4.

3 Proceduri de audit, probe de audit i testarea controalelor Procedurile de audit reprezint modalitatea operativ prin care auditorul i deruleaz activitatea. Procedurile de audit se efectueaz pentru: documentarea privind nelegerea entitii i a mediului economic; documentarea pentru nelegerea mediului IT; evaluarea riscurilor i stabilirea msurilor de mbuntire a aciunilor de control n vederea reducerii riscurilor semnificative la valori minime acceptate de organizaia auditat. Procedurile de audit asigur culegerea probelor de audit pentru documentarea auditorilor testarea controalelor interne i evaluarea riscurilor. Probele de audit reprezint totalitatea informaiilor obinute de auditor pentru a a!unge la concluziile pe care se bazeaz opinia de audit."#I$%&'. Probele de audit pot fi sub reprezentate de: documente din sistemul informaional; documente ale sistemului de management decizii (otr)ri analize reglementri; proceduri scrise; documente ale procedurilor de utilizare i operare ale aplicaiilor informatice; flo*c(art-uri; informaii nestandard obinute prin documentare asupra sistemului informatic; liste de aciuni operaii obiecte auditabile; liste de controale i tabele de evaluare; liste de evenimente incidente i erori; liste + fiiere cu date de test i rezultate ale testelor de control. Probele de audit se pot obine pin diverse te(nici dintre care menionm: observare direct; c(estionare; interviu; eantionri; testarea controalelor; inspecii; e,aminri; !urnalizri. Prezentm n continuare un e,emplu de c(estionar pentru culegerea de probe de audit.

CHESTIONAR pentru e aluarea siste!ului in"or!atic

A. In"rastructura #ard$are % so"t$are -. $orespund tipul i dimensiunea sistemului i aplicaiilor necesitilor instituiei . /0. #recvent apar erori de genul insuficient spaiu pe disc1. 3otarea (ard*are i soft*are este suficient . /0. 4unt servicii la care fiecare anga!at are nevoie de calculator. 4istemul i aplicaiile sunt administrate corespunztor . 36.

2.

5.

7.

6sistena te(nic aferent ec(ipamentelor i aplicaiilor este corespunztoare . 36.

&. 'tili(are % )unc*ionalitate 8. $um apreciai aplicaiile din punct de vedere al dificultii utilizrii acestora . 0or de utilizat.

9.

$onsiderai c timpul de preluare i+sau prelucrare a datelor s-a redus . 36.

&.

6plicaiile utilizate duc la diminuarea numrului de erori . 36.

:.

4unt evitate paralelismele . 36.

;.

4e pot furniza informaii mai rapid ctre conducere.

36.

-%.

<,ist cerine suplimentare frecvente neacoperite de aplicaiile aflate n e,ploatare . 36. =aportri urgente pentru care nu e,ist aplicaii. $onsiderai oportun e,tinderea facilitilor aplicaiilor analizate sau realizarea unor aplicaii noi . 4igur c 36.

--.

-2.

6plicaiile reflect n mod corespunztor prevederile legale . 36.

-5.

4unt acestea actualizate n timp util . 36.

C. Instruire utili(atori -7. $um apreciai calitatea documentaiei te(nice . <ste ea suficient util acoperitoare actualizat . 36.

-8.

Tematica privind instruirea utilizatorilor informaticieni i neinformaticieni a fost suficient . 36.

-9.

4-au acoperit toate aspectele . 6u aprut necesiti suplimentare legate de pregtirea personalului . 36.

-&.

6 fost constatat o cretere a performanei personalului . 36.

+. Apreciere ,eneral-

-:..

4e realizeaz o reducere a costurilor >consumabile c(eltuieli potale etc.? ca urmare a implementrii aplicaiilor . /0. 3in contr c(eltuielile au crescut din cauza volumului mare de coresponden care nu se poate lista dec)t pe imprimante laser i pe ()rtie @<=A@. Afer sistemul faciliti de verificare rapid a contribuabililor inactivi . 4unt acetia verificai periodic i de ctre cine . 36.

-;.

2%.

Permite sistemul evidenierea contribuabililor care nu depun declaraiile conform modului n care au fost nregistrai. 3ac da precizai procentul acestora fa de numrul total al contribuabililor nregistrai. 36. -- 2%B

2-. 3ar a celor care nu-i ac(it obligaiile . 3ac da precizai procentul acestora fa de numrul total al contribuabililor nregistrai. 36. -7 9:B

22.

6naliza cererilor de rambursare a T.C.6. se realizeaz mai rapid . 36.

25.

4-a mbuntit gradul de depunere voluntar a declaraiilor de obligaii ctre buget . 3ac da n ce procent . 36. ;% %2B

27

3ar gradul de conformare voluntar a contribuabililor la plata impozitelor i ta,elor . 3ac da n ce procent . 36. &: :%B

28.

$are este impactul utilizrii aplicaiilor informatice asupra relaiei cu contribuabilii . <liminarea erorilor de prelucrare i micorarea timpului pe care contribuabilul este nevoit s l petreac la organul fiscal.

29.

Dn ce sens au contribuit acestea la modificarea numrului de contestaii depuse de contribuabili . /u tiu.

2&.

$onsiderai c aplicaiile contribuie la mbuntirea activitii instituiei . 36. Dn opinia dvs. care sunt principalele puncte tari ale sistemului i aplicaiilor. Abinerea rapid a informaiilor. <ste mai puternic cel care este mai bine informat. $are credei c sunt punctele slabe .

2:.

2;.

/u este dotare suficient. 5%. 6vei alte comentarii privind eficacitatea impactul importana sistemului i aplicaiilor . /ecesitatea dotrii cu ec(ipamente suficiente mai performante pentru a evita timpii mori de ateptare.

#ig. 7.- <,emplu de c(estionar pentru probe de auditProbele de audit care servesc pentru testarea unor controale trebuie gestionate cu mult atenie pentru c n multe cazuri trebuie s avem gri! ca at)t setul de date test c)t i procedurile soft*are trebuie s aib aceeai versiune. Testarea controalelor realizat n cadrul procedurilor de audit urmrete s determine dac: controalele opereaz aa cum au fost proiectate; controalele se aplic conform programrii i pe toat durata luat n considerare; se bazeaz pe informaii credibile; se opereaz corect i n timp util erorile identificate de controalele testate. Procedurile de audit pentru testarea controalelor se aplic difereniat n funcie de aria de cuprindere a procedurii i nivelul de detaliere p)n la cere este eficient s se dezvolte aciunea de culegere de probe de audit. Pentru c auditul este focalizat pe clasele de tranzacii critice se recomand utilizarea te(nicii test-of-one. Tehnica test-of-one presupune selectarea unei tranzacii economice i urmrirea flu,ului ei de prelucrare da la momentul evenimentului care a declanat-o i p)n la finalizare. #lo*c(artul tranzaciei va evidenia documentele operaiile procesele informatice controalele de la nceput de la generarea documentelor primare i p)n la sf)rit p)n la raportarea i ar(ivarea datelor. Eantionarea sampling tec(niEue se aplic" atunci c)nd avem nevoie de testarea mai multor operaii dintr-o clas de tranzacii pentru testarea unor controale. 4e pot folosi te(nici de eantionare statistice sau euristice. $)t de departe se merge cu testele controalelor . =spunsul depinde de e,periena ec(ipei de audit de frecvena real a controalelor de aria d cuprindere i de gradul de ncredere.

Fetodologie pentru auditul performanei i al sistemelor informatice $urtea de $onturi a =om)niei 2%%8

Dn funcie de nivelul riscurilor i vulnerabilitilor sistemului auditorul poate s aplice n general dou categorii de teste astfel: G teste de concordan. 6ceste teste sunt cele care determin dac controalele din sistem se desfoar n concordan cu politicile i procedurile stabilite n prealabil de ctre managementul ntreprinderii. 3e asemenea aceste teste pot fi aplicate pentru a testa e,istena i eficacitatea unui anumit proces de control. $ele mai utilizate te(nici pentru aceste teste sunt interviul i c(estionarele. G teste de integritate. Prin aceste teste se determin validitatea i integritatea unui anumit control proces de prelucrare >tranzacie? sau raport din sistemul auditat. $ele mai utilizate te(nici pentru testele de integritate sunt te(nicile de audit asistate de calculator >$66Ts?. 3ac n urma testelor de concordan rezult c nivelul controlului din sistem este adecvat atunci auditorul va aplica mai puine teste de integritate. Dn ceea ce privete testarea controalelor din aplicaiile sistemului informatic auditorul poate s aplice urmtoarele te(nici: G tehnica datelor de test. Presupune stabilirea unui set de date de intrare >corecte i eronate? n funcie de specificul aplicaiilor auditate i introducerea acestor date n aplicaiile din sistem. 3up procesarea acestor date auditorul va urmri i consemna mesa!ele afiate de ctre aplicaii i va compara rezultatele introducerii i procesrii cu rezultatele introduse i calculate corect >de regul manual? relev)ndu-se astfel starea controlului. 3ezavanta!ul ma!or al acestei te(nici este dat de faptul c datele introduse pentru testare pot afecta negativ nregistrrile din fiierele de baz. G tehnica testului integrat. Presupune crearea unei entiti fictive n cadrul nregistrrilor aplicaiei i introducerea datelor de test pentru aceast entitate. 3e e,emplu n cadrul unei aplicaii de eviden a mi!loacelor fi,e se introduce un mi!loc fi, fictiv iar toate operaiile din aplicaie se e,ecut asupra acestuia evalu)ndu-se astfel acurateea i integritatea prelucrrilor din aplicaie fr a afecta negativ nregistrrile din fiierele de baz. 3up testare mi!locul fi, fictiv poate fi ters din baza de date. G simularea paralel. Presupune introducerea n paralel a datelor din aplicaiile auditate n cadrul altor aplicaii identice. In cadrul aplicaiilor create pentru testare se implementeaz doar modulele de prelucrare relevante pentru obiectivele auditului. Dn urma procesrii datelor se compar i analizeaz rezultatele stabilindu-se at)t calitatea controalelor c)t i acurateea i integritatea aplicaiilor.

4.4 Raportul de audit =aportul de audit nc(eie procesul de auditare a unui sistem informatic. Potrivit standardului de audit raportul de audit trebuie s conin n scris o e,primare clar a opiniei asupra entitii auditate. 6uditorul prin n raportul de audit pentru a concluziona pe marginea fiecreia dintre neconformitile pe care le-a sesizat poate s-i e,prime: opinia fr rezerve; opinia cu rezerve; opinia nefavorabil; imposibilitatea de a e,prima o opinie.

=aportul de audit este astfel elementul standard prin intermediul cruia se comunic formal aprecierile i concluziile auditului asupra situaiei reale a sistemului auditat. Informal aceste concluzii se discut cu factorii responsabili pentru ca aceste concluzii s fie corect nelese acceptate i s-i nsueasc msurile propuse pentru meninerea sub control a riscurilor importante ale aplicaiilor informatice. Abiectivele raportului de audit sunt "IC6/%8': s ofere o certificare i recomandri referitoare la procedurile de control i eficiena activitii operative; s asigure o nregistrare oficiale a activitii de audit i a rspunsurilor managerilor; s ofere ncredere n sistemul informatic dup auditare i implementarea msurilor de mbuntirea a procedurilor de control. =aportul de audit al sistemului informatic mbrac forma unei documentaii cuprinztoare organizate pe seciuni. 6utorii citai prelu)nd structura propus de H. 6vram consider c raportul de audit poate fi structurat pe patru seciuni cu urmtorul coninut: a? seciune I care va cuprinde date despre: beneficiarul auditului; sistemul economic i sistemul informatic; scrisoarea de misiune d audit ec(ipa de auditori. b? seciunea II va cuprinde date despre: obiectivele detaliate ale misiunii de audit; te(nicile de audit stabilite i acceptate; structurarea procesului de auditare. c? seciunea III va cuprinde date privind planul de audit etapele ce trebuie parcurse; resursele alocate fiecrei etape; flu,urile care se genereaz pe clase de tranzacii categorii de controale i testele pentru controale; comunicarea ntre membrii ec(ipei de auditori i comunicarea cu beneficiarii procesului de auditare. c? seciunea IC va cuprinde detalierea tuturor surselor utilizate pentru procesul de auditare: proiectul sistemului informatic; te,tele surs; bazele de date; rezultatele testrii efectuate de ec(ipa care a elaborat sistemul informatic; documentaia de proces; opinia ec(ipei de audit documentat individual pentru fiecare din neconformiti le nregistrate. =aportul de audit trebuie s ndeplineasc o serie de e,igene i anume: - inventariaz situaiile pe categorii fr a lsa situaii neclarificate; - analizeaz toate variantele; - trateaz cu aceeai msur toate componentele utiliz)nd aceleai instrumente; - pentru fiecare situaie sunt enumerate toate obiectele de control identificate; - include ipoteze constatri msurtori care prin profesionalismul cu care se

realizeaz nu au fundamente pentru a fi contestate. $laritatea opiniilor de audit e,primate fr ambiguitate transparena procesului de auditare analiza i discutarea constatrilor cu managerii documentarea concluziilor fac din raportul de audit un document calitativ care servete procesului de perfecionare a performanelor sistemului informatic respectiv procesului de perfecionare a managementului ntreprinderii auditate.