cu mediul, sistemele se deosebesc foarte mult ntre ele.

Entitatea economic - abordare sistemic Pornind de la definiiile anterioare ale conceptului de informaie putem preciza c sistemul informaional economic poate fi definit ca un ansamblu de oameni, de mijloace i procedee folosit pentru culegerea, pstrarea, prelucrarea, transmiterea, analiza i valorificarea informaiilor economice. Avnd n vedere particularitile constructive ale unei entiti economice putem afirma ca aceasta se circumscrie caracteristicilor unui sistem, deoarece: 1 prezint o structur proprie constnd dintr-o mulime de elemente (departamente, secii, servicii, activiti etc); 2 ntre elementele constitutive exist o serie de fluxuri (materiale, financiare, informaionale, umane etc.) care implic resursele entitii; 3 elementele disponibile i fluxurile existente urmresc realizarea unui anumit obiectiv. (Mati & Cardo, 2007: 33)

Pornind de la abordarea sistemic a unei entiti economice putem particulariza tipologia acestuia n funcie de criteriile menionate n subcapitolul anterior. Astfel: entitatea economic este un sistem deschis, adaptativ, innd seama de faptul c este o component a unor sisteme mai mari, cu care are legturi armonizate prin procesul de conducere. n acelai timp, entitatea economic are i un grad propriu de autonomie, o funcionare de sine stttoare. Entitatea economic poate fi neleas numai 13

privind-o ca sistem deschis, ale crui procese interne se afl n interrelaie cu mediul. Entitatea economic ca un sistem complet nchis probabil nu va exista niciodat, deoarece componentele sale sunt totdeauna influenate de fore din afara sistemului. Aceasta nseamn c entitatea economic trebuie analizat contextual i, n acest sens, putem vorbi de grade de permeabilitate" la influenele din mediu, dar nu de un sistem nchis. Importana sistemelor informaionale economice a crescut pe msur ce datele au devenit resurs cheie pentru orice organizaie, alturi de resursele umane i materiale. Decidenii au neles c informaia nu mai este un rezultat n sine, ci mai degrab, materia prim a unei afaceri i poate fi considerat factor hotrtor n determinarea succesului sau eecului acesteia (Oprea, 2005: 24) Exist o strns legtur ntre sistemele fizice, existente la nivelul unei firme, i sistemul informaional, considerat sistem logic, din urmtoarele considerente: sistemul fizic (real) este alctuit din bunurile corporale prin intermediul crora se desfoar activitile oricrei organizaii (firm, instituie guvernamental, banc, instituie de nvmnt etc.). Componentele sistemului fizic sunt cldirile, angajaii, echipamentele, resursele materiale, banii, toate folosite pentru atingerea unor obiective, cum ar fi: obinerea profitului, recuperarea investiiilor, ctigarea unui segment de pia, creterea cotaiei aciunilor pe piaa bursier etc.; sistemul logic (reglat) informaional (n.a.) reprezint mijloacele prin care se pot reda, din punct de vedere logic componentele sistemului fizic. (McLeod & Jordan, 2002: 29-30)

ntre sistemul fizic, real, al unei entiti, fie i economice i sistemul informaional care exist o legtur inseparabil, cel puin din urmtoarele motive: pentru ca efectul legturilor dintre sistemul informaional i sistemul su de baz s fie pozitiv i ct mai nalt este necesar s se asigure o deplin concordan ntre acestea; activitile sistemului informaional sunt importante att pentru ansamblul sistemului ct i pentru elementele sale de structur; necesitile de perfecionare i dezvoltare sunt valabile att pentru sistemul de baz ct i pentru sistemul informaional aferent. Nu se poate concepe o etap de dezvoltare sau de perfecionare a activitii economice dintr-o firm fr o dezvoltare i perfecionare a sistemului informaional decizional din cadrul acesteia. Entitatea economic sistem cibernetic

14

Lucr rile n domeniul sistemicii au condus la definirea unui model care promoveaz viziunea sistemic asupra entitii pe care o consider format din urmtoarele trei subsisteme: Subsistemul managerial sau decizional este sediul activitii decizionale a entitii. Activitatea decizional este, de fapt, asigurat de ctre toi actorii, la diferite nivele, de la cei ce-i desfoar activitatea n sistemul operaional, pn la conducerea de vrf. Acest sistem primete informaii despre sistemul operaional i acioneaz prin decizii asupra acestuia. Subsistemul informa ional joac un dublu rol: pe de o parte asigur toate informa iile necesare lurii deciziilor pe toate nivelurile de responsabilitate, conducere i control iar pe de alt parte asigur cile de comunicare ntre celelalte subsisteme, deoarece deciziile formulate de subsistemul de conducere sunt transmise factorilor de execuie prin subsistemul informaional (flux descendent). Subsistemul condus sau operaional (n cadrul cruia se desfoar procesele economice specifice domeniului de activitate a agentului economic) are loc culegerea datelor care apoi sunt transmise subsistemului informaional (flux ascendent) n vederea stocrii i prelucrrii datelor necesare obinerii informaiilor utilizate n fundamentarea deciziilor la nivelul subsistemului decizional (de conducere). Figura 1. Abordarea sistemic a entitii

(Sursa: Oprea, 2005: 32) Avnd n vedere definirea unui sistem cibernetic caracterizat prin existena a cel puin dou subsisteme ntre care exist autoreglarea prin conexiune invers i analiznd acest lucru pentru sistem un economic putem constata c acesta are caracter cibernetic. Figura 2. Viziunea cibernetic a entitii Mediul economic Furnizori Entitatea economic Sistem informaional Intrri Prelucrri 15 Feedback (conexiune invers) Ieiri Clieni

(Sursa: Laudon & Laudon, 2006: 90) Caracterul de sistem cibernetic este ntrit de faptul c sistemul are propriile obiective, metode, tehnici i resurse specifice. La nivelul sistemului economic putem identifica cel puin dou subsisteme interdependente, care asigur stabilitatea ntregului sistem: subsistemul managerial (de conducere) i subsistemul operaional (condus). Legtura dintre aceste dou subsisteme este realizat prin intermediul (sub)sistemului informaional care are menirea de a asigura procesul informaional al sistemului economic. n cadrul (sub)sistemului informaional se deruleaz fazele formrii informaiei economice: culegerea datelor rezultate din procesul direct productiv al sistemului economic, transmiterea datelor pentru prelucrarea propriu-zis (indiferent de mijloacele tehnice), formarea informaiei economice i arhivarea acesteia. (Sub)sistemului informaional este influenat i condus prin decizii proprii transmise pe canalul conexiunii inverse. Aceste decizii au rolul de a asigura funcionarea (sub)sistemului informaional la parametrii prestabilii. Totodat, aceste decizii au i rolul de a adapta i de a perfeciona continuu procesul informaional astfel nct acesta s corespund ntru-totul modificrilor sistemului economic pe care l deservete. O parte din fazele procesului informaional (de exemplu culegerea datelor din evidena primar) se realizeaz n nsi subsistemul operaional (condus) al sistemului economic. Putem aprecia c subsistemul n care are loc procesul informaional mpreun cu o parte din subsistemul operaional formeaz subsistemul condus al sistemului cibernetic informaional. Rolul principal al subsistemului condus const n asigurarea cu informaii pentru conducerea ntregului sistem economic precum i pentru funcionarea sistemului informaional i meninerea acestuia n cadrul unor limite prestabilite.

Rezumatul modulului Informaia este o reprezentare simbolic asupra unor entiti din realitate, avnd caracter de noutate pentru subiecii receptori" ea fiind generat prin procese de cunoatere de natura observrii directe sau a interpretrii semantice de mesaje".( Dicionar de Economie, 2001: 233). Informaia prezint ntr-o entitate patru roluri principale: (1) msur a succesului; (2) semnal de alarm; (3) baz pentru fundamentarea deciziilor; (4) baz pentru planificare. Utilizarea informaiilor

16

are n vedere urmtoarele trei tipuri de obiective: (1) suport pentru luarea deciziilor; (2) ndeplinirea unor obligaii legale; (3) asigurarea comunicrii. Sistemul informaional economic poate fi definit ca un ansamblu de oameni, de mijloace i procedee folosit pentru culegerea, pstrarea, prelucrarea, transmiterea, analiza i valorificarea informaiilor economice. Avnd n vedere definirea unui sistem cibernetic caracterizat prin existena a cel puin dou subsisteme ntre care exist autoreglarea prin conexiune invers i analiznd acest lucru pentru sistem un economic putem constata c acesta are caracter cibernetic. Viziunea sistemic asupra entitii este format din urmtoarele trei subsisteme: Subsistemul managerial sau decizional este sediul activitii decizionale a entitii. Subsistemul informa ional joac un dublu rol: pe de o parte asigur toate informa iile necesare lurii deciziilor iar pe de alt parte asigur cile de comunicare ntre celelalte subsisteme Subsistemul condus sau operaional (n cadrul cruia se desfoar procesele economice specifice domeniului de activitate a agentului economic). Sarcini i teme n vederea eficientizrii activitii masteranzilor precum i pentru facilitarea nvrii cursanii vor realiza o inventariere a componentelor unui sistem informaional al unei entiti dup un model care va fi pus la dispoziie electronic sau n cadrul primei activiti tutoriale. Aceast activitate va fi luat n considerare la stabilirea notei finale.

17

Bibliografie modul Anghelescu C., Apostol Gh., Avram I., (2001), Dicionar de economie, Editura Economic, Bucureti Feleg N. & Ionacu I., (1998), Tratat de contabilitate financiar vol. I, Editura Economic, Bucureti Kirkegaard, H. 1997. Improving Accounting Reliability: Solvency, Insolvency and Future Cash Flows, Quorum Books, Westport, Connecticut, USA Laudon K.C. & Laudon L.P. (2006) Management Information systems managing the digital firm, 9th edition, Ed. Prentice Hall Mati D., 2000, Caliti i limite ale informaiilor contabile, Studia Universitatis Babe-Bolyai, Oeconomica, nr. 1, pag. 3140 Mati D. & Cardo V., 2007, Particularitile evalurii riscurilor n activitatea de audit al sistemelor informatice n scopul raportrilor financiare, Revista de Audit, CAFR, nr. 10:32-39 McLeod Jr. & Jordan E., (2002), System Development. A project Management Approach, John Wiley&Sons, New York Oprea D. (2005), Analiza sistemelor informaionale, Edidura Universitii Alexandru Ioan Cuza, Iai Popa I, (2005), Management general, Editura ASE, Bucureti Rahman M. & Halladay M. (2007), Accounting information Systems-Principles, Applications, and Future Directions, disponibil online la adresa: http://www.kglobal.org/path04/ Chapter_1.pdf) Rechtin E., (1991), Systems Architecting: Creating and building complex systems, Englewood Cliffs, NJ: Prentice Hall ugui Al., (2003), Produse informatice generalizate pentru contabilitate, Editura CECCAR, Bucureti Zu K., (2005), Information Transparency hypothesis: Economic Implications of Information Transparency in Electronic Markets, Advances in Economics of Information systems, Idea Group Publishing

18

19

MODULUL II: Aspecte generale privind auditul sistemelor informaionale


Scopul i obiectivele modulului

Scopul eacestui modul este de a sublinia importana auditulul sistemelor informaionale i de a oferi o imagine asupra diverselor valene ale acestei activiti. Masteranzii vor putea s fac distincie ntre auditul sistemelor informaionale i auditul informatic precum i s contientizeze modul n care rezultatele unui asemenea audit pot fi valorificate Obiectivele acestui modul sunt: 1. nelegerea necesitii i importanei auditului sistemelor informaionale; 2. Cunoterea sferei de cuprindere a auditului sistemelor informaionale; 3. Cunoaterea aspectelor definitorii privind auditul aplicaiilor informatice; 4. nelegerea disticiei dintre auditul sistemelor informaionale i auditul aplicaiilor informatice; 5. nelegerea modalitilor de valorificare a rezultatelor unui audit al sistemelor informaionale.

Unitatea de curs 1: Necesitatea auditului sistemelor informaionale Evoluia tehnologiilor implic revoluionarea modelelor de structurare a organizaiilor care implic printre altele: externalizarea serviciilor sau a unor procese care necesit un nivel ridicat de pregtire i cunotine, descentralizarea activitilor i reducerea gradului de utilizare a resurselor clasice ca urmare a creterii n importan a noilor resurse cum ar fi informaiile i cunotinele. Reelele informatice nchise au evoluat n reele virtuale care au la baz Internetul, aplicaiile singulare au fost ncorporate n soluii integrate de genul ERP (Enterprise Resource Planning) i operaiunile zilnice nu se mai deruleaz la nivel local ci includ aplicaii care au la baz tehnologii electronice i mobile. Aceste evoluii i tendine au ca i factor comun producerea, transmiterea i utilizarea informaiei. Informaia nu trebuie privit izolat, ca un factor singular, ci n cadrul unui sistem coerent i dinamic din care mai fac parte datele i cunoaterea. n form grafic aceste elemente pot fi reprezentate sub forma unei piramide care are la baz data, la mijloc informaia, iar la nivelul superior cunoaterea. Pornind de la aceast structur ierarhic, datele sunt definite ca fiind faptele, fenomenele brute, neprelucrate,

20

informaiile reprezint date aflate ntr-o form organizat sau modele ce deriv din date (Munteanu, 2001). Pentru realizarea proceselor de cunoatere i de gestiune a poziiei financiare i performanelor ntreprinderii datele i informaiile sunt organizate ntr-un sistem informaional care are la baz tehnologia informaional. n acest scop se identific evenimentele i faptele ce genereaz informaii, se delimiteaz obiectivele cunoaterii i conducerii, se stabilesc purttorii materiali de informaii i modul n care se culeg, se nregistreaz datele, se aleg metodele de prelucrare, se definesc destinaiile informaiilor i se organizeaz transmiterea lor la destinatar. ntr-o lume n care mediul de afaceri i tehnologiile informaionale sunt ntr-o continu micare i dezvoltare, locul i rolul auditorului se schimb pentru a ine pasul cu aceste tendine. n acest context, auditul sistemelor informaionale a devenit o necesitate, o prioritate, pentru c trebuie s asigure: conformitatea informaiilor, prin care se probeaz c realitatea este conform cu legislaia i cu standardele din domeniu, credibilitatea situaiilor financiare prin creterea eficienei activitilor desfurate n cadrul organizaiei, pe baza deciziilor i msurilor care duc la atingerea obiectivelor.

Unitatea de curs 2: Auditul sistemelor informaionale Sistemul informaional modern modific parcursul clasic al datelor prelucrate de la documentele primare la situaii i rapoarte tiprite pe hrtie, nlocuindu-l cu proceduri automate de introducere a datelor cu ajutorul formularelor electronice i cu afiarea situaiilor de sintez pe dispozitive electronice. Actualizarea bazelor de date n timp real, n regim de acces concurenial ne oblig la verificarea i controlul sincronizrii procedurilor de calcul i afiare. nainte de a se contura ca o disciplin de sine-stttoare auditul sistemelor informaionale a parcurs mai multe etape strns legate de stadiul evoluiei tehnologiilor informaionale folosite n entitile economice i modul n care aceste tehnologii au influenat formele de control. Aceste etape au fost (Piattini, 2000:11): auditul n jurul calculatorului: a fost metoda folosit la nceputurile utilizrii tehnologiilor informaionale pentru procesarea datelor. n aceast faz predomin nc controalele manuale la care fac apel auditorii care considerau calculatoarele ca fiind adevrate cutii negre. Auditorul nu face apel la controalele automate pentru reducerea riscurilor estimate ci se bazeaz pe

21

formele de control clasice reproducnd practic prelucrrile fcute de calculatoare (Arens&Loebbecke, 2003); auditarea calculatorului: s-a dezvoltat cnd cantitatea de date prelucrate i tehnologiile folosite pentru acest lucru au crescut n complexitate. Acest lucru a pretins din partea auditorului o serie de cunotine pe care puini le deineau. Ca urmare acetia au apelat la specialiti pentru a se asigura c sistemul de control care exista la nivelul sistemului informaional permitea auditorului o asigurare rezonabil asupra modului de procesare al informaiilor; auditarea prin computer: este momentul n care auditul sistemelor informaionale devine o profesie i ulterior o disciplin academic. n acest moment auditul sistemelor informaionale depete sfera auditului clasic, fie el intern sau extern, ca urmare a dezvoltrii sistemelor informaionale iar entitile economice aveau nevoie de servicii de consultan care s certifice eficiena acestor sisteme; auditarea cu ajutorul calculatorului: a fost favorizat de faptul c auditorii apelau din ce n ce mai des la computere pentru extragerea datelor din sistemul informaional, eantionare, realizarea testelor etc.; auditarea interiorului calculatorului: s-a dezvoltat ca urmare a faptului c din ce n ce mai multe echipamente i aplicaii aveau ncorporate n ele controale i proceduri de securitate care anterior au fost realizate prin procedee manuale sau alternative. Auditul sistemelor informaionale reprezint procesul prin care se colecteaz i evalueaz dovezi cu scopul de a determina dac protecia fizic a activelor sistemului i msurile prin care se asigur integritatea datelor, contribuie la utilizarea eficace a resurselor i ajut la atingerea obiectivelor organizaiei (ISACA, 2008). Munteanu (2001:40) consider c activele unui sistem informaional modern includ: hardware-ul, software-ul, personalul, fiierele cu date, documentaia sistemului i facilitile oferite. Ca oricare alte active din cadrul entitii i acestea trebuie protejate prin intermediul unui sistem de control. Eden&Stanciu (2004:15) consider c auditul sistemelor informatice (informaionale n.a.) este activitatea prin care auditorul n urma colectrii i evalurii unor probe specifice de audit, i exprim opinia asupra modului n care sistemul informatic (informaional n.a.) permite atingerea obiectivelor strategice ale entitii n condiiile utilizrii eficiente a tuturor resurselor informatice (informaionale n.a.) Auditul sistemelor informaionale a evoluat progresiv odat cu utilizarea la o scar din ce n ce mai mare a tehnologiilor informaionale, dar mai ales odat cu utilizarea unor tehnologii din ce n ce mai 22

complexe. Dac la origini auditul sistemelor informaionale s-a numit auditul procesrilor automate a datelor, etap care corespundea utilizrii n cadrul entitilor economice a unor calculatoare izolate care realizau operaiuni de preluare a datelor de pe suporturi tradiionale, prelucrarea acestora i furnizarea unor rapoarte, ulterior, ca urmare a apariiei reelelor de calculatoare, care permiteau procesarea unor date variate, a avut loc mutaia denumirii acestei activiti n forma sa actual. Clarificarea locului i rolului auditului sistemelor informaionale n cadrul auditului intern i al auditului extern (financiar) a depins de doi factori eseniali: n primul rnd creterea complexitii sistemelor informaionale nu le mai permitea auditorilor tradiionali, fie ei interni sau externi, luxul de a audita n jurul calculatorului, iar n al doilea rnd nevoia de informaii actuale, obinute ntrun timp ct mai scurt ale managerilor, n special, dar i al celorlali utilizatori a dus la o focalizare a ateniei acordat riscurilor pe care acest demers le presupunea. Aflat la grania dintre auditul sistemelor informatice i auditul tradiional, realizarea unei misiuni de audit al sistemelor informaionale presupune cunotine din domenii variate cum ar fi: contabilitate, audit, informatic, managementul sistemelor informaionale etc. Auditul sistemelor informaionale acoper mai multe segmente de activiti: verificarea managementului sistemului informatic, verificarea i controlul aplicaiilor, controlul securitii fizice, al accesului comunicaiilor n cadrul reelei (Eden & Stanciu, 2004). Desigur pentru fiecare segment de activitate supus auditrii din perspectiva sistemelor informaionale putem vorbi de o multitudine de tipuri de audit, dintre care amintim (Ivan et al., 2004): a) auditul sistemului operaional de calcul, care vizeaz controlul configuraiilor de calcul, al reelelor, sistemelor de operare, software aplicativ, baze de date, controale logice/procedurale, controale preventive i corective; b) auditul instalaiilor IT, care vizeaz securitatea fizic, controalele mediului de lucru i echipamentele IT; c) auditul procesului IT, care se refer la revizia proceselor legate de dezvoltare a aplicaiilor IT, testarea, implementarea, meninerea in funciune, gestionarea incidentelor; d) auditul controlului i securitii informaiilor, care vizeaz revizia controalelor referitoare la confidenialitatea, integralitatea i disponibilitatea sistemelor i datelor; e) auditul conformitii cu legalitatea, ncepnd cu licenele software, copyright, respectarea legislaiei, protecia datelor personale; f) auditul continuitii, care vizeaz refacerea dup dezastre, msurile de restaurare, evaluarea modului de abordare a managementului riscurilor. 23

Toat aceast tipologie enumerat mai sus are ca numitor comun derularea unor activiti de colectare i evaluare a unor probe specifice care s permit formarea unei opinii asupra modului in care sistemul informaional permite atingerea obiectivelor strategice ale organizaiei n condiiile utilizrii eficiente a tuturor resurselor informatice. Aceste activiti presupun parcurgerea urmtoarelor faze (Eden & Stanciu, 2004): - stabilirea tipului de audit i obiectivul su specific; - planificarea; - culegerea probelor, verificarea lor; - evaluarea rezultatelor; - ntocmirea raportului de audit. n cadrul auditului sistemelor informaionale o atenie deosebit se acord auditului aplicaiilor informatice deoarece aceste pot fi o surs major de risc ca urmare a utilizrii defectuoase, a slabei pregtiri ale personalului sau a utilizrii acestora pe echipamente inadecvate sau neprotejate. Ca urmare a acestor constatri n continuare vom aduce n centrul ateniei problematica auditului aplicaiilor informatice.

Unitatea de curs 3: Auditul aplicaiilor informatice Aplicaiile informatice sunt construcii complexe care includ aplicaii i seturi de date organizate n fiiere, baze de date sau alte structuri a cror dinamic i coninut amelioreaz duratele tranzaciilor. Aplicaia informatic soluioneaz probleme ce aparin unei clase riguros definit (Ivan et al., 2004). "Auditul sistemelor informatice (informaionale n.a.) reprezint activitatea de colectare i evaluare a unor probe pentru a determina dac sistemul informatic (informaional n.a.) este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informaionale." (Brnda, 2004) Elaborarea i implementarea de aplicaii informatice creeaz premisele reale pentru dezvoltarea de sisteme informatice pentru management deoarece prin agregarea de aplicaii informatice ale companiei se obin subsisteme informatice de management; prin agregarea de subsisteme de management se obine sistemul informatic n integralitatea sa; sistemul este integrat datorit faptului c abordeaz totalitatea aspectelor ce se manifest la nivelul companiei;

24

Auditarea aplicaiei informatice se realizeaz prin efectuarea de teste, prin analiza structurii, a modulelor, a interaciunilor dintre module i prin analiza procesului care st la baza ciclului de dezvoltare. Se verific nivelul concordanei dintre cerinele formulate de beneficiar i reflectarea acestora la nivelul specificaiilor. Se stabilete concordana dintre structura proiectului i structura sistemului aa cum rezult din specificaii. Este important s se defineasc fluxurile care se parcurg la nivelul aplicaiei informatice astfel nct testele s acopere totalitatea elementelor definite prin specificaii. Testele se efectueaz pentru a marca msura n care componentele aplicaiei informatice (date de intrare, module program, date de ieire) satisfac specificaiile i de a stabili care sunt diferenele ntre ceea ce se atepta s se obin prin utilizarea aplicaia i ceea ce s-a obinut n mod concret. Testele utilizeaz module program, structuri de date, exigenele de acceptare, seturi de date de test i documentaia care alctuiete ghidul utilizatorului. Procesul de testare are la baz un plan care include: definirea obiectivului testrii, etapele prin care se efectueaz testarea, intrrile i ieirile testrii. n planul de testare sunt evideniate distinct, ca teste de acceptare, procesele de la nivelul unitilor, de la nivelul ntregii aplicaii i de la nivelul interaciunii dintre aplicaia informatic i utilizator. Planului de testare pentru aplicaia informatic i corespunde un program de testare n care obiectivele i etapele iau forme concrete prin enumerarea de componente ale aplicaiei, prin persoane care deruleaz activitile de testare, prin precizarea obiectivelor urmrite n fiecare caz n parte. Auditul aplicaiei informatice traverseaz etapele oricrui proces de auditare. Orice proces de audit este derulat dac i numai dac este fezabil. Fiecare aplicaie informatic este nsoit de o documentaie cadru care definete condiiile de elaborare, sarcinile elaboratorului i cele ale beneficiarului. De asemenea echipa de audit analizeaz i documentele relevante de ordin tehnic prin care se evideniaz modul n care au fost parcurse etapele ciclului de dezvoltare. Etapele de derulare a auditului privesc interaciuni ale echipei de auditori cu cei care au dezvoltat aplicaia n aa fel nct, printr-o abordare gradat, s se obin toate datele necesare stabilirii concordanei dintre ceea ce se solicit prin specificaii i ceea ce exist n realitate: programe, fiiere, baze de date i structuri de rezultate finale. Raportul de audit trebuie s consemneze toate diferenele. El nu soluioneaz problemele, dar creeaz bazele corecte ale derulrii proceselor de eliminare a erorilor i de cretere a nivelurilor unor caracteristici de calitate. 25

Unitatea de curs 4: Valorificarea rezultatelor auditului Rezultatele auditului sunt transpuse la nivelul organizaiei prin implementarea msurilor de mbuntire a securitii tehnologiei informaiei i comunicaiilor care vizeaz: modului de organizare a structurilor interne, securitatea fizic a datelor, accesul personalului, controlul accesului i altele, conform (Ivan et al., 2004). Organizare Fiecare utilizator al sistemului informatic este responsabil cu asigurarea securitii datelor pe care le manipuleaz. Existena unei structuri organizatorice unitare care s iniieze i s controleze implementarea mecanismelor de securitate n cadrul organizaiei, presupune un punct central de coordonare responsabilul cu securitatea. Rolul si atribuiile sale se refer la coordonarea si urmrirea respectrii procedurilor i politicilor de securitate. Msurile de protecie sunt proiectate n funcie de gradul de senzitivitate si de semnificaia economic a resurselor vizate. Perimetrele n care sunt amplasate echipamentele de procesare, vor fi protejate cu bariere de acces suplimentare. Msuri de securitatea fizic Delimitarea zonelor securizate are ca obiectiv prevenirea accesului neautorizat sau afectarea facilitailor oferite de sistemul informaional. Aceasta seciune vizeaz mecanismele prin care se asigura securitatea fizica a imobilului n care organiza ia i desfoar activitatea. Alt aspect important al securitii fizice este cel legat de protecia echipamentelor, prin prevenirea pierderii, distrugerii sau compromiterii funcionarii echipamentelor care pot afecta funcionarea organizaiei. Msuri de securitatea personalului Cele mai multe incidente de securitate sunt generate de personal din interiorul organizaiei, prin aciuni ru intenionate sau chiar erori sau neglijena n utilizarea resurselor informaionale. Securitatea

informaiilor este un aspect ce trebuie avut n vedere nc din etapa de selecie a angajailor. Angajaii trebuie monitorizai pe ntreaga perioada de valabilitate a contractului de munc i trebuie s aib cunotin de prevederile politicilor de securitate. Clauzele de confidenialitate, definirea conflictelor de interese, distribuirea si divulgarea informaiilor trebuie avute n vedere pentru fiecare post n parte. Utilizatorii trebuie instruii cu privire la procedurile de securitate ce trebuie urmate si utilizarea facilitilor IT n conformitate cu politica organizaiei. Ar trebui s existe un program coerent de instruire a angajailor pe diverse niveluri de interes, pe lng o instruire general n gestiunea securitii fiind necesare si specializri pentru administratorii sistemului informatic n tehnologii de securitate specifice.

26

Msuri pentru controlul accesului Confidenialitatea vizeaz protejarea informaiilor mpotriva oricrui acces neautorizat. Este important pentru o organizaie s-i apere proprietatea intelectual, reetele de producie, aprovizionare, desfacere, datele despre personalul angajat etc. Pentru o instituie public, datorit caracterului informaiei pe care o gestioneaz este important s asigure n primul rnd integritatea si disponibilitatea datelor. Controlul accesului ncepe cu stabilirea cerinelor de acordare a drepturilor de utilizare a informaiilor. Accesul la facilitile si serviciile oferite de sistemul informatic trebuie controlat n funcie de specificul si cerinele mediului n care i desfoar activitatea organizaia. Pentru a rspunde acestor cerine sunt n general definite o serie de reguli de acces corelate cu atribuiile fiecrui utilizator al sistemului informatic. Meninerea acestor reguli n linie cu cerinele organizaiei implic un proces de gestiune a accesului utilizatorilor sistemului. Msuri de control pentru fiecare nivel al sistemului informatic: Controlul accesului la serviciile reelei - conexiunile la serviciile reelei trebuie controlate iar pentru obinerea accesului la astfel de servicii este recomandat implementarea unei proceduri formale. Controlul accesului la nivelul sistemului de operare sistemul de operare trebuie sa prevad msuri de restricionare a accesului la date existente pe calculatore. Controlul accesului la aplicaii - prevenirea accesului neautorizat la informaiile gestionate de aplicaiile software. Orict de elaborate ar fi msurile de control al accesului exista totdeauna posibilitatea unei intruziuni, sau utilizarea inadecvata a resurselor existente.

Rezumatul modului ntr-o lume n care mediul de afaceri i tehnologiile informaionale sunt ntr-o continu micare i dezvoltare, locul i rolul auditorului se schimb pentru a ine pasul cu aceste tendine. n acest context, auditul sistemelor informaionale a devenit o necesitate, o prioritate, pentru c trebuie s asigure: conformitatea informaiilor, prin care se probeaz c realitatea este conform cu legislaia i cu standardele din domeniu, credibilitatea situaiilor financiare prin creterea eficienei activitilor desfurate n cadrul organizaiei, pe baza deciziilor i msurilor care duc la atingerea obiectivelor. Auditul sistemelor informaionale reprezint procesul prin care se colecteaz i evalueaz dovezi cu scopul de a determina dac protecia fizic a activelor sistemului i msurile prin care se asigur integritatea datelor, contribuie la utilizarea eficace a resurselor i ajut la atingerea obiectivelor organizaiei (ISACA, 2008). 27

Auditarea aplicaiei informatice se realizeaz prin efectuarea de teste, prin analiza structurii, a modulelor, a interaciunilor dintre module i prin analiza procesului care st la baza ciclului de dezvoltare. Se verific nivelul concordanei dintre cerinele formulate de beneficiar i reflectarea acestora la nivelul specificaiilor. Se stabilete concordana dintre structura proiectului i structura sistemului aa cum rezult din specificaii. Rezultatele auditului sunt transpuse la nivelul organizaiei prin implementarea msurilor de mbuntire a securitii tehnologiei informaiei i comunicaiilor care vizeaz: modului de organizare a structurilor interne, securitatea fizic a datelor, accesul personalului, controlul accesului etc.. Sarcini i teme n vederea eficientizrii activitii masteranzilor precum i pentru facilitarea nvrii cursanii vor realiza o inventariere a activelor informaionale ale unei entiti dup un model care va fi pus la dispoziie electronic sau n cadrul primei activiti tutoriale. Aceast activitate va fi luat n considerare la stabilirea notei finale. Bibliografie modul Arens A. & Loebbecke J., 2003, Audit o abordare integrat, ediia a 8-a, Ed. ARC
Brnda C., 2004, Auditul sistemelor informaionale de gestiune, Universitatea de Vest, Timioara

Eden A. & Stanciu V., 2004, Auditul sistemelor informatice, Editura Dual Tech, Bucureti Information Systems Audit and Control Association, 2008, Standards for IT Audit and Assurance Ivan et al., 2005, Auditul sistemelor informatice, Ed. ASE, 2005 Munteanu A., 2001, Auditul sistemelor informaionale contabile, Editura Polirom, Iai Peltier T., 2005, Information Security Risk Analysis Second Edition, CRC Press, Taylor & Francis Group, Boca Raton, Florida Piattini M., 2000, Auditing Information Systems, Idea Group Publishing, Hershey SUA

28

MODULUL III: Auditul sistemelor informaionale i auditului intern

Scopul i obiectivele modulului Scopul modulului este de a famirializa masteranzii cu particularitile riscurilor generate de sistemul informaional al entitii din perspectiva unei misiuni de audit intern. De asemenea se urmrete nelegerea diferitelor metode sau tehnici de evaluare a riscurilor precum i a posibilitilor de gestionare a acestora. Obiectivele modulului sunt: 1. nelegerea conceptului de risc i a impactului pe care riscurile le au asupra activitii unei entiti economice; 2. nelegerea locului i rolului auditului sistemelor informaionale din perspectiva unei misiuni de audit intern; 3. Cunoaterea etapelor de lucru privind identificarea i cuantificarea riscurilor; 4. nsuirea modalitilor de gestionare a riscurilor: acceptare, eliminare etc.

Unitatea de curs 1: O abordare bazat pe riscuri ntr-un mediu al auditului intern n care tranzaciile sunt procesate prin aplicaii informatice dispersate i eterogene identificarea i cuantificarea nregistrrilor ocazionale eronate pe baza eantioanelor statistice se poate aplica cu dificultate ca urmare a modului de realizare a sistemului informaional i a controalelor automate pe care aceste le are sau ar trebui s la aib ncorporate. n schimb urmrirea erorilor sistematice generate de aplicaiile informatice i nivelul riscului de control aferent sistemului informaional sunt mai relevante pentru determinarea naturii, duratei i costului unei misiuni de audit. Ca urmare a acestui fapt la nivel internaional se constat o mutaie de la aplicarea testelor de conformitate la o abordare bazat pe risc. Obiectivul principal al implementrii unei abordri bazate pe risc este mbuntirea activitii de audit intern i creterea profitabilitii entitii prin utilizarea eficient a resurselor de care aceasta dispune. Auditarea orientat spre riscuri este astfel conceput nct s utilizeze resursele disponibile n zonele de risc maxim ceea ce faciliteaz o evaluare eficient a riscurilor i un mediu de control mai eficient. Acest lucru necesit i ntrete cooperarea dintre auditori i management. ntr-un audit centrat spre risc auditorii sistemelor informaionale se bazeaz pe controalele interne i pe cunoaterea entitii.

29

Prin nelegerea naturii activitilor entitii auditorul sistemului informaional poate s identifice i s grupeze tipurile de riscuri necesare pentru a determina modelul de risc folosit ulterior n realizarea auditului. Evaluarea riscurilor n acest caz se poate realiza fie prin acordarea unor ponderi/coeficieni pentru fiecare tip de risc asociat cu activul sau activele entitii, fie prin acordarea unor ponderi complexe formate din produsul dintre natura activelor i importana riscurilor la care acesta poate fi expus. Auditorul sistemului informaional este de asemenea interesat de elementele sistemului care au ncorporate proceduri de control automate, deoarece acestea pot fi o surs major de risc dac procedurile automate nu au fost implementate corespunztor. De asemenea o atenie deosebit este acordat elementelor sistemului informaional care ndeplinesc funcii critice n entitate deoarece acestea pot fi o surs de risc de nedetectare.

Unitatea de curs 2: Auditul sistemelor informaionale i misiunile de audit intern The Institute of Internal Auditors (IIA, 2008) definete auditul intern ca fiind o activitate independent de asigurare obiectiv i de consiliere, destinat s adauge valoare i s antreneze mbuntirea activitilor organizaiei, pe care o susine n ndeplinirea obiectivelor sale. Ajut organizaia n ndeplinirea obiectivelor sale printr-o abordare sistematic i disciplinat n cadrul evalurii i mbuntirii eficacitii proceselor de management al riscurilor, control i guvernare. Auditul intern acoper toate activitile unei entiti deseori depind limitele entitii sau limitele geografice. Auditul intern se bazeaz pe evaluarea riscurilor i are n vedere managementul riscurilor i procesele de control intern pentru identificarea i minimizarea impactului riscurilor cu care se confrunt entitatea. Principalul rol al auditului intern este de a oferi o asigurare obiectiv asupra faptului c managementul riscurilor funcioneaz optim, eficient i efectiv. Activitatea de audit intern contribuie la realizarea managementului riscurilor n dou moduri: n primul rnd ofer o asigurare obiectiv conducerii privind funcionarea efectiv a managementul riscurilor ceea ce presupune c riscurile sunt gestionate corespunztor, iar n al doilea rnd, prin implicarea auditului intern n activiti consultative se ntresc procesele managementului riscurilor n entitate. Extinderea utilizrii tehnologiilor informaionale n toate zonele i activitile unei entiti atrage dup sine reducerea numrului i importanei controalelor tradiionale n favoarea controalelor automate, dar n acelai timp acest lucru poate fi o surs de risc dac sistemul informaional are implementate controale defectuoase ceea ce are un impact major asupra activitii entitii. (IIA GTAG 4, 2006:2). La acestea mai putem aduga tendina de ncorporare n echipamente i aplicaii 30

informatice a unor controale manuale sau automate (Piattini, 2000). Implementarea controalelor automate are efecte semnificative asupra scopului, duratei, costurilor, procedurilor i metodelor folosite pentru auditarea unor astfel de sisteme. Printre mbuntirile controlului intern rezultnd din integrarea tehnologiilor informaionale n sistemele contabile se numr: 1) Mecanismele de control informatice le nlocuiesc pe cele manuale. Beneficiile evidente ale tehnologiilor informaionale, cum ar fi posibilitatea de a gestiona rentabil volume impresionante de operaiuni economice complexe, determin organizaiile s fac apel la asemenea tehnologii pe tot parcursul derulrii activitilor. Unul dintre avantajele tehnologiilor informaionale const n posibilitatea de a mbunti controlul intern prin ncorporarea unor mecanisme de control executate de calculatoare n activitile cotidiene de prelucrare a operaiunilor. nlocuirea procedurilor manuale cu mecanisme de control programate, care aplic verificri i calculeaz solduri pentru fiecare operaiune prelucrare poate reduce erorile umane care ar putea aprea n mediile manuale tradiionale. Un sistem de TI bine controlat ofer un potenial mai mare de reducere a erorilor, deoarece, calculatoarele prelucreaz informaiile de manier consecvent, uniform. Printre exemplele de proceduri de control intern executate de calculatoare i care n trecut le reveneau angajailor se numr: compararea codului clientului i al produsului cu fiierul sistematic sau compararea sumelor operaiunilor de vnzare cu limitele de creditare prestabilite.

2) Sunt disponibile informaii de calitate mai nalt. Dup ce managementul se convinge de fiabilitatea informaiilor produse cu ajutorul tehnologiilor informaionale, utilizarea acestor informaii ofer un potenial adiional de mbuntire a deciziilor manageriale. n primul rnd, mediile de TI complexe sunt, de obicei, gestionate cu eficacitate, deoarece complexitatea impune organizare, proceduri i documentare eficiente. n al doilea rnd, sistemele de TI ofer, de regul, managementului o cantitate mai mare de informaii de calitate disponibile mai rapid dect n majoritatea sistemelor manuale. (Arens&Loebbecke, 2003:380-381). n ceea ce privete activitatea de audit al sistemelor informaionale din perspectiva auditului intern trebuie s precizm c auditorul trebuie s adopte o abordare n realizarea planului de audit astfel nct s se permit alocarea eficient ale resurselor auditului sistemelor informaionale. n acest demers evaluarea riscurilor are n vedere identificarea elementelor auditabile i alegerea zonelor sau activitilor care sunt expuse cel mai mult la risc. Riscul asociat fiecrui element poate fi determinat prin izolarea riscurilor individuale aferente acestora, dar de cele mai multe ori riscurile se identific pornind de la procesele sau obiectivele entitii la atingerea crora contribuie respectivul element. 31

Evaluarea riscurilor legate de sistemul informaional trebuie s in cont de impactul i probabilitatea de apariie a riscurilor. Impactul riscurilor legate de sistemul informaional este deseori mare mai ales pentru riscurile complexe care vizeaz zonele vulnerabile ale entitii.

Unitatea de curs 3: Gestiunea riscurilor Gestionarea riscurilor sau managementul riscurilor cuprinde toate procesele privind identificarea, evaluarea i aprecierea riscurilor, stabilirea responsabilitilor, luarea de msuri de atenuare sau anticipare a acestora, revizuirea periodic i monitorizarea progresului (M.F.P., 2007:10). Implementarea unui sistem de management al riscurilor este un imperativ al entitilor moderne care activeaz ntr-un mediu dinamic i caracterizat de incertitudine, deoarece trebuie s fie capabil s rspunde la aceste elemente n mod eficient. Managementul riscurilor poate fi definit ca fiind procesul de identificare a vulnerabilitilor i ameninrilor din cadrul unei entiti, precum i de elaborare a unor msuri de minimizare a impactului acestora asupra resurselor informaionale, monitorizarea i evaluarea msurilor i urmrirea eficienei controalelor implementate (COSO, 2004) Managementul riscurilor impune modificarea stilului de management, deoarece managerii nu trebuie s se limiteze la a trata consecinele generate de manifestarea riscurilor. Ei trebuie s adopte o poziie proactiv n sensul lurii unor decizii care s prentmpine sau s atenueze impactul riscurilor. De asemenea, managementul riscurilor faciliteaz realizarea eficient i eficace a obiectivelor entitii prin concentrarea eforturilor pentru gestionarea riscurilor i mai ales prin revizuirea periodic a riscurilor pentru a realiza o realocare a resurselor. n alt ordine de idei managementul riscurilor asigur condiii de baz pentru un control intern sntos (M.F.P., 2007:6-7). Evaluarea riscurilor este doar unul din elementele unei structuri mai ample, managementul riscurilor. Evaluarea riscurilor reprezint baza pentru celelalte elemente care formeaz managementul riscurilor. Mai exact, evaluarea riscurilor permite stabilirea politicilor de control adecvate i identificarea celor mai eficiente msuri pentru implementarea respectivelor politici. Deoarece riscurile i ameninrile se afl ntr-o continu schimbare este important reevaluarea periodic a riscurilor i reconsiderarea adecvrii i eficienei politicilor i controalelor implementate.(GAO, 1999:7) Evaluarea riscurilor, fie c se refer la riscurile asociate auditului sistemelor informaionale sau la alte tipuri de riscuri, reprezint o modalitate de asigurare a unei baze necesare pentru: nelegerea factorilor care pot s influeneze operaiunile, rezultatele unei entiti i susinerea deciziilor legate 32

de modalitile de reducere a impactului riscurilor. Utilizarea la o scar din ce n ce mai mare a sistemelor informaionale i a datelor electronice atrage dup sine i o cretere a riscurilor la un nivel care solicit implicarea constant a managementului i a auditorilor. Cadrul conceptual de management al riscurilor unei entiti (Enterprise Risk Management Framwork) publicat de COSO n 2004 identific patru categorii de obiective care sunt luate n vedere i pot fi realizate dac entitatea are implementat un management al riscurilor eficient (COSO, 2004:3): obiective strategice: care vizeaz realizarea obiectivelor fundamentale corelate cu misiunea entitii; obiective operaionale: care vizeaz utilizarea eficient i eficace a resurselor; obiective privind raportarea: susine credibilitatea raportrilor; obiective privind conformitatea: respectarea legilor i reglementrilor.

Pornind de la ideea c sistemul informaional al entitii acoper toate domeniile, activitile i procesele unei entiti putem afirma c acesta, sistemul informaional, este un factor important pentru realizarea obiectivelor entitii, dar n acelai timp poate fi i o surs de riscuri. Astfel putem considera sistemul informaional ca genernd riscuri (Cascarino, 2007:37): strategice: legate de sistemele informaionale dezvoltate n entitate sau implementate cu ajutorul terilor dar care nu sunt corelate cu obiectivele fundamentale ale entitii i nu susin ndeplinirea misiunii acesteia; operaionale: legate de utilizarea ineficient sau mult sub parametrii optimi a sistemului informaional, ceea ce poate genera costuri suplimentare. n aceeai msur, dependena sporit de sistemul informaional presupune c orice ntrerupere sau funcionare defectuoas a acestuia este o surs de risc; privind raportarea: ca urmare a nencrederii n capacitile sistemului informaional de a genera informaii care s corespund caracteristicilor calitative ale informaiilor contabile; privind conformitatea: generate de funcionarea sau utilizarea sistemului informaional de o manier care contravine legilor sau altor reglementri. Desigur aceast noiune (managementul riscurilor) se preteaz nevoilor auditului intern deoarece permite identificarea zonelor, activitilor, activelor critice, generatoare de riscuri pentru reducerea crora trebuie implementat un sistem de control adecvat. Indiferent de natura riscurilor luate n considerare, evaluarea acestora presupune, de regul, urmtoarele etape (GAO, 1999:7) 33

1. Identificarea ameninrilor care ar putea avea un impact negativ i astfel s afecteze operaiunile i activele critice. Ameninrile includ elemente de natura intruilor, angajailor neglijeni sau ru-intenionai, atacuri externe sau chiar dezastre naturale; 2. Estimarea probabilitii de materializare a ameninrilor pornind de la informaiile anterioare i de la raionamentul profesional al auditorului; 3. Identificarea i ierarhizarea valorii i importanei operaiunilor i activelor (resurselor) care ar putea fi afectate de materializarea ameninrilor; 4. Estimarea pierderilor sau pagubelor poteniale pe care ameninrile le pot genera asupra celor mai importante operaiuni i active, inclusiv costul de refacere; 5. Identificarea unor msuri eficiente de reducere sau diminuare a impactului riscurilor. Printre aceste msuri se pot numra i propunerile legate de implementarea de noi politici, proceduri i controale. 1. Identificarea ameninrilor presupune identificarea factorilor care prin natura lor pot atrage poteniale evenimente nedorite prin exploatarea vulnerabilitilor sistemelor informaionale din perspectiva unor atribute definitorii cum ar fi: 1 2 3 4 confidenialitatea; integritatea; disponibilitatea; conformitatea cu legislaia.

Conform metodei OCTAVE (2006) ameninrile se refer la situaia n care o persoan sau un eveniment natural, obiectiv, poate provoca ceva nedorit sau poate cauza un rezultat neateptat. Ameninrile au urmtoarele componente: 1 2 activul: un element de valoare pentru entitate; actorul: care poate fi o persoan sau un eveniment care poate determina periclitarea confidenialitii, integritii, disponibilitii i conformitii informaiilor; 3 4 5 motivul (opional): se determin dac inteniile actorului sau fost deliberate sau accidentale; accesul (opional): modul n care actorul poate determina pagube asupra activului; finalitatea: rezultatul imediat care are impact asupra activului.

Ameninrile au o tipologie divers ncepnd cu erori sau sincope de funcionare a echipamentelor sau ale programelor, acte neintenionate, superficialitate profesional n pregtirea i respectarea procedurilor documentate, pierderi de date, fraude, sabotaje i nu n ultimul rnd dezastrele naturale sau politice. Vulnerabilitile sunt i ele la fel de diverse incluzndu-se n categoria punctelor slabe: echipamentele 34

hardware, pachetele software, mediile de stocare, mediile de comunicaie, deficienele administrare, vulnerabiliti fizice i vulnerabiliti naturale.

de

2. Estimarea probabilitii de materializare a ameninrilor presupune utilizarea mai multor tehnici dintre care amintim (Boulescu et al., 2005, pag. 318): a) judecata liber sau intuiia. Prin aceast tehnic auditorul i folosete propriile cunotine i experiena pentru a cuantifica probabilitatea de materializare a riscurilor. Aceast tehnic mai este cunoscut sub denumirea de abordare intuitiv. b) tehnica scorurilor. Conform acestei tehnici se acord fiecrui factor de risc (ameninri sau vulnerabiliti) o pondere (un coeficient de importan pentru diferitele funciuni sau operaii ale ntreprinderii) i un nivel de risc. Prin produsul ponderii cu nivelul de risc se determin riscul funciunii, iar prin adunarea riscurilor ponderate se determin riscul sistemului informatic din care fac parte funciunile; c) metoda cantitativ. Aceast metod presupune calculul valorii pierderii datorat expunerii la factorii de risc. Pierderea anual datorat expunerii se calculeaz dup formula: PAE = Impactul x Frecvena PAE pierderea anual datorat expunerii;

Impactul impactul estimat n lei sau valut; Frecvena frecvena de apariie i manifestare a factorilor de risc. Auditorul financiar sau expertul desemnat poate s utilizeze variante combinate ale acestor tehnici pentru a identifica i evalua ct mai corect riscurile din sistem, n vederea unei testri corespunztoare a controlului informatic intern. Ulterior se poate trece la o grupare a riscurilor dup urmtoarea structur (Brnda, 2004): 1. riscul de afacere, care reprezint probabilitatea ca entitatea s nu-i ating obiectivele sale de afaceri. Pentru a evalua acest risc auditorul trebuie s investigheze planul strategic al ntreprinderii i s observe nivelul de implicare a resurselor informaionale pentru atingerea obiectivelor. Factorii care determin acest risc pot fi, att de natur intern, ct i extern. De exemplu un factor intern de risc poate fi gradul ridicat de uzur i defeciunile repetate ale echipamentelor de prelucrare a datelor, iar un factor extern poate fi apariia pe pia a unor concureni. 2. riscul sistemului informaional, reprezint probabilitatea de apariie a unor erori sau fraude datorit utilizrii inadecvate a sistemului informaional. Riscul sistemului informaional cuprinde: riscurile la nivelul aplicaiilor i operaiilor din sistemul informatic, care pot fi: securitatea 35

sczut a aplicaiilor; accesul neautorizat la datele sistemului; introducerea unor date inadecvate sau false; procesarea incomplet a datelor; dublarea datelor tranzacionate; procesarea cu ntrziere a datelor; nefuncionarea corect a transmisiei datelor; separarea inadecvat sau inexistent a funciilor i responsabilitilor; analiza i proiectarea defectuoas a aplicaiilor; incompatibilitatea dintre aplicaiile informatice; infectarea aplicaiilor cu virui electronici; instruirea inadecvat a utilizatorilor; suportul i mentenana inadecvat a aplicaiilor. riscul de continuare a activitii sistemului informatic. Reprezint riscul asociat disponibilitii i recuperrii sistemului. Riscul disponibilitii sistemului reprezint probabilitatea ca sistemul s devin indisponibil utilizatorilor datorit securitii sale. Riscul recuperrii sistemului reprezint probabilitatea ca datele i operaiile sistemului s nu mai poat fi recuperate n vederea continurii activitii ntreprinderii. 3. Identificarea i ierarhizarea valorii i importanei operaiunilor i activelor presupune realizarea unui tablou de ansamblu al infrastructurii informaionale a entitii. Resursele informaionale, luate n considerare de o mare parte a standardelor din domeniu sau a metodelor de evaluare a riscurilor, sunt: informaiile, aplicaiile, infrastructura i personalul (ISACA, 2006). Ca o modalitate de grupare resursele pot fi: 1 critice; entitatea sau o structur care utilizeaz resursa nu poate s-i continue activitate n lipsa resursei respective; 2 eseniale; entitatea sau o structur care utilizeaz resursa poate s-i continue activitatea, ns pentru o perioad determinat de timp (cteva ore sau zile), ns resursa trebuie restabilit; 3 normale; entitatea sau o structur care utilizeaz resursa poate s-i continue activitatea pentru o perioad ndelungat de timp, totui anumite persoane vor fi parial afectate, fiind obligate s gseasc alternative. Aceste resurse trebuie identificate cu un anumit grad de detaliere astfel nct s se evite suprapunerea resurselor informaionale. O alt component indispensabil analizei este interdependena resurselor. Rezultatul acestei etape poate fi o list sau mai multe liste cu toate resursele informaionale identificate n cadrul entitii. Gruparea i ierarhizarea resurselor informaionale este necesar pentru determinarea prioritilor de protejare a lor. Repartizarea resurselor n fiecare categorie trebuie s fie foarte precis pentru a evita confuzia. Criteriile posibile de repartizare sunt: importana, impactul produs de indisponibilitatea resursei, costul neutilizrii resursei, compromiterea confidenialitii, integritii etc.

36

4. Estimarea pierderilor sau pagubelor poteniale presupune aproximarea valorii datelor i aplicaiilor din prisma raportului impact/cost ca urmare a pierderii de confidenialitate, integritate, disponibilitate i/sau conformitate cu legislaia n vigoare, respectiv a activelor fizice din prisma costurilor de remediere sau de nlocuire. Pentru realizarea unei estimri ct mai concludente auditorul va apela la persoanele din cadrul entitii care au avut acces sau au utilizat datele, aplicaiile sau activele informaionale supuse evalurii. 5. Identificare unor msuri eficiente de reducere sau diminuare a impactului riscurilor presupune completarea listei rezultate la etapa anterioar cu descrierea mijloacelor de protecie utilizabile pentru nlturarea sau atenuarea riscului abordat. n urma acestei etape se obine pentru fiecare resurs critic sau esenial identificat o list cu riscurile aferente. Dac auditorul consider c exist soluii acceptabile, el va proceda la: a. identificarea i documentarea fiecrei soluii ce poate fi implementat. Soluiile identificate pot fi de ordin tehnic sau procedurale. O problem aparte o reprezint numrul i calitatea soluiilor care permit eliminarea riscurilor. Pot exista situaii n care se identific o singur msur eficient. n acest caz, este necesar argumentarea acestui fapt precum i a eventualei imposibilitii privind acceptarea altor soluii; b. justificarea fiecrei soluii propuse. Argumentul evident e soluionarea problemei, ns s-ar putea ca o anumit soluie s rezolve mai multe probleme simultan; c. efectuarea unei analize tip costuri/beneficii pentru fiecare soluie propus, incluznd costurile directe, costurile de instruire a personalului i costurile operaionale ulterioare;

d. formularea concluziilor privind controalele existente, integritatea i funcionalitatea sistemului; e. propunerea unui plan de implementare a soluiei identificate. Planul trebuie s in cont de prioritatea resursei i impactul pe care l poate avea realizarea riscului analizat; f. stabilirea condiiilor pentru urmrirea implementrilor recomandrilor.

Msurile de reducere a efectelor negative pe care le au riscurile asupra sistemului informaional sunt variate i depind de o serie de factori care in gradul de risc pe care entitatea este dispus s l accepte, receptivitatea managementului la soluiile propuse i nu n ultimul rnd posibilitile de implementare a controalelor sau soluiilor propuse. Orice metod trebuie s ofere beneficii maxime cu costuri minime. Printre msurile cele mai eficiente care pot fi luate de management la propunerea auditorului intern se numr (Munteanu, 2001:53) (M.F.P., 2007:61):

37

Acceptarea (tolerarea) riscurilor. Acest tip de rspuns la risc const n neluarea unor msuri de control al riscurilor i este adecvat pentru riscurile inerente a cror expunere este mai mic dect tolerana la risc. Acceptarea (tolerarea) riscurilor este o strategie de rspuns la risc recomandat pentru riscurile cu expunere sczut. n cazul riscurilor cu expunere medie sau mare acceptarea riscurilor este inadecvat i, de aceea, n astfel de situaii, opiunea trebuie temeinic justificat.

Eliminarea sau evitarea. Este o msur care poate fi aplicat pentru majoritatea riscurilor cu excepia riscurilor de dezastre naturale. Aceast strategie de rspuns la risc const n eliminarea activitilor (circumstanelor) care genereaz riscurile.

Transferul ctre alt organizaie. Aceast strategie de rspuns la risc const n ncredinarea gestionrii riscului unui ter care are expertiza necesar gestionrii acelui risc, ncheindu-se n acest scop un contract. Prin aceasta se urmrete, pe de o parte, micorarea expunerii organizaiei, iar pe de alt parte, gestionarea eficace a riscului de ctre un ter specializat. Aceast opiune este benefic mai ales n cazul riscurilor financiare i patrimoniale.

Reconfigurarea controalelor. Implementarea unor noi forme de control care s duc la diminuarea frecvenei de apariie sau a impactului unui risc (desigur, aceast msur nu este aplicabil pentru riscurile de dezastre naturale).

Rezumatul modulului Auditarea orientat spre riscuri este astfel conceput nct s utilizeze resursele disponibile n zonele de risc maxim ceea ce faciliteaz o evaluare eficient a riscurilor i un mediu de control mai eficient. Acest lucru necesit i ntrete cooperarea dintre auditori i management. ntr-un audit centrat spre risc auditorii sistemelor informaionale se bazeaz pe controalele interne i pe cunoaterea entitii. n activitatea de audit al sistemelor informaionale din perspectiva auditului intern, auditorul trebuie s adopte o abordare n realizarea planului de audit astfel nct s se permit alocarea eficient ale resurselor auditului sistemelor informaionale. n acest demers evaluarea riscurilor are n vedere identificarea elementelor auditabile i alegerea zonelor sau activitilor care sunt expuse cel mai mult la risc. Riscul asociat fiecrui element poate fi determinat prin izolarea riscurilor individuale aferente acestora, dar de cele mai multe ori riscurile se identific pornind de la procesele sau obiectivele entitii la atingerea crora contribuie respectivul element. Gestionarea riscurilor sau managementul riscurilor cuprinde toate procesele privind identificarea, evaluarea i aprecierea riscurilor, stabilirea responsabilitilor, luarea de msuri de atenuare sau anticipare a acestora, revizuirea periodic i monitorizarea progresului. Implementarea unui sistem de management al riscurilor este un imperativ al entitilor moderne care activeaz ntr-un mediu dinamic i caracterizat de incertitudine, deoarece trebuie s fie capabil s rspunde la aceste elemente n mod eficient. Sarcini i teme Pornind de la activele informaionale identificate la activitatea aferente Modulului II masteranzii vor identifica i cuantifica vulnerabilitile la care acestea sunt expuse precum i riscurile pe care 38

acestea le ridic, pe baza unui model pus la dispoziie n cadrul activitilor tutoriale sau sub form electronic. Aceast activitate va fi luat n considerare la stabilirea notei finale.

39

Bibliografie modul: Arens A., Loebbecke J., Audit o abordare integrat, ediia a 8-a, Ed. ARC, 2003 Brnda C. (2004), Auditul sistemelor informaionale de gestiune, Universitatea de Vest, Timioara Boulescu M. et al. (2005), Auditul sistemelor informatice financiar-contabile, Ed. Tribuna economic, Bucureti. Cascarino R., 2007, Auditors Guide to Information Systems Auditing, John Wiley&Sons CCTA Risk Analysis and Management Method [CRAMM] (2005), disponibil la adresa: http://www.cramm.com COSO (2004), Enterprise Risk Management Framework Executive Summary, disponibil on-line la adresa: www.coso.org General Accounting Office [GAO] (1999). Information Security Risk Assessment, Washington, disponibil la adresa: http://www.gao.gov/special.pubs /ai99139.pdf Information Systems Audit and Control Association [ISACA] (2006), Audit procedure P1 IS Risk Assessment Measurement, disponibil la adresa http://www.isaca.org/Template.cfm?Section=Standards&Template=/ContentManageme nt/ContentDisplay.cfm&ContentID=18752 Ministerul Finanelor Publice, 2007, Metodologie de implementare a standardului de control intern Managementul riscurilor, disponibil on-line la adresa: http://www.mfinante.ro/control_prev/manuale/METOD_IMPLEMENTARE_RISC.pdf Munteanu A., 2001, Auditul sistemelor informaionale contabile, Ed. Polirom, Iai Operationally Critical Threat, Asset, and Vulnerability Evaluation [OCTAVE] (2006). Disponibil la adresa: http://www.units.muohio.edu/mcs/ information_ security/Octave/ Piattini M., 2000, Auditing information systems, Idea Group Publishing, Hershey SUA The Institute of Internal Auditors, IIA, 2008, Definiia auditului intern, disponibil la adresa: http://www.theiia.org/guidance/standards-andpractices/professional -practicesframework/definition-of-internal-auditing/; The Institute of Internal Auditors, Global Tehnology Audit Guide no.4 Management of IT Auditing, disponibil on-line la adresa: http://www.theiia.org /guidance/technology/gtag/gtag4/

40

41

MODULUL IV: Auditul sistemelor informaionale i auditul financiar

Scopul i obiectivele modulului Scopul modulului este de a famirializa masteranzii cu particularitile riscurilor generate de sistemul informaional al entitii din perspectiva unei misiuni de audit financiar. De asemenea se urmrete nelegerea diferitelor metode sau tehnici de evaluare a riscurilor sistemului informaional i impactul acestora asupra riscului de audit. Obiectivele modulului sunt: 1. nelegerea conceptului de risc i a impactului pe care riscurile le au asupra activitii unei entiti economice; 2. nelegerea locului i rolului auditului sistemelor informaionale din perspectiva unei misiuni de audit financiar; 3. Cunoaterea etapelor de lucru privind identificarea i cuantificarea riscurilor; 4. nelegerea impactului riscurilor sistemului informaional asupra riscurilor de audit.

Unitatea de curs 1: Auditul sistemului informaional i misiunile de audit financiar Dezvoltarea rapid a tehnologiilor informaionale a dus la creterea complexitii proceselor i activitilor care sunt gestionate cu ajutorul sistemelor informatice. Acest lucru a pus ntr-o nou lumin rolul auditorului financiar care este chemat s-i exprime opinia asupra unor situaii financiare care au fost realizate mai mult sau mai puin cu ajutorul unor sisteme informaionale moderne. Astfel s-au pus bazele unui nou domeniu: auditul sistemelor informaionale. La nivel internaional exist o serie de standarde de audit care au ncorporat problemele ridicate de tehnologia informaiei n atingerea obiectivelor auditului financiar precum i o serie de standarde sau cadre generale care trateaz modul n care sistemele informaionale sunt utilizate n activitatea entitii din perspectiva controlului intern (IIA, 2005), guvernanei IT (ISACA, 2006) sau a securitii informaiilor (ISO, 2005). n cadrul standardelor internaionale de audit emise de IFAC se fac referiri la situaiile n care auditorul financiar apeleaz la cunotinele i abilitile unor experi pentru atingerea obiectivelor misiunii de audit. " Auditorul poate rspunde riscurilor identificate de denaturri semnificative datorate fraudei , spre exemplu, prin desemnarea unor persoane suplimentare cu aptitudini i cunotine de specialitate, cum ar fi experi specializai n domeniul IT, sau prin desemnarea unor 42

persoane cu mai mult experien care s participe la misiune." (IFAC - ISA 240, 2007:21 par. A34). Un alt organism profesional care a emis standarde de audit care trateaz impactul tehnologiei sistemelor informaionale asupra situaiilor financiare este American Institute of Certified Public Accountants [AICPA] care prin documentul de lucru AU Section 319 (2006) "Considerarea controlului intern ntr-un audit al situaiilor financiare": "Auditorul (financiar n.a.) trebuie: s determine dac sunt necesare cunotine specializate n determinarea riscurilor IT asupra auditului, s neleag controalele IT sau s stabileasc i s aplice teste ale controalelor IT sau teste substantive. Un expert care s aib abiliti n domeniul IT poate fi fie un membru al echipei sau un profesionist extern. Pentru a stabili dac e nevoie de un asemenea profesionist n echipa de audit, auditorul (financiar n.a.) ia n considerare urmtorii factori:
1.

complexitatea sistemelor utilizate de entitate i a controalelor IT precum i maniera n care acestea sunt utilizate n activitatea entitii;

2. 3. 4. 5. 6.

schimbrile semnificative aduse sistemelor existente sau implementarea noilor sisteme; msura n care datele sunt utilizate n comun de mai multe sisteme; msura n care entitatea este implicat n comerul electronic; utilizarea tehnologiilor emergente; importana dovezilor de audit care sunt disponibile numai n format electronic.

Procedurile pe care auditorul (financiar n.a.) le pune n sarcina profesionistului care deine cunotine IT includ: interogarea personalului IT asupra modului n care tranzaciile sunt iniiate, nregistrate, procesate i raportate; analiza controalelor IT descrise de entitate; inspectarea documentaiei de sistem; observarea controalelor IT; planificarea i realizarea testelor de control IT.

Dac se ia n calcul apelarea la un profesionist auditorul trebuie s aib suficiente cunotine n domeniul IT pentru a putea comunica profesionistului obiectivele auditului, pentru a putea stabili dac procedurile specificate vor duce la atingerea obiectivelor i pentru a evalua rezultatul procedurilor IT n corelaie cu natura i durata altor proceduri planificate. (AICPA AU 319, 2006, par. 31-32, pag. 9) n realizarea misiunii sale auditorul trebuie s identifice i evalueze riscurile unor denaturri semnificative, indiferent dac sunt datorate unor fraude sau erori, la nivelul situaiilor financiare i a declaraiilor n vederea proiectrii i implementrii rspunsurilor pentru riscurile identificate. n acest proces de identificare i de evaluare a riscurilor un loc important l ocup sistemul informaional n calitatea sa de component a controlului intern. Auditorul va obine o nelegere a

43

sistemului informaional, inclusiv a proceselor aferente ale ntreprinderii, relevante pentru raportarea financiar, inclusiv urmtoarele domenii: (a) Clasele de tranzacii din operaiunile entitii care sunt semnificative pentru situaiile financiare; (b) Procedurile, att cele din domeniul tehnologiei informaionale (IT), ct i sistemele manuale prin care sunt iniiat, nregistrate, procesate, corectate, dac este necesar, transferate n registrul general i raportate n situaiile financiare. (c) nregistrrile contabile aferente, informaiile de susinere i conturile specifice din situaiile financiare care sunt folosite pentru a iniia, nregistra, procesa i raporta tranzaciile; aceasta include corectarea informaiilor incorecte i modul n care sunt transferate informaiile n registrul general. nregistrrile se pot face fie manual, fie n form electronic; (d) Modul n care sistemul capteaz evenimentele i condiiile, altele dect tranzaciile, care sunt semnificative pentru situaiile financiare; (e) Procesul de raportare financiar folosit pentru ntocmirea situaiilor financiare ale entitii, inclusiv estimrile i evidenierile contabile semnificative;

Controalele care sunt n jurul nregistrrilor n jurnale, inclusiv nregistrrile din jurnale care nu sunt standard i care sunt folosite pentru a nregistra tranzaciile care nu apar n mod frecvent, cele neobinuite sau ajustrile.(ISA 315, 2007:par.18).

Unitatea de curs 2: Evaluarea riscurilor "Riscul este posibilitatea ca un act sau un eveniment care are lor s aib efecte adverse asupra entitii i asupra sistemelor sale informative. Riscul poate fi de asemenea potenialul ca o ameninare s exploateze vulnerabilitile unui activ sau grup de active cauznd astfel pierderi sau pagube. Este adesea msurat printr-o combinaie (produs) a efectului i probabilitii de apariie." (ISACA - P1, 2006, par. 2.1, pag 2) nainte de a trata efectiv problema identificrii, evalurii i gestionrii riscurilor se impune o analiz a surselor generatoare de riscuri n vederea evalurii acestora. Practic fiecare activitate este expus la o serie de riscuri care sunt susceptibile s provoace: pierderi la nivelul resurselor entitii sau preluarea i/sau publicarea unor informaii eronate. Totodat erorile din informaiile furnizate de sistemul informaional pot s induc luarea unor decizii eronate care genereaz pe termen lung nendeplinirea obiectivelor utilizatorilor. ntr-o abordare invers, obiectivele entitii pot s devin factori generatori ai riscurilor dac se consider c pentru atingerea unor noi obiective este necesar 44

mobilizarea de resurse pentru efectuarea de noi activiti, procese, sarcini i operaiuni insuficient descrise i tranate prin proceduri interne care s faciliteze un mediu de control eficient. Implementarea i utilizarea sistemelor informaionale n activitatea curent a unei entiti aduce n prim plan, alturi de sistemul de controale implementat prin proiectul sistemului ca atare i problema riscurilor la care este expus sistemul informaional cu implicaiile aferente asupra entitii. Literatura de specialitate ofer o serie de modele i metode calitative sau cantitative de evaluare a riscurilor, iar dimensiunea analizei i a resurselor utilizate pot s varieze n funcie de scopul evalurii i de disponibilitatea informaiilor legate de factorii de risc. Mai mult, disponibilitatea datelor poate afecta msura n care rezultatele evalurii riscurilor pot fi cuantificate. O abordare cantitativ estimeaz, de regul, costul riscurilor i al msurilor sau tehnicilor de reducere a acestor costuri pe baza: probabilitii apariiei unui eveniment nefavorabil; costurilor pierderilor poteniale; costurilor msurilor poteniale pentru reducerea sau diminuarea riscurilor.

Dac nu exist informaii de ncredere legate de probabilitatea i costul riscurilor, atunci se impune o abordare calitativ prin definirea riscurilor n termeni mai generali cum ar fi: "mare", "mediu" i "mic". n acest sens, evalurile calitative depind mai mult de experiena i raionamentul profesional al auditorului. n unele cazuri, cnd exist informaii pariale legate de probabilitatea i costul riscurilor se poate utiliza o combinaie ntre cele dou metode, valorificnd avantajele particulare pe care acestea le au. Indiferent de metoda aleas pentru evaluarea riscurilor auditorul trebuie s aib n vedere urmtoarele riscuri rezultate din utilizarea tehnologiilor informaionale n activitatea entitii (Arens&Loebbecke, 2003: 381-383): dependena de funcionarea echipamentelor i aplicaiilor informatice ceea ce presupune crearea tuturor condiiilor de securitate i protecie fizic a bunurilor informaionale mpotriva: accesului neautorizat din interiorul sau exteriorul entitii, sabotajului, spionajul industrial, condiiile de mediu (cutremure, inundaii, incendii etc); reducerea vizibilitii sau dispariia pistelor de audit ca urmare a faptului c un numr din ce n ce mai mare de documente se regsesc n sistemul informaional numai sub form electronic i sunt obinute prin concursul unor controale automate care dac nu sunt configurate corespunztor pot s genereze erori sistematice de prelucrare ce nu mai pot fi comparate cu documentele-surs. Pentru eliminarea acestui inconvenient este necesar implementarea unor mecanisme de control care s faciliteze urmrirea i testarea formelor de control automate; 45

reducerea implicrii factorului uman prin faptul c personalul particip, de regul, numai la introducerea datelor iniiale, ceea ce ngreuneaz realizarea formelor de control tradiionale deoarece informaiile introduse n sistem sunt folosite n alte zone ale entitii sub form sintetizat;

erori sistematice versus erori incidentale. Implementarea procedurilor de control automate bazate de utilizarea tehnologiilor informaionale reduce riscul de apariie al erorilor incidentale (care de regul sunt provocate de influena factorului uman). Dar, un sistem informaional cu proceduri de control automate defectuoase sau rigide poate s duc la creterea frecvenei de apariie a erorilor sistematice, deoarece aplicaiile informatice prelucreaz de o manier unitar toate operaiile pentru care sunt programate. Riscul erorilor sistematice este cu att mai mare cu ct controalele automate nu sunt configurate pentru a filtra i raporta operaiunile neobinuite;

accesul neautorizat n zonele cheie ale sistemului informaional pentru persoane care nu au acest drept. Acest risc apare mai ales n cadrul sistemelor informaionale care se bazeaz pe reele de calculatoare i pe baze de date partajate n timp real. Accesul neautorizat este favorizat i de alocarea defectuoas a drepturilor de acces n sistem, gestiunea defectuoas sau divulgarea parolelor de utilizator sau carene n sistemul de securitate al reelei;

pierderea datelor este un risc ce decurge practic din materializarea riscurilor prezentate anterior. Pierderea datelor poate fi cauzat de centralizarea fiierelor critice ale entitii pe un singur calculator sau server care nu are prevzute msuri de securitate sau nu au fost fcute copii de siguran periodice. Datorit dificultii de refacere a datelor pierdute exist riscul ca situaiile financiare ntocmite pe baza acestor date s cuprind erori semnificative care pot influena opinia auditorului i al utilizatorilor informaiilor contabile;

reducerea separrii sarcinilor s-a amplificat pe msur ce a avut loc trecerea de la procesarea manual la cea automat. n acest stadiu nu este suficient limitarea drepturilor de acces deoarece reducerea numrului de angajai implicai n folosirea sistemului informaional i ncrederea prea mare n controalele automate poate duce la situaii n care o persoan s autorizeze i s nregistreze n sistem anumite operaiuni. Acest lucru poate duce la denaturarea cantitativ sau valoric a activelor aflate n gestiune;

nevoia de experien n domeniul tehnologiilor informaionale se manifest indiferent de mrimea sau complexitatea sistemelor informaionale ce se doresc a fi implementate la nivelul unei entiti. Prin rspndirea utilizrii sistemelor care au la baz tehnologiile informaionale crete nevoia de specialiti calificai n domeniu. De multe ori, la nivelul entitilor se nfiineaz departamente sau funcii care au ca rol dezvoltarea aplicaiilor, ntreinerea i extinderea sistemelor, soluionarea problemelor legate de aplicaiile sau echipamentele informatice. 46

47

Unitatea de curs 3: Riscurile de audit n alegerea celei mai potrivite metode de evaluare a riscurilor, auditorul financiar sau expertul desemnat trebuie s ia n considerare urmtoarele elemente (GAO, 1999:8): informaiile care trebuiesc colectate (unele sisteme utilizeaz efectul financiar ca singura unitate de msur, ceea ce nu este folositor ntotdeauna pentru auditor); costul aplicaiilor i licenelor care trebuiesc utilizate pe parcursul utilizrii unei metode; msura n care informaiile necesare sunt disponibile; informaiile suplimentare care trebuiesc strnse nainte de prezentarea rezultatului auditului, precum i costul culegerii acestor informaii (inclusiv timpul necesar n procesul de culegere); opiniile altor utilizatori ai metodei i punctul lor de vedere asupra modului n care metoda le-a permis creterea eficienei i acurateei auditului; dorina managementului de acceptare a metodei din prisma eforturilor implicate n realizarea auditului. Pentru evaluarea riscului de audit standardele ISACA, preiau i adapteaz modelul de risc formulat de AICPA n 1988 care ncorporeaz cele trei componente deja cunoscute: riscul inerent, riscul de control i riscul de nedetectare Riscul inerent reprezint disponibilitatea unei zone auditate de a conine erori care pot fi semnificative individual sau n combinaie cu alte erori pornind de la ipoteza c nu exist controale interne. (ISACA, G13, 2008:65). De exemplu, riscul inerent asociat sistemului de operare de pe un server este considerat a fi mare deoarece modificarea sau divulgarea datelor (intenionat sau accidental, din interiorul entitii sau din exterior) poate duce la denaturarea informaiilor contabile i la ptarea imaginii entitii. Pe de alt parte riscul inerent asociat utilizrii unui calculator izolat, pe care nu ruleaz aplicaii vitale sau importante este de regul fixat la un nivel mai redus.

n evaluarea riscului inerent auditorul trebuie s aib n vedere att controalele generale ct i controalele de detaliu. Controalele generale sunt proiectate cu scopul de a administra i a monitoriza sistemul informaional i care afecteaz toate activitile acestuia (Munteanu, 2001). Arens&Loebbecke (2003:383) consider controalele generale ca fiind acele controale care se refer la toate aspectele funciei TI, inclusiv administrarea sistemelor, achiziia i ntreinerea programelor informatice, securitatea fizic i securitatea accesului electronic la echipamente, programe i datele asociate acestora, planificarea crerii copiilor de siguran n cazul producerii unor evenimente neprevzute i conceperea de mecanisme de control integrate n echipamentele informatice. n ceea ce privete controalele generale ce acioneaz n zona supus evalurii auditorul trebuie s aib n vedere: integritatea, experiena i cunotinele managementului compartimentului de 48

specialitate; schimbrile intervenite la nivelul conducerii compartimentului; presiunile la care sunt supui managerii acestui compartiment (termene scurte de realizare a activitilor, atacurile externe asupra sistemului etc.); domeniul de activitate al firmei i natura sistemului informaional (planuri privind participarea la comerul electronic, implementarea soluiilor ERP sau lipsa acestor sisteme); factorii care afecteaz domeniul tehnologiilor informaionale la scar mondial (apariia unor tehnologii noi, lipsa specialitilor care s dein noile cunotine); gradul de influen al terilor asupra controalelor (outsourcing); disponibilitatea informaiilor din auditrile precedente. Controalele detaliate sunt controalele efectuate asupra achiziiei/dezvoltrii, implementrii i ntreinerii sistemului informaional. n componena lor intr controalele aplicaiilor i controalele generale care nu sunt considerate dominante (Munteanu, 2001). Arens&Loebbecke (2003:383) consider controalele detaliate ca fiind controale de aplicaie care se exercit asupra prelucrrii operaiunilor individuale cum ar fi controlul prelucrrii vnzrilor sau al ncasrilor. Prin urmare, controalele de aplicaie sunt specifice anumitor programe informatice i, de regul, nu afecteaz toate funciile care folosesc tehnologii informaionale. La nivelul controalelor detaliate, auditorul trebuie s in cont de: complexitatea sistemului; nivelul interveniilor manuale n sistem; susceptibilitatea bunurilor controlate de ctre sistem de a fi furate sau utilizate necorespunztor(evidena stocurilor, salarizarea); apariia perioadelor de vrf al activitii n timpul desfurrii misiunii de audit; integritatea, experiena i cunotinele managementului i angajailor implicai n aplicarea controalelor la nivelul sistemului informaional. Riscul de control este riscul ca o eroare ce poate s apar ntr-o zon auditat care poate fi semnificativ individual sau combinat cu alte erori s nu fie prevenit sau detectat i corectat de ctre sistemul de control intern ntr-o perioad rezonabil de timp. De exemplu, riscul pe care l implic intervenia manual asupra controalelor automate implementate la nivelul unui server va fi considerat mare din cauza volumului mare de informaii pe care le gestioneaz i a predispoziiei la eroarea pe care le presupune o astfel de intervenie. Riscul de control asociat cu procedurile computerizate de validare a datelor poate fi stabilit la un nivel sczut dac aceste proceduri sunt aplicate consecvent. Auditorul va stabili un nivel de control la nivelul maxim posibil dac consider c controalele generale ale entitii nu sunt funcionale sau eficiente ceea ce poate duce la disfuncionaliti n sfera controalelor de aplicaie.

49

Evaluarea riscului de control ntr-un mediu de control informatizat depinde n mare msur de numrul de controale automate implementate n sistem. Dac entitatea se bazeaz pe astfel de controale atunci auditorul trebuie s testeze dac rapoartele automate generate de controale privind abaterile sau erorile sesizate sunt gestionate i soluionate de cei responsabili de o manier care s duc la reducerea riscurilor i la mbuntirea sistemului de control intern. Auditorul va stabili un risc de control sub nivelul maxim n situaiile n care controalele relevante sunt: identificate, funcionale i testate pentru a dovedi c acestea funcioneaz corespunztor. Riscul de nedetectare reprezint riscul ca procedurile substantive ale auditorul sistemului informaional s nu detecteze o eroare care poate fi semnificativ, individual sau combinat cu alte erori. Un exemplu privind riscul de nedetectare este cel asociat identificrii punctelor slabe ale securitii unei aplicaii va fi mai mare att timp ct logurile/jurnalele pentru ntreaga perioad supus auditrii nu vor fi disponibile n totalitate n momentul efecturii verificrii. Pe de alt parte, riscul de nedetectare asociat identificrii existenei unui plan de refacere n caz de dezastre va fi considerat redus dac existena acestui document este uor de verificat. Pentru determinarea numrului de teste substantive (independente) necesare, auditorul trebuie s in cont de: nivelul la care a fost evaluat riscul inerent i concluziile la care a ajuns n urma efecturii testelor de conformitate. Dac auditorul identific controale de aplicaie specifice care ar putea fi utilizate pentru a reduce riscul de control, atunci va proceda la reducerea testelor substantive (substaniale). n plus controalele de aplicaie eficace executate de computere vor fi aplicate mai uniform dect controalele manuale, datorit absenei erorilor umane accidentale. De asemenea, auditorul ar putea reduce costurile de audit legate de testarea mecanismelor de control prin utilizarea programelor informative ale firmei pentru a efectua aceste teste. Aplicarea testelor substantive pentru reducerea riscului de nedetectare este deseori ngreunat de intervenia neautorizat n sistemul informaional al entitii n vederea modificrii procedurilor interne de prelucrare ceea ce poate avea un impact semnificativ asupra mecanismelor de control automate implementate n sistem. De asemenea utilizarea unor sisteme integrate pentru prelucrarea majoritii informaiilor generate de activitatea unei entiti de la sursele de date pn la situaiile financiare poate crea reale probleme n crearea i aplicarea testelor substantive (substaniale). Un astfel de exemplu este cel al unui furnizor de servicii de internet sau de telefonie care are implementat un sistem informaional bazat pe tehnologia informaiei pentru nregistrarea serviciilor oferite clienilor, emiterea facturilor pentru serviciile prestate, procesarea facturilor i nregistrarea 50

n contabilitate a creanelor fa de clieni, urmrirea plilor i stingerea creanelor i formarea poziiilor de venituri.

51

Rezumatul modulului n realizarea misiunii sale auditorul trebuie s identifice i evalueze riscurile unor denaturri semnificative, indiferent dac sunt datorate unor fraude sau erori, la nivelul situaiilor financiare i a declaraiilor n vederea proiectrii i implementrii rspunsurilor pentru riscurile identificate. n acest proces de identificare i de evaluare a riscurilor un loc important l ocup sistemul informaional n calitatea sa de component a controlului intern. Auditorul va obine o nelegere a sistemului informaional, inclusiv a proceselor aferente ale ntreprinderii, relevante pentru raportarea financiar. "Riscul este posibilitatea ca un act sau un eveniment care are lor s aib efecte adverse asupra entitii i asupra sistemelor sale informative. Riscul poate fi de asemenea potenialul ca o ameninare s exploateze vulnerabilitile unui activ sau grup de active cauznd astfel pierderi sau pagube. Este adesea msurat printr-o combinaie (produs) a efectului i probabilitii de apariie." (ISACA - P1, 2006, par. 2.1, pag 2) Pentru evaluarea riscului de audit standardele ISACA, preiau i adapteaz modelul de risc formulat de AICPA n 1988 care ncorporeaz cele trei componente deja cunoscute: riscul inerent, riscul de control i riscul de nedetectare. Riscul inerent reprezint disponibilitatea unei zone auditate de a conine erori care pot fi semnificative individual sau n combinaie cu alte erori pornind de la ipoteza c nu exist controale interne. Riscul de control este riscul ca o eroare ce poate s apar ntr-o zon auditat care poate fi semnificativ individual sau combinat cu alte erori s nu fie prevenit sau detectat i corectat de ctre sistemul de control intern ntr-o perioad rezonabil de timp. Riscul de nedetectare reprezint riscul ca procedurile substantive ale auditorul sistemului informaional s nu detecteze o eroare care poate fi semnificativ, individual sau combinat cu alte erori.

52

Bibliografie modul American Institute of Certified Public Accountants [AICPA]. (2006), AU Section 319 Consideration of Internal Control in a Financial Statement Audit, New York, disponibil la adresa: http: //www.aicpa.org Arens A. & Loebbecke J. (2003), Audit o abordare integrat, ediia a 8-a, Ed. ARC General Accounting Office [GAO] (1999), Information Security Risk Assessment, Washington, disponibil la adresa: http://www.gao.gov/ special.pubs/ai99139.pdf Information Systems Audit and Control Association [ISACA] (2006), Audit procedure P1 IS Risk Assessment Measurement, disponibil la adresa http://www.isaca.org/Template.cfm?Section=Standards&Template=/ContentMan agement/ContentDisplay.cfm&ContentID=18752 Information Systems Audit and Control Association [ISACA] (2006), Audit Guide G13 Use of Risk Assessment in Audit Planning, disponibil la adresa disponibil la adresa:http://www.isaca.org/ContentManagement /ContentDisplay.cfm?ContentID =18556 International Federation of Accountants [IFAC] (2006), ISA 240 The Auditor's Responsibility to Consider Fraud in a Financial Statement Audit, in volumul Auditing, Assurance & Related Services - 2007 Haandbook, versiunea englez, http://www.ifac.org/Store disponibil la adresa: /Details.tmpl?SID=11707139611377889&Cart=1186570167200753 International Organization for Standardization [ISO] (2005), ISO/IEC 17799 InformationTechnology Security Techniques Code of Practice for Information Security Management, Geneva, Elveia Munteanu A., 2001, Auditul sistemelor informaionale contabile, Ed. Polirom, Iai Standardul internaional de audit 315, Identificarea i evaluarea riscurilor unor denaturri semnificative prin nelegerea entitii i a mediului n care i desfoar activitatea (2007), disponibil on-line la adresa: http://www.cafr.ro/servlet/ DownloadForm?file=ISA_315_2007.pdf The Institute of Internal Auditors [IIA] (2005). Global Technology Audit Guide, Information Technology Controls, Florida, disponibil la adresa: http://www.theiia.org/guidance/technology/gtag/gtag1/

53

MODULUL V: Auditul sistemelor informaionale n Romnia

Scopul i obiectivele modulului Scopul prezentului modul este de a oferi masteranzilor o imagine asupra situaiei actuale privind auditul sistemelor informaionale n Romnia din perspectiva legislaiei existente i a poziiei organismelor profesionale implicate direct sau indirect n aceast activitate. De asemenea sunt relevate carenele i posibilitile de mbuntire a cadrului legal i profesional n acest domeniu. Obiectivele modulului sunt: 1. nelegerea cadrului legal actual privind auditul sistemelor informaionale; 2. Cunoaterea modului n care organismele profesionale se implic n problema auditului sistemelor informaionale; 3. Familiarizarea cu posibilitile de alegere a unei cariere n domeniul auditului sistemelor informaionale innd cont de conjunctura actual i tendinele de viitor care se prefigureaz.

Unitatea de curs 1: Reglementri legale privind auditul sistemelor informaionale n Romnia prima reglementare care a vizat aspecte privind securitatea sistemelor informaionale i auditul acestor sisteme sau domenii conexe este Legea nr. 455 din 18 iulie 2001 privind semntura electronic publicat n M.O. nr. 429 din 31 iulie 2001. Prin aceast lege se reglementeaz statutul furnizorilor de servicii de certificare [FSC] ca fiind: orice persoan, romn sau strin, care elibereaz certificate sau care presteaz alte servicii legate de semntura electronic. (Art.4, pct.13). Procedurile de securitate ale FSC trebuie s fie conforme cu standardele recunoscute ISO/IEC 154081,2,3, ISO 17799, ETSI TS 101 456 vl. 1.1 (2000-12), ITSEC-E3 FIPS 140-1 sau ultimele versiuni ale acestora ori standardele care le nlocuiesc. (Art.1 pct. 2 norme). Aceasta este prima lege n care se face referire la importana evalurii securitii sistemelor informaionale n conformitate cu refereniale internaionale acceptate. Cronologic urmtoare reglementare este Ordinul Ministrului Finanelor Publice nr. 1077 din 2003 privind condiiile n care se pot edita, ntr-un singur exemplar, facturile fiscale cu regim special de tiprire, nseriere i numerotare, utilizate n activitatea financiar i contabil. Pe scurt, emiterea facturilor ntr-un singur exemplar, presupune ca exemplarul doi s fie stocat n format electronic. 54

Art.1 alin.1 descrie condiiile pe care un agent economic trebuie s le ndeplineasc pentru a putea emite facturi ntr-un singur exemplar. Printre aceste condiii se numr: posibilitatea reconstituirii n orice moment a bazei de date cu facturile emise; exemplarul doi al facturii trebuie arhivat pe suport Write Once Read Many [WORM] i semnat electronic; existena unui plan de securitate al sistemului informatic cuprinznd msurile care s asigure: confidenialitatea i integritatea comunicaiilor i datelor precum i confidenialitatea i nonrepudierea (nerespingerea, nerefuzarea) tranzaciilor; implementarea unui sistem care s asigure copii de siguran ntr-o locaie diferit; ntocmirea unui raport de audit asupra planului de securitate, efectuat de o echip format din personal independent, specializat i atestat. Prin atestare se nelege certificarea personalului ca auditor de sisteme informatice, oferit de Asociaia de Audit i Control al Sistemelor Informatice [Informaionale n.a.] (ISACA) - Information Systems Audit and Control Association. Recunoaterea necesitii unei evaluri externe i independente a sistemelor informatice, mai ales n privina securitii acestora, se realizeaz odat cu Legea 589 din 2004 privind regimul juridic al activitii electronice notariale, n a crei norme de aplicare (OMCSI nr.500 din 2009) sunt descrise condiiile minime de securitate pe care sistemul informaional trebuie s le aib n vederea unei astfel de activiti notariale (Art.12) precum i standardele de referin pe baz crora se poate aprecia securitatea unui sistem informatic i a sistemului de management al securitii informaiilor: ISO/IEC 15408/1999 (prile 1, 2 si 3), respectiv ISO 17799/2000, ultimele versiuni ale acestora sau standarde care le nlocuiesc (Art. 14). De asemenea normele de aplicare prevd ca verificarea sistemului informatic s se fac de ctre auditori certificai de sisteme informatice sau de ctre agenii de omologare agreate. O alt reglementare important privind domeniul supus studiului este Legea 260 din 2007 privind nregistrarea operaiunilor comerciale prin mijloace electronice, care reglementeaz regimul juridic al facturilor, bonurilor fiscale i chitanelor emise n form electronic. Implicaiile acestei legi sunt multe, ea acoperind probleme care vizeaz Legea contabilitii (82/1991), Codul fiscal (Legea 571/2003) precum i o serie de legi specifice domeniului IT (Legea 455/2001 privind semntura electronic, Legea 451/2004 privind marca temporal, dezbtute anterior i altele). Auditul sistemului informatic intervine n procesul de omologare a sistemelor informatice utilizate pentru emiterea facturilor n form electronic, audit care trebuie s asigure autoritatea de 55

reglementare asupra securitii, fiabilitii i continuitii serviciilor evaluate. Chiar dac pentru Legea 260 din 2007 nu au fost emise norme de aplicare, n 2008 i 2009 au fost publicate dou reglementri privind procesul de omologare a sistemelor informatice i normele de performan i securitate pe care acestea trebuie s le ndeplineasc. Ultima reglementare n acest sens este Ordinul nr. 488 din 2009 al MCSI. n vederea omologrii emitentul facturii trebuie s transmit MCSI o serie de documente (Art.4 alin.1) printre care se numr: un raport de audit; descrierea funcional a sistemului informatic; planul de securitate a sistemului informatic; certificri privind securitatea sistemului informatic, acolo unde acestea exist; declaraia pe propria rspundere a auditorului, prin care este exprimat independenta sa fa de emitentul facturii n form electronic i productorul sistemului informatic auditat; n ceea ce privete sistemul bancar prima reglementare care acoper unele aspecte privind auditul sistemelor informaionale n Romnia a fost Regulamentul BNR nr.4/2002 privind tranzaciile efectuate prin intermediul instrumentelor de plat electronic i relaiile dintre participanii la aceste tranzacii. Conform articolului 11 Emitenii [Art.2 pct.3 bncile autorizate de BNR s emit instrumente de plat electronic], sunt obligai ca n vederea autorizrii s fac o evaluare scris a riscurilor care pot interveni n transferul, decontarea i administrarea informaiei din sistemul de pli electronice propus autorizrii..

Acest regulament a fost nlocuit de ctre Regulamentul BNR nr.6/2006 privind emiterea i utilizarea instrumentelor de plat electronic i relaiile dintre participanii la tranzaciile cu aceste instrumente, care aduce noi precizri i completri privind modul de auditare a sistemelor informaionale folosite n plile cu instrumente electronice. Art. 12 prevede ca n vederea autorizrii si procesrii operaiunilor efectuate prin intermediul unui instrument de plat electronic sunt necesare linii i echipamente de comunicaii i procesare, precum i terminale i dispozitive prin intermediul crora se iniiaz, se nregistreaz, se controleaz i se transmit informaii aferente tranzaciilor iniiate. Echipamentele i locaiile unde acestea sunt amplasate trebuie s asigure un grad ridicat de securitate i siguran operaional, n vederea prevenirii accesului neautorizat la acestea i protejrii confidenialitii, autenticitii i integritii informaiilor i datelor n timpul procesrii, stocrii i arhivrii datelor. Acest articol doar creioneaz tipurile de echipamente necesare precum i msurile minime de securitate fizic pe care banca emitent trebuie s le asigure. i la acest articol se poate constata o caren n lege n condiiile n care acesta nu se stipuleaz dobndirea unui certificat de securitate sau ndeplinirea unor norme 56

minimale de securitate prevzute de cadrele generale privind securitatea informaiilor cum ar fi: Standardele ISACA (S11 Use of Risk Assessment in Audit Planning, G38 Access Controls, G40 Review of Security Management Practices) (ISACA, 2009), Standardul ISO/IEC 27001-6, ITIL, ITSEC etc. Noi precizri privind profesia de auditor al sistemelor informaionale sunt aduse de ctre Regulamentul BNR nr.1 din 2005 privind sistemele de pli care asigur compensarea fondurilor care creeaz cadrul legal privind autorizarea sistemelor de pli care asigur compensarea fondurilor (Art.1). n cadrul Regulamentului se fac referiri la condiiile pe care administratorul unui asemenea sistem trebuie s le ndeplineasc. Astfel, administratorul trebuie s depun o documentaie care trebuie s conin un raport de audit realizat de un auditor certificat de securitate a datelor (CISA Certified Information Security Auditor), independent fa de sistemul auditat, care s certifice gradul de siguran al sistemului pentru care se solicit autorizarea (Art.9, alin.b). Unitatea de curs 2: Implicarea Camerei Auditori Financiari din Romnia Camera Auditorilor Financiari din Romnia este un organism profesional, nfiinat prin Ordonana de Urgen nr.75 din 1999 privind activitatea de audit financiar. n prim faz, CAFR a gestionat doar profesia de auditor financiar, ns ca urmare a unor modific succesive aduse cadrului legal s-a ajuns la situaia n care auditorii financiari: n exercitarea independent a profesiei pot desfura: a) activitatea de audit financiar; b) activitatea de audit intern; c) activiti de consultan financiarcontabil i fiscal; d) activiti de asigurare a managementului financiar-contabil; e) activiti de pregtire profesional de specialitate n domeniu; f) activiti de expertiz contabil; g) activiti de evaluare; h) activiti de reorganizare judiciar i lichidare. (OUG 75/1999 Art.3 alin.2). Printre atribuiile CAFR se numr: atribuirea calitii de auditor financiar, organizarea i pregtirea continu a auditorilor financiari, organizarea examenului de acces la stagiu i pregtirea pe durata acestuia. n 2008 Camera Auditorilor Financiari din Romnia (CAFR) a dobndit calitatea de membru cu drepturi depline a IFAC (International Federation of Accountants). Ca efect al acestui statut CAFR a tradus i a adoptat ca referenial n domeniul auditului financiar Standardele Internaionale de Audit i Control de Calitate. n continuare, vom face referire la Standardele Internaionale de Audit [ISA] i la implicaiile utilizrii sistemelor informatice asupra auditului financiar.

57

n prefaa Standardelor Internaionale de Audit se fac urmtoarele precizri (versiunea n romn pg.3-4)1: 10. ISA sunt scrise n contextul unui audit al situaiilor financiare de ctre un auditor independent.... 12. n efectuarea unui audit, obiectivul general al auditorului este de a obine o asigurare rezonabil cu privire la faptul dac totalitatea situaiilor financiare nu conine denaturri semnificative, fie ca urmare a fraudei, fie a erorii, i de a raporta asupra situaiilor financiare n conformitate cu constatrile auditorului.... 13. Auditorul aplic fiecare ISA relevant pentru audit. Un ISA este relevant atunci cnd ISA este n vigoare i circumstanele tratate de ISA exist. Printre standardele care fac referire la aspectele relevante privind sistemul informaional al entitii, securitatea informaiilor i implicaiile acestora asupra auditului se numr: ISA 210 Termenii angajamentelor de audit; ISA 240 Responsabilitile auditorului referitoare la fraud ntr-un audit al situaiilor financiare ISA 250 Rolul legilor i reglementrilor n vigoare n auditul situaiilor financiare; ISA 315 Identificarea i evaluarea riscurilor unor denaturri semnificative prin nelegerea entitii i a mediului n care i desfoar activitatea; ISA 330 Rspunsul auditorului la riscurile evaluate; ISA 402 Consideraii de audit referitoare la entitile care utilizeaz prestatori de servicii;

n cadrul standardelor se fac de asemenea referiri la utilizarea de ctre auditor a tehnicilor de audit asistate de calculator [engl. CAAT]. Auditorul ar trebui s dein cunotine suficiente n domenii precum: tehnologia informaiei, securitatea sistemelor informatice, tehnici de audit asistate de calculator, etc. sau aa cum prevede ISA 240: "Auditorul poate rspunde riscurilor identificate de denaturri semnificative datorate fraudei, spre exemplu, prin desemnarea unor persoane suplimentare cu aptitudini i cunotine de specialitate, cum ar fi experi specializai n domeniul IT, sau prin desemnarea unor persoane cu mai mult experien care s participe la misiune." (IFAC ISA 240, 2009:184 par. A34). ns, apelarea la specialiti poate duce la creterea timpului necesar ndeplinirii misiunii i la o cretere a costurilor. Din pcate, CAFR nc nu a transpus n practic Standardele de Educaie ale IFAC, standarde care accentueaz importana pregtirii n domeniul tehnologiei informaiei a stagiarilor i a auditorilor.

http://www.cafr.ro/servlet/DownloadForm?file=Prefata_Partea_II.pdf

58

Unitatea de curs 3: Implicarea Asociaiei Auditorilor Interni din Romnia Asociaia Auditorilor Interni din Romnia este o organizaie civil, profesional i funcioneaz ca persoan juridic romn de drept privat, cu caracter nepatrimonial (nonprofit), neguvernamental, fr caracter politic i fr scopuri religioase, fiind supus legislaiei din Romnia.2 care a fost nfiinat n anul 2004. nc din momentul nfiinrii AAIR aceasta i-a manifestat intenia de a deveni membr a Institutului Auditorilor Interni (The Institute of Internal Auditors [IIA]) organismul internaional care emite standarde n domeniul auditului intern, ceea ce s-a i realizat n anul 2006.

Analiza activitii AAIR urmrete dou aspecte: (1) implementarea Standardelor Profesionale pentru practica profesional a Auditului Intern de IIA respectiv (2) implicarea AAIR n dezvoltarea profesiei. Desigur aceste aspecte vor fi tratate din perspectiva acceptrii importanei i impactului pe care utilizarea tehnologiei informaiei o are asupra entitii i asupra auditului intern. Scopul declarat al AAIR este de a traduce, a implementa i familiariza auditorii interni cu Cadrului Internaional de Practici Profesionale [CIPP] al IIA. AAIR a tradus i a pus la dispoziia auditorilor interni componentele obligatorii ale Cadrului Internaional de Practici Profesionale [CIPP] (International Professional Practices Framework [IFFC] al IIA), acestea fiind: Definiia auditului intern, Codul de etic i Standardele. Pe viitor AAIR intenioneaz s traduc i s implementeze i normele puternic recomandate care cuprind: Documentele de poziie, ndrumarele practice i Ghidurile practice care vor furniza o gam variat de soluii aplicabile pentru ndeplinirea cerinelor incluse n normele obligatorii. Standardele sunt bazate pe principii i ofer un cadru de realizare i promovare a auditului intern. Structura Standardelor cuprinde Standarde de Calificare, Standarde de Performan i Standarde de Implementare. Standardele reprezint cerine obligatorii, incluznd:

Enunuri privind cerinele de baz pentru practica profesional a auditului intern i pentru evaluarea eficacitii de realizare, care se aplic internaional, la nivel organizaional i individual;

Interpretri, care clarific termenii sau conceptele din Enunuri.3

Standardele Internaionale pentru Practica Profesionala a Auditului Intern fac o serie de referiri la cunotinele pe care auditorul intern trebuie s le dein sau s le dobndeasc n vederea

2 3

http://aair.ro/new4/fisiere/statut_act_const/act_constitutiv.pdf http://www.aair.ro/new4/index.php?option=com_content&view=section&id=9&Itemid=111

59

ndeplinirii misiunii precum i o serie de referiri la importana sistemelor informaionale din perspectiva controlului intern i al evalurii acestuia. Astfel n Standardul 1210-Competen la paragraful A34 se precizeaz c: Pentru derularea activitii, auditorii interni trebuie s aib cunotine suficiente asupra principalelor riscuri i controale privind tehnologia informaiei i asupra tehnicilor de audit bazate pe utilizarea tehnologiei informaiei disponibile. Totui, nu se ateapt de la toi auditorii s aib cunotinele unui auditor intern a crui responsabilitate principala este auditarea tehnologiei informaiei. Iar Standardul 1220Contiinciozitate la paragraful A25 aflm c n derularea misiunii cu contiinciozitate profesional, auditorii interni trebuie s ia n considerare utilizarea auditului bazat pe tehnologie, precum i alte tehnici informatizate de analiz a datelor. Standardul 2120-Managementul riscului respectiv 2130-Controlul precizeaz c6 activitatea de audit intern trebuie s evalueze expunerile la risc respectiv caracterul adecvat i eficacitatea controalelor stabilite pentru a reaciona la riscuri implicate de... sistemele informaionale, avnd n vedere: Veridicitatea i integritatea informaiilor financiare i operaionale; Eficacitatea i eficiena operaiunilor; Protejarea activelor; i Conformitatea cu legile, reglementrile i contractele n vigoare.

Elementele de mai sus reprezint practic obiectivele controlului intern aa cum sunt ele definite de ctre modelul COSO. Observm i n acest caz c din perspectiva controlului intern i al auditului intern se pune un accent deosebit pe evaluarea sistemului de control intern pentru identificare, combaterea sau gestionarea riscurilor generate de sistemele informaionale ale entitii. Desigur, pentru realizarea acestui, demers auditorul intern trebuie s neleag locul i rolul sistemului informaional n cadrul controlului intern att din perspectiva controalelor manuale ct i a celor automate, utilitatea acestuia n eficiena i eficacitatea operaiunilor dar n acelai timp s accepte c acesta, sistemul informaional, poate fi o surs de risc pentru atingerea obiectivelor. Asociaia Auditorilor Interni din Romnia organizeaz cursuri de pregtire profesional continu pentru auditorii interni conform tematicii i protocolului de colaborare ncheiat cu IIA. Pentru anul 2009 AAIR a organizat un curs Procedee analitice ale auditului intern7 care, prin temele abordate a atins i problema utilizrii programelor informatice. ncepnd cu anul 2005 AAIR a organizat
4 5

http://www.aair.ro/new4/index.php?option=com_content&view=article&id=121&Itemid=122 ibidem 6 http://www.aair.ro/new4/index.php?option=com_content&view=article&id=123&Itemid=123 7 http://www.aair.ro/new4/index.php?option=com_content&task=view&id=105&Itemid=97

60

activiti de pregtire lunar pentru membrii ei. Printre temele abordate se numr: Guvernana corporativ/IT, COBIT cadrul general pentru guvernana i controlul IT, Auditul IT i auditul intern, Specificitatea sistemelor informatice, Managementul riscurilor IT, Auditul IT n diverse categorii de audit (intern, extern, de conformitate), Forme de furnizare ale serviciilor de audit IT n cadrul auditului intern (extern, colaborare, intern, intern specializat), Audit intern integrat cu audit IT, Elemente practice de audit IT, Formarea unui auditor IT. O parte din aceste teme au fost abordate i n cadrul conferinelor organizate periodic. AAIR se implic n mod susinut n familiarizarea membrilor i a simpatizanilor cu problemele legate de tehnologia informaiei i de impactul acesteia asupra misiunilor de audit. n condiiile dezvoltrii tehnologiei informaiei i a asimilrii de ctre entitile economice a soluiilor pe care aceasta le ofer se cuvine ca auditorii, fie ei interni sau financiari, s in pasul cu aceste evoluii pentru a putea furniza servicii de calitate i de o manier profesional.

61

Unitatea de curs 4: Implicarea ISACA Romnia ISACA Romnia, filiala Asociaiei pentru Auditul i Controlul Sistemelor Informaionale (Information Systems Audit and Control Association) a fost nfiinat n anul 2001 de ctre un grup de specialiti n securitate informatic pentru a satisface nevoia existent la nivel managerial de a avea asigurri cu privire la disponibilitatea, corectitudinea, integritatea, funcionalitatea, eficiena i ntreinerea sistemelor informaionale. Scopul principal al organizaiei este de a promova pregtirea persoanelor prin mbuntirea cunotinelor acestora n domeniul auditului, controlului sau serviciilor de consultan privind sistemele informaionale. Conform paginii oficiale8 obiectivele ISACA Romnia includ: ncurajarea cercetrii n domeniul controalelor pentru sisteme informatice; dezvoltarea, auditarea i verificarea tehnicilor existente pentru a reflecta modificrile tehnologice, legislative i sociale; promovarea cunoaterii i a competenei n domeniul controalelor informaionale; educarea la toate nivelele de management cu privire la tehnicile de implementare a controalelor informaionale. n calitate de unic reprezentant al ISACA n Romnia, organizaia pune la dispoziia membrilor sau doritorilor cursuri de pregtire pentru obinerea de certificri, precum: CISA Certified Information Systems Auditor, CISM Certified Information Security Manager respectiv CGEIT Certified in the Governance of Enterprise IT. CISA este certificarea care prin care se atest abilitile tehnice i cunotinele unei persoane n domenii precum auditul, controlul i securitatea sistemelor informaionale. Ca urmare a creterii nevoii pentru asemenea abiliti CISA a devenit cea mai cutat atestare att la nivel individual ct i de ctre angajatorii. Aceast certificare este deinut de peste 60.000 de profesioniti9. Pentru dobndirea calitii de auditor certificat de sisteme informaionale (CISA) este necesar ndeplinirea urmtoarelor condiii10: promovarea unui examen similar examenului de acces prin care sunt testate o serie de sarcini i cunotine pe care candidatul trebuie s le dovedeasc din urmtoarele domenii: procesul de audit al sistemelor informaionale, guvernana IT, managementul ciclului de via al sistemelor i infrastructurii, protejarea activelor informaionale respectiv continuitatea afacerii i refacerea dup dezastre.

8 9

www.isaca.ro http://www.isaca.ro/index.php/xarpages/certificari_isaca 10 http://www.isaca.org/Template.cfm?Section=CISA_Certification&CONTENTID=20450&TEMPLATE=/ ContentManagement/ContentDisplay.cfm#exam

62

experien de cel puin cinci ani n domeniul auditului controlului sau securitii sistemelor informaionale. Aceast experien poate fi dobndit anterior sau ulterior promovrii examenului ntr-o perioad de cel mult cinci ani;

acceptarea i respectarea Codului de etic profesional; ndeplinirea unui program de pregtire profesional continu; respectarea i utilizarea Standardelor privind auditul sistemelor informaionale.

Certificarea CISM vizeaz profesionitii implicai n managementul securitii sistemelor informaionale i celor care au responsabiliti privind gestionarea, crearea, supervizarea i/sau evaluarea securitii informaionale a unei entiti. Prin practicile internaionale promovate acest certificat ofer o asigurare pentru managementul unei entiti c persoana care a dobndit aceast calitate posed experiena i cunotinele necesare pentru a gestiona eficient sistemul de securitate. Certificarea CGEIT se adreseaz celor responsabili cu guvernana IT dintr-o entitate recunoscndu-le competenele, abilitile i experiena dobndit. Acest lucru genereaz i o valoare adugat entitilor pe care le deservesc prin demonstrarea angajamentului asumat de a deveni experi n domeniul guvernanei. Avnd responsabiliti n implementarea i gestionarea structurii informaionale, personalele implicate n guvernana IT au un rol important n susinerea conducerii entitii n procesul de implementare a unei guvernane corporative eficiente. ISACA Romnia se implic n promovarea auditului sistemelor informaionale prin cursurile puse la dispoziia celor care doresc s accead la aceast profesie dar i membrilor existeni n procesul de pregtire continu. Urmtorul pas n dezvoltarea ISACA Romnia este traducerea Standardelor de Audit i Asigurare elaborate de organizaia-mam pentru a veni n ntimpinarea celor care doresc o certificare n acest domeniu. De asemenea organizaia a demarat procesul de traducere al COBIT (Control Objectives for Information and related Technologies), un referenial care permite gestionarea eficient a resurselor informaionale n vederea corelrii strategiei IT cu strategia i obiectivele entitii. Rezumatul modulului n Romnia cadrul legal privind auditul sistemelor informaionale a cunoscut o evoluie anevoioas caracterizat de ambiguitate i slaba clarificare a unor concepte deja operaionale n practica unor organisme profesionale. Conform standardelor IFAC preluate de CAFR auditorul ar trebui s dein cunotine suficiente n domenii precum: tehnologia informaiei, securitatea sistemelor informatice, tehnici de audit asistate de calculator, etc. sau aa cum prevede ISA 240: "Auditorul poate rspunde riscurilor identificate de denaturri semnificative datorate fraudei, spre exemplu, prin desemnarea unor persoane suplimentare cu aptitudini i cunotine de specialitate, cum ar fi experi specializai n domeniul IT, sau prin desemnarea unor persoane cu mai mult experien care s participe la misiune." (IFAC 63

ISA 240, 2009:184 par. A34). ns, apelarea la specialiti poate duce la creterea timpului necesar ndeplinirii misiunii i la o cretere a costurilor. Standardele Internaionale pentru Practica Profesionala a Auditului Intern fac o serie de referiri la cunotinele pe care auditorul intern trebuie s le dein sau s le dobndeasc n vederea ndeplinirii misiunii precum i o serie de referiri la importana sistemelor informaionale din perspectiva controlului intern i al evalurii acestuia. ISACA Romnia, filiala Asociaiei pentru Auditul i Controlul Sistemelor Informaionale (Information Systems Audit and Control Association) a fost nfiinat pentru a satisface nevoia existent la nivel managerial de a avea asigurri cu privire la disponibilitatea, corectitudinea, integritatea, funcionalitatea, eficiena i ntreinerea sistemelor informaionale. Scopul principal al organizaiei este de a promova pregtirea persoanelor prin mbuntirea cunotinelor acestora n domeniul auditului, controlului sau serviciilor de consultan privind sistemele informaionale. Bibliografie modul *** Legea nr. 455 din 18 iulie 2001 privind semntura electronic, publicat n M.Of. nr. 429 din 31 iulie 2001; *** Legea nr. 589 din 15 decembrie 2004 privind regimul juridic al activitii electronice notariale, publicat n M.Of. nr. 1227 din 20 decembrie 2004; *** Legea nr. 260 din 19 iulie 2007 privind nregistrarea operaiunilor comerciale prin mijloace electronice, publicat n M.Of. nr. 506 din 27 iulie 2007; *** Ordonana de urgen a Guvernului nr 75 din 1 iunie 1999 privind activitatea de audit financiar, republicat n M.Of. nr.598 din 22 august 2003; *** Ordinul MFP nr. 1077 din 6 august 2003 privind condiiile n care se pot edita, ntr-un singur exemplar, facturile fiscale cu regim special de tiprire, nseriere i numerotare, utilizate n activitatea financiar i contabil, publicat n M.Of. nr. 580 din 14 august 2003; *** Regulamentul BNR nr.4/2002 privind tranzaciile efectuate prin intermediul instrumentelor de plat electronic i relaiile dintre participanii la aceste tranzacii *** Regulamentul BNR nr.1 din 2005 privind sistemele de pli care asigur compensarea fondurilor; *** Regulamentul BNR nr.6/2006 privind emiterea i utilizarea instrumentelor de plat electronic i relaiile dintre participanii la tranzaciile cu aceste instrumente;

64

III ANEXE

Bibliografie obligatorie 1. Arens A. & Loebbecke J., 2003, Audit o abordare integrat, ediia a 8-a, Ed. ARC (Mod de accesare: Biblioteca Catedrei de Contabilitate i Audit) 2. Boulescu M. et al. (2005), Auditul sistemelor informatice financiar-contabile, Ed. Tribuna economic, Bucureti (Mod de accesare: Biblioteca Central Universitar) 3. Brnda C., 2004, Auditul sistemelor informaionale de gestiune, Universitatea de Vest, Timioara (Mod de accesare: FSEGA) 4. Cascarino R., 2007, Auditors Guide to Information Systems Auditing, John Wiley&Sons, (Mod de accesare: Biblioteca Central Universitar) 5. Eden A. & Stanciu V., 2004, Auditul sistemelor informatice, Editura Dual Tech, Bucureti, (Mod de accesare: Biblioteca FSEGA) 6. Information Systems Audit and Control Association ISACA, 2008, IT Assurance Framework, disponibil on-line la adresa: www.isaca.org 7. Laudon K.C. & Laudon L.P. (2006) Management Information systems managing the digital firm, 9th edition, Ed. Prentice Hall, (Mod de accesare: Biblioteca Central Universitar) 8. Munteanu A., 2001, Auditul sistemelor informaionale contabile, Editura Polirom, Iai (Mod de accesare: FSEGA) 9. Nstase P. et al., 2007, Auditul i controlul sistemelor informaionale, Editura Economic, Bucureti. (Mod de accesare: Biblioteca Catedrei de Contabilitate i Audit) 10. Oprea D. (2005), Analiza sistemelor informaionale, Edidura Universitii Alexandru Ioan Cuza, Iai, (Mod de accesare: Biblioteca FSEGA) 11. The Institute of Internal Auditors, IIA, 2008, Global Technology Audit Guides, disponibil online la adresa: http://www.theiia.org/guidance/technology/ 12. ugui Al., (2003), Produse informatice generalizate pentru contabilitate, Editura CECCAR, Bucureti (Mod de accesare: Biblioteca Central Universitar)

65

66

Glosar de termeni Activiti de control: acele politici i proceduri care certific faptul c directivele conducerii sunt ndeplinite. Activitile de control sunt o component a controlului intern. Aplicaie informatic: un software care asigur funcii necesare unui serviciu IT. Fiecare aplicaie poate fi parte din unul sau mai multe servicii IT. Aplicaia poate funciona pe unul sau mai multe servere sau clieni. Asigurare rezonabil (n contextul unei misiuni de audit): un nivel de asigurare ridicat, dar nu absolut, exprimat n raportul auditorului c o asigurare rezonabil cu privire la faptul c informaiile auditate nu conin greeli semnificative. Auditor termen utilizat n Standardele Internaionale de Audit (ISA) pentru a desemna un prestator de servicii n domeniul: a) auditului financiar-contabil; b) serviciilor conexe. Audit financiar reprezint activitatea de verificare a situaiilor financiare de ctre auditori financiari conform standardelor internaionale de audit (emise de IFAC - International Federation of Accountants). Audit intern: un departament, serviciu, echip de consultani sau ali practicieni care furnizeaz servicii de asigurare i consiliere independente i obiective, destinate s adauge valoare i sa mbunteasc operaiunile organizaiei. Activitatea de audit intern ajut o organizaie s-i ating obiectivele printr-o abordare sistematic i disciplinat, utilizat pentru evaluarea i mbuntirea eficacitii proceselor de guvernare, management al riscurilor i control. Auditul situaiilor financiare: obiectivul unui audit al situaiilor financiare este de a permite auditorului s exprime o opinie dac situaiile financiare sunt ntocmite, n toate aspectele semnificative, n conformitate cu un cadru de raportare financiar aplicabil. Un audit al situaiilor financiare reprezint o misiune de asigurare. Controale ale accesului: proceduri concepute s restricioneze accesul la echipamentele terminale, programele si datele online. Controalele accesului constau n autentificarea utilizatorului si autorizarea utilizatorului. Autentificarea utilizatorului are, n general, scopul de a identifica un utilizator prin intermediul numelui de utilizator unic, a parolelor, cardurilor de acces sau datelor biometrice. Autorizarea utilizatorului const n reguli de acces pentru a determina resursele informatice la care poate avea acces fiecare utilizator. Controale de aplicare n sistemele informatice computerizate: procedure manuale sau automate care opereaz de obicei, la nivelul unui proces de afaceri. Controalele de aplicare pot fi preventive sau detective ca natur si sunt menite s asigure integritatea nregistrrilor contabile. n consecin, controalele de aplicare se refer la procedurile utilizate pentru a iniia, nregistra, procesa si raporta tranzaciile sau alte date financiare. Controale generale ale sistemelor informatice: politici i proceduri care se refer la multe aplicaii si care susin funcionarea eficient a controalelor aplicaiilor contribuind astfel la asigurarea unei funcionri adecvate continue a sistemelor informatice. Controalele generale ale sistemelor informatice include, n general, controale asupra centrului de date si operaiunilor din reea; achiziia de sisteme de soft, nlocuire si ntreinere; securitatea accesului; si achiziia de sisteme de aplicare, dezvoltare si ntreinere. Control: orice masur luat de conducere, consiliu i alte pri pentru a gestiona riscurile i a mri probabilitatea ca obiectivele i scopurile stabilite s fie atinse. Conducerea planific, organizeaz i direcioneaza realizarea unor aciuni suficiente pentru a furniza o asigurare rezonabil privind atingerea obiectivelor i scopurilor. Controlul dezvoltrii programelor: proceduri menite s previn sau s detecteze modificrile inadecvate aduse programelor informatice care sunt accesate cu ajutorul dispozitivelor conectate on-line. Accesul poate fi restricionat prin controale cum ar fi folosirea unor programe de operare separate sau a unor pachete de programe specializate dezvoltate special pentru acest scop. Este important ca modificrile efectuate on-line asupra programelor s fie documentate, controlate si monitorizate n mod adecvat. 67

Control intern: procesul proiectat si efectuat de cei care sunt nsrcinai cu guvernana, de ctre conducere si de alt personal pentru a oferi o asigurare rezonabil n legtur cu atingerea obiectivelor entitii cu privire la credibilitatea raportrii financiare, eficacitatea si eficiena operaiilor si la respectarea legilor si reglementrilor aplicabile. Controlul tehnologiei informatiei: controale care susin managementul i guvernarea activitii, i furnizeaz un control general i tehnic asupra infrastructurii tehnologiei informaiei, i.e. aplicaii, informaii, infrastructur i personal. Esantionarea n audit: aplicarea procedurilor de audit la mai puin de 100% din elementele din cadrul soldului unui cont sau unei clase de tranzacii astfel nct toate unitile de esantionare s aib o sans de selectare. Eroare anormal: o eroare care apare n urma unui eveniment izolat care nu s-a repetat, n ocazii care pot fi identificate n mod specific, i prin urmare nu este reprezentativ pentru greselile din cadrul populaiei. Firewall: o combinaie de hard i soft care protejeaz o reea WAN, LAN de accesul neautorizat prin intermediul internetului si de introducerea unor programe, date sau orice alte materiale, n format electronic, neautorizate sau care produc daune. Guvernan: descrie rolul persoanelor crora le este ncredinat supervizarea, controlul si conducerea unei entiti. Cei nsrcinai cu guvernana sunt, n mod obisnuit, rspunztori pentru asigurarea ndeplinirii obiectivelor entitii, pentru raportarea financiar si raportarea ctre prile interesate. n cadrul celor nsrcinai cu guvernana se include conducerea executiv doar atunci cnd acesta ndeplineste astfel de funcii. Guvernarea tehnologiei informatiei: const n conducere (leadership), structure organizaionale i procese care asigur ca tehnologia informaiei la nivelul entitii susine i sprijin strategiile i obiectivele organizaiei. Mangementul riscurilor: un proces de identificare, evaluare, gestionare i control a unor evenimente sau situaii poteniale, pentru a furniza o asigurare rezonabil cu privire la realizarea obiectivelor unei organizaii. Mediul de control: atitudinea i aciunile consiliului i conducerii cu privire la semnificaia controlului n cadrul organizatiei. Mediul de control furnizeaz disciplina i structura pentru atingerea obiectivelor primare ale sistemului de control intern. Mediul informatic: politicile si procedurile pe care entitatea le implementeaz si infrastructura informatic (echipamente, sisteme de operare etc.) precum si programele de aplicaii utilizate pentru susinerea operaiilor ntreprinderii si realizarea strategiilor de afaceri. Mediul sistemelor informaionale computerizate (CIS): exist n cazul n care, n procesarea de ctre entitate a informaiilor financiare care sunt semnificative pentru audit, este implicat un calculator, de orice tip sau dimensiune, indiferent dac acest calculator este operat de ctre entitate sau de o ter parte. Monitorizarea controalelor Un proces de evaluare a eficacitii modului de funcionare al controlului intern de-a lungul timpului. Aceasta include evaluarea periodic a proiectrii si funcionrii controalelor si adoptarea msurilor de remediere necesare la schimbarea unor circumstane. Monitorizarea controalelor este o component a controlului intern. Probe de audit: totalitatea informaiilor folosite de auditor pentru a ajunge la concluziile pe care se bazeaz opinia de audit. Probele de audit includ informaiile cuprinse n nregistrrile contabile care stau la baza situaiilor financiare, precum si alte informaii. Proceduri analitice: evaluri ale informaiilor financiare fcute pe baza unui studiu asupra relaiilor plauzibile dintre datele financiare si cele nefinanciare. Procedurile analitice cuprind, de asemenea, investigaii asupra fluctuaiilor identificate si asupra relaiilor care nu sunt n conformitate cu alte informaii relevante sau care deviaz semnificativ de la valorile previzionate. Proceduri de evaluare a riscului: procedurile de audit efectuate pentru obinerea unei nelegeri a entitii si a mediului su, inclusiv controlul intern, pentru a evalua riscurile unor denaturri semnificative n situaiile financiare si la nivelul afirmaiilor. 68

Procesele de control: politicile, procedurile i activitile care fac parte din cadrul de control, destinate s asigure c riscurile sunt pastrate n limita de toleran stabilit prin procesul de management al riscurilor. Procesul de evaluare a riscului entitii: o component a controlului intern care reprezint procesul din cadrul entitii pentru identificarea riscurilor de afaceri relevante pentru obiectivele de raportare financiar si pentru luarea de decizii privind aciunile ntreprinse pentru contracararea acestor riscuri, precum si rezultatele acestora. Reea extins (WAN): o reea de comunicaii care transmite informaii pe o arie extins, cum ar fi ntre locaii ale ntreprinderii, orae sau ri diferite. Reelele extinse permit, de asemenea, accesul online la aplicaii, efectuat de la terminale situate la distan. Mai multe reele locale LAN pot fi interconectate ntr-un WAN. Reea local (LAN): o reea de comunicaii care deservete utilizatorii dintr-o arie geografic definit. Reelele locale au fost dezvoltate pentru a facilita schimbul de informaii i utilizarea n comun a resurselor din cadrul unei organizaii, inclusiv date, programe informatice, imprimante i echipamente de telecomunicaii. Risc: posibilitatea apariiei unui eveniment care va avea impact asupra atingerii obiectivelor. Riscul este masurat din punct de vedere al impactului i probabilitii. Risc de audit: riscul de audit este riscul ca auditorul s exprime o opinie de audit care nu este adecvat, atunci cnd situaiile financiare sunt denaturate n mod semnificativ. Riscul de audit este o funcie a riscului unor denaturri semnificative (sau, mai simplu, riscul unor denaturri semnificative) (spre exemplu, riscul ca situaiile financiare s fie denaturate n mod semnificativ nainte de efectuarea auditului) si riscul ca auditorul s nu detecteze o astfel de denaturare (riscul de nedetectare). Riscul unor denaturri semnificative are dou componente: riscul inerent si riscul de nedetectare (asa cum sunt descrise mai jos). Riscul de nedetectare este riscul ca procedurile aplicate de auditor s nu conduc la detectarea unei denaturri dintro afirmaie, denaturare care poate fi semnificativ, fie individual, fie agregat cu alte denaturri. Riscul inerent: riscul inerent este susceptibilitatea ca o afirmaie s fie denaturat n mod semnificativ, fie individual, fie agregat cu alte denaturri, presupunnd c nu existau controale interne aferente. Riscul de control: riscul de control este riscul ca o denaturare care poa te aprea ntr-o afirmaie si care poate fi semnificativ, fie individual, fie agregat cu alte denaturri, s nu fie prevenit sau detectat si corectat n timp util de sistemul de control intern al entitii. Risc de esantionare: apare ca urmare a posibilitii ca o concluzie a auditorului, bazat pe un esantion, s fie diferit de concluzia la care ar ajunge dac ntreaga populaie ar fi supus aceleiasi proceduri de audit. Risc independent de esantionare: apare ca rezultat al factorilor care l determin pe auditor s ajung la o concluzie eronat din orice motiv care nu are legtur cu mrimea esantionului. Sistem informaional relevant pentru raportarea financiar: o component a controlului intern care include sistemul de raportare financiar si const din procedurile si nregistrrile stabilite pentru a iniia, nregistra, procesa si raporta tranzaciile entitii (precum si evenimentele si condiiile) si pentru a menine responsabilitatea pentru activele, datoriile si capitalurile proprii aferente. Tehnici de audit bazate pe tehnologie: orice instrument de audit automat, precum aplicaii generale de audit, aplicaii de generare a datelor de testare, programe computerizate de audit, instrumente informatice specializate de audit i tehnici de audit asistate de calculator (CAATs). Teste ale controalelor: teste efectuate pentru a obine probe de audit n legtur cu eficacitatea funcionrii controalelor pentru prevenirea, sau detectarea si corectarea, denaturrilor semnificative la nivelul afirmaiilor. Transfer electronic de date (Electronic Data interchange EDI): transmiterea electronica a documentelor ntre organizaii ntr-o form care poate fi citit electronic. 69

Evaluare