Referitor la prima norm n discutie (401 Auditul ntr-un mediu de sisteme de informaii computerizate), trebuie specificat faptul c scopul

l ei este s stabileasc standarde i s ofere instruciuni pentru procedurile ce trebuie urmate cnd este efectuat un audit intr-un mediu de sisteme de informaii computerizate (CIS) Un mediu CIS exist atunci cnd un computer de orice tip sau mrime este implicat n prelucrarea de ctre entitate a informaiilor financiare cu semnificaie pentru audit, indiferent dac acel calculator este operat de entitate sau de o ter parte. !uditorul trebuie s aib cunotine suficiente despre CIS pentru a planifica, a conduce, a supra"e#$ea i a re"izui acti"itatea desfurat %ac sunt necesare aptitudini specializate, auditorul trebuie s consulte un profesionist care posed astfel de aptitudini i care poate face parte fie din personalul auditorului, fie din afara acestuia &n concordan cu Standardul '(( )*"aluarea riscurilor i controlului intern), auditorul trebuie s obin o nele#ere suficient s sistemului contabil i a sistemului de control intern pentru a planifica auditul i pentru a dez"olta o abordare real a acestuia &n planificarea prilor din audit ce pot fi afectate de mediul CIS al clientului, auditorul trebuie s nelea# semnificaia i comple+itatea acti"itilor CIS, i a disponibilitii datelor ce se utilizeaz n audit !ceast nele#ere include aspecte, cum ar fi, - Importana i comple+itatea procesrii computerizate a fiecrei aplicaii contabile semnificati"e - Structura or#anizaional a acti"itilor CIS ale clientului i msura concentrrii sau repartizrii procesului computerizat n cadrul ntre#ii entiti, n mod special n cazul n care pot afecta separarea sarcinilor - %isponibilitatea datelor Cnd CIS-ul este semnificati", auditorul trebuie s obin, de asemenea, o nele#ere a mediului CIS i dac acesta poate influena e"aluarea riscurilor inerent i de control -atura riscurilor i caracteristicile controlului intern n mediile CIS includ urmtoarele, - .ipsa do"ezilor tranzaciei !colo unde un sistem comple+ de aplicaii e+ecut un numr mare de pai de procesare, acesta nu poate constitui o do"ad complet &n consecin, erorile cuprinse n pro#ramul lo#ic al unei aplicaii pot fi dificil de detectat n timp util prin proceduri manuale - /rocesarea uniform a tranzaciilor /rocesarea computerizat prelucreaz n mod uniform tranzaciile similare ce au aceleai instruciuni de procesare !stfel, erorile de redactare n mod obinuit asociate procesrii manuale sunt n mod "irtual eliminate %impotri",

erorile de pro#ramare (sau alte erori sistematice n $ard0are sau soft0are) "or a"ea ca rezultat n mod normal prelucrarea n mod incorect a tuturor tranzaciilor .ipsa separrii funciilor 1nele proceduri de control care n mod normal sunt e+ecutate manual de indi"izi separai pot fi concentrate n CIS &n acest fel, un indi"id care are acces la pro#rame, proceduri sau date computerizate poate e+ecuta funcii incompatibile /otenialul apariiei erorilor i nere#ularitilor /otenialul apariiei erorilor umane n dez"oltarea, meninerea i e+ecutarea CIS poate fi mai mare dect n sistemul manual, parial din cauza ni"elului de detaliu, inerent n aceste acti"iti %e asemenea, potenialul indi"izilor de a cti#a accesul neautorizat la date sau de a altera datele fr o do"ad "izibil poate fi mai mare n CIS dect n sistemele manuale In plus, diminuarea implicrii umane n mane"rarea tranzaciilor procesate n CIS poate reduce potenialul neobser"rii erorilor i nere#ularitilor Iniierea sau e+ecutarea tranzaciilor CIS poate include capacitatea de a iniia sau poate cauza e+ecuia anumitor tipuri de tranzacii, n mod automat !utorizarea acestor tranzacii sau proceduri poate s nu fie documentat n acelai mod cu acelea dintr-un sistem manual, iar autorizarea de ctre mana#ement a acestor tranzacii poate fi implicit prin modul n care a fost proiectat CIS-ul i pentru modificrile ulterioare ale acestuia %ependena de alte controale prin procesri computerizate /rocesarea computerizat poate produce rapoarte si alte elemente care sunt utilizate in efectuarea procedurilor manuale de control *ficacitatea acestor proceduri manuale de control poate fi dependent de eficacitatea controalelor asupra e+$austi"itii i e+actitii procesrii computerizate &n sc$imb, eficacitatea i operarea consec"ent a controalelor asupra procesrii tranzaciilor n aplicaiile computerizate depinde adesea de eficacitatea controalelor CIS #enerale /otenial de supra"e#$ere sporit realizaz de conducere CIS poate oferi conducerii o "arietate de instrumente analitice care pot fi folosite pentru a re"izui i supra"e#$ea operaiile entittii %isponibilitatea acestor controale adiionale, dac este ne"oie, poate a2uta la sporirea nre#ii structuri de control intern /otenial de utilizare a te$nicilor de audit asistate de calculator /rocesarea i analizarea unei cantiti mari de date, utiliznd calculatoarele, poate oferi auditorului oportuniti de aplicare a te$nicilor i instrumentelor de audit asistate de calculator #enerale sau specializate n e+ecutarea testelor de audit

!uditorul trebuie s fac o e"aluare a riscului inerent i a riscului de control pentru aseriunile semnificati"e ale conducerii pri"ind situaiile financiare Riscurile pot rezulta din deficiene ale acti"itilor #enerale din CIS, cum ar fi dez"oltarea i ntreinerea pro#ramelor, suportul sistemelor soft0are, securitatea fizic a CIS i controlul asupra accesului la pro#rame utilitare speciale Riscurile pot crete potenialul de apariie a erorilor i acti"itilor frauduloase n aplicaiile specifice, n bazele de date specifice sau n fiierele master, sau n acti"itile specifice de procesare 3biecti"ele specifice ale auditorului nu se sc$imb dac datele contabile sunt procesate manual sau cu a2utorul computerului Cu toate acestea, metodele de aplicare a procedurilor de audit pentru colectarea probelor pot fi influenate de metodele de procesare computerizat !uditorul poate utiliza fie procedurile manuale de audit, te$nici de audit asistate de calculator, fie o combinaie ntre cele dou pentru a obine suficiente probe e"idente Declaraia de Practic de Audit nr.1001 "Medii !" microcomputere neincluse n reea" are scopul de a a2uta auditorul s implementeze Standardul '(( )*"aluarea riscurilor i controlul intern) i %eclaraia de practic de audit 4((5 )*"aluarea riscurilor i controlul intern 6 caracteristici i considerente CIS), prin descrierea sistemelor de microcomputere folosite ca puncte de lucru indi"iduale (neincluse n reea) %eclaraia descrie efectele microcomputerului asupra sistemului contabil i a controalelor interne cone+e, precum i asupra procedurilor de audit 1n microcomputer poate fi folosit n diferite confi#uraii !cestea includ, o un punct de lucru neinclus n reea, operat de un sin#ur utilizator sau de un numr de utilizatori n perioade de timp diferite7 o un punct de lucru care este parte a unei reele locale de microcomputere7 i o un punct de lucru conectat la un computer central /unctul de lucru neinclus n reea poate fi operat de un sin#ur utilizator sau de un numr de utilizatori n perioade de timp diferite, prin accesarea acelorai pro#rame sau a unor pro#rame diferite /ro#ramele i datele sunt stocate n microcomputer sau n imediata apropiere i n #eneral datele sunt introduse manual direct de la tastatur 3 reea local este un aran2ament n care dou sau mai multe microcomputere sunt le#ate mpreun prin utilizarea liniilor speciale de soft0are i comunicaie 8ipic, unul dintre microcomputere "a aciona ca ser"er de reea 3 reea local permite utilizarea n comun a resurselor (s$arin#), cum ar fi facilitile de stocare i imprimantele

%eoarece considerentele i caracteristicile de control ale $ard0are-ului i soft0are-ului sunt diferite atunci cnd un microcomputer este conectat la alte computere, asemenea medii sunt descrise n alte suplimente la Standardul '(( )*"aluarea riscului i controlul intern) Cu toate acestea, n msura n care un microcomputer care este conectat la alt computer poate fi, de asemenea, folosit ca un punct de lucru indi"idual, informaiile din aceast %eclaraie sunt rele"ante Controlul intern n mediile de microcomputere /ro#ramele de aplicaie 6 ntr-un astfel de mediu 6 pot fi dez"oltate relati" repede de ctre utilizatori care au numai abiliti de baz pri"ind procesarea datelor /entru c microcomputerele sunt orientate spre utilizatori finali indi"iduali, #radul de acuratee i dependena de informaiile financiare produse "a depinde de controalele interne prescrise de ctre conducere i adoptate de utilizator %e e+emplu, atunci cnd e+ist mai muli utilizatori ai unui sin#ur microcomputer, fr controale adec"ate, pro#ramele i datele stocate pe mi2loacele de memorare permanente de ctre un utilizator pot fi susceptibile la acces, folosire sau modificare neautorizat a coninutului lor, sau furt de ctre ali utilizatori &ntr-un mediu computerizat tipic, este posibil s nu fie uor de stabilit distincia dintre controalele #enerale CIS i controalele de aplicaie CIS Conducerea poate contribui la e+ploatarea eficient a microcomputerelor neincluse n reea prin prescrierea i aplicarea politicilor pentru controlul i folosirea lor %in cauza caracteristicilor lor fizice, microcomputerele sunt susceptibile de furt, deteriorare fizic, acces neautorizat sau utilizare #reit !cestea pot a"ea drept rezultat pierderea informaiilor stocate n microcomputer, de e+emplu, date financiare "itale peentru sistemul contabil 3 metod de securitate fizic este de a limita accesul la microcomputere, atunci cnd nu sunt folosite, prin ncuierea uilor sau prin aplicarea altor msuri de securitate n afara orelor de pro#ram &n plus, securitatea fizic a microcomputerelor poate fi asi#urat, de e+emplu, prin, nc$iderea microcomputerelor ntr-un dulap de protecie sau ntr-un n"eli protector7 utilizarea unui sistem de alarm care este acti"at ori de cte ori microcomputerul este deconectat sau mutat de la locul lui7 fi+area microcomputerului de o mas7 sau instalarea unui mecanism de nc$idere pentru a controla accesul la ntreruptorul de pornire9oprire !cesta nu poate s pre"in furtul, dar poate fi eficient n controlul folosirii neautorizate

/ro#ramele i datele folosite de un microcomputer pot fi stocate pe medii de stocare permanente i temporare :izic, disc$etele i cartuele pot fi scoase microcomputer, n timp ce $ard-dis;-urile sunt si#ilate n mod normal n microcomputer sau ntr-o unitate indi"idual ataat acestuia !tunci cnd un microcomputer este folosit de mai multe persoane, utilizatorii pot a"ea o poiziie diferit n ce pri"ete stocarea disc$etelor de aplicaii pentru care ei sunt responsabili Ca rezultat, disc$ete importante pot fi depozitate #reit, informaiile coninute pot fi modificate fr autorizaie sau pot fi distruse Controlul asupra mediilor de stocare temporare poate fi realizat prin plasarea responsabilitii pentru asemenea medii n sarcina personalului ale crui responsabiliti includ ndatoriri de custode sau bibliotecar al soft0areului Controlul poate fi ntrit suplimentar atunci cnd este folosit un sistem de "erificare la intrare i la ieire a pro#ramelor i a fiierelor de date, i atunci cnd locurile de depozitare desemnate sunt nc$ise !semenea controale interne asi#ur c mi2loacele de stocare temporare nu sunt pierdute, #reit depozitate sau date personalului neautorizat Controlul fizic asupra mi2loacelor de stocare permanente este probabil cel mai bine realizat prin utilizarea dispoziti"elor de nc$idere &n funcie de natura pro#ramului i a fiierelor de date, este adec"at a se pstra copii curente ale disc$etelor, cartuelor i $ard-dis;-urilor ntr-un recipient neinflamabil fie la locul de desfurare a acti"itii, fie n afara acestuia sau n ambele locuri !ceasta se aplic n mod e#al sistemului de operare i soft0are-ului util, precum i copiilor bac;-up ale $ard-dis;-urilor Cnd microcomputerele sunt accesibile mai multor utilizatori, e+ist riscul ca pro#ramele i datele s poat fi modificate fr autorizaie /entru c soft0are-ul sistemului de operare al microcomputerului poate s nu conin multe carecteristici de control i securitate, e+ist mai multe te$nici de control intern care pot fi construite n cadrul pro#ramelor de aplicaii ce asi#ur c datele sunt procesate i citite doar autorizat i c distru#erea accidental a datelor este pre"enit :olosirea unui director permite utilizatorului s separe informaia pe medii de stocare permanente i temporare /entru informaiile critice i sensibile, aceast te$nic poate fi suplimentat prin atribuirea de nume secrete fiierelor i prin )ascunderea) acestora Cnd microcomputerele sunt folosite de utilizatori multipli, o te$nic eficient de control intern este folosirea parolelor, care determin #radul de acces acordat unui utilizator /arola este atribuit i monitorizat de un an#a2at care este independent de sistemul specific pentru care aceasta se aplic Cripto#rafia poate oferi un control eficient pentru prote2area pro#ramelor confideniale i sensibile, precum i a informaiilor, de accesarea i modificarea neautorizat de ctre utilizatori !ceasta este folosit n #eneral cnd datele sensibile sunt transmise pe liniile de comunicaie, dar poate fi

folosit i n cazul informaiei procesate de un microcomputer Cripto#rafia este procesul de transformare a pro#ramelor i informaiilor ntr-o form neinteli#ibil Codificarea i decodificarea datelor cere folosirea unor pro#rame speciale i a unui cod-c$eie cunoscut numai de acei utilizatori autorizai pentru utilizarea pro#ramelor i datelor respecti"e 1n control suplimentar al accesului la informaiile confideniale sau sensibile stocate pe medii de stocare permanente este copierea infprmaiilor pe o disc$et sau un cartu i ter#erea fiierelor de pe mediile de stocare permanente <icrocomputerele sunt orientate ctre utilizatori finali pentru dez"oltarea pro#ramelor de aplicaii, introducerea i procesarea datelor, precum i pentru #enerarea de rapoarte =radul de acuratee i de dependen a informaiilor financiare produse se "a baza pe controalele interne prescrise de conducere i adoptate de utilizatori, precum i pe controalele incluse n pro#ramele de aplicaii Controalele de inte#ritate a datelor i a software-ului pot asi#ura c informaiile procesate nu conin erori i c soft0are-ul nu este susceptibil de manipulare neautorizat Inte#ritatea datelor poate fi ntrit prin ncorporarea procedurilor de control intern, cum ar fi "erificrile formatului, ale inter"alului i "erificrile ncruciate ale rezultatelor 3 re"izuire a soft0are-ului ac$iziionat poate determina dac acesta conine faciliti de "erificare i detectare adec"at a erorilor %ocumentaia scris adec"at a aplicaiilor ce sunt procesate pe microcomputer poate ntri n mod suplimentar controalele de inte#ritate a datelor i a soft0are-ului >ac;-up-ul se refer la planurile fcute de entitate pentru a obine accesul la $ard0are, soft0are i date comparabile n e"entualitatea nereuitei, pierderii sau distru#erii lor *ste n mod special important pentru a stabili procedurile de bac;-up pentru utilizatori, pentru ca acestea s fie e+ecutate n mod obinuit Considerente luate n calcul n proiectarea de proceduri de control rentabile pentru microcomputerele indi"iduale, Controale generale CIS separarea responsa!ilitilor

&ntr-un mediu microcomputerizat, este obinuit ca utilizatorii s fie capabili s e+ecute dou sau mai multe din urmtoarele funcii n sistemul contabil, iniierea i autorizarea documentelor surs7 introducerea de date n sistem7 operarea computerului7 sc$imbarea pro#ramelor i a fiierelor de date7

 folosirea sau distribuirea rezultatelor7i modificarea sistemelor de operare .ipsa separrii funciilor ntr-un mediu de microcomputere poate s permit, nedetectarea erorilor7 i comiterea i ascunderea fraudelor Controalele de aplicaie CIS *+istena i folosirea controalelor de acces adec"ate asupra soft0are-ului, $ard0are-ului i fiierelor de date, combinate cu controlul asupra datelor iniiale, procesrii i rezultatelor obinute poate s compenseze unele din carenele controalelor #enerale CIS n mediile de microcomputere Controalele eficiente pot include, un sistem al 2urnalelor tranzaciilor i al ec$ilibrrii loturilor7 supra"e#$erea direct7 i reconcilierea conturilor de nre#istrare sau a totalurilor defalcate *fectul unui mediu de microcomputere asupra procedurilor de audit &n #eneral, riscul de control este mare in mediile de microcomputere &n aceast situaie, auditorul poate #si c este mai rentabil s nu efectueze o analiz a controalelor #enerale CIS sau a controalelor de aplicaie CIS, ci s-i concentreze eforturile asupra testelor de fond la9sau aproape de sfritul anului 8e$nicile de audit asistate de calculator pot cuprinde utilizarea unui soft0are al clientului care a fost supus analizei de ctre auditor sau folosirea pro#ramelor pro#ramelor de soft0are proprii ale auditorului &n anumite circumstane,auditorul poate decide s adopte o abordare diferit !ceste circumstane pot cuprinde sistemele de microcomputere care proceseaz un numr mare de tranzacii, atunci cnd ar fi mai rentabil s e+ecute un audit al datelor la o dat preliminar !cesta poate decide s dez"olte o abordare a auditului ce include testarea acelor controale pe care el intenioneaz s se bazeze *+emple de astfel de proceduri de control, Separarea funciilor Rotirea ndatorilrilor ntre an#a2ai Reconcilierea soldurilor sistemului cu cpnturile de control din cartea mare !nalizarea periodic de ctre conducere a tabelului de procesare i a rapoartelor care idintific persoanele care au folosit sistemul !mplasarea microcomputerului n raza "izual a persoanei responsabile de controlul accesului la acesta

"tandardul de Audit nr.100# "Medii !" sisteme computerizate on-line" are scopul de a a2uta auditorul s implementeze Standardul '(( )*"aluarea riscurilor i controlului intern) i %eclaraia de /ractic de !udit 4((5 )*"aluarea riscului i controlul intern 6 Caracteristici i considerente CIS) prin descrierea sistemelor computerizate on-line Sistemele computerizate care permit utilizatorilor s acceseze date i pro#rame direct prin dispoziti"e terminale sunt denumite sisteme computerizate on-line !stfel de sisteme pot fi bazate pe computere principale, minicomputere sau microcomputere or#anizate ntr-o reea &ntr-un sistem computerizat on-line, pot fi folosite mai multe tipuri de dispoiziti"e terminale, (a) 8erminale cu scop #eneral, cum ar fi, - 8astatura i ecranul de baz 6 folosite pentru introducerea datelor fr "alidare n cadrul terminalului i pentru afiarea datelor din sistemul computerizat pe ecran - 8erminalul inteli#ent 6 folosit pentru funciile tastaturii i ale ecranului de baz cu funcii suplimentare de "alidare a datelor n cadrul terminalului, pstrarea 2urnalelor tranzaciilor i e+ecutarea altor procesri locale - <icrocomputerele 6 folosite pentru oricare din funciile unui terminal inteli#ent cu capaciti de procesare i stocare local suplimentare (b) 8eminale cu scop special, cum ar fi, - %ispoziti"ele de la punctul de "nzare 6 folosite pentru a nre#istra tranzaciile de "nzare atunci cnd au loc i de a le transmite computerului principal - >ancomate 6 folosite pentru a iniia, "alida, nre#istra, transmite i completa diferite tranzacii bancare Controlul intern ntr-un sistem computerizat on-line Controale generale ale CIS" Controale ale accesului 6 proceduri proiectate pentru a limita accesul la pro#rame i date !ceste proceduri de control al accesului includ folosirea parolelor i a soft0are-ului specializat de control al accesului, cum ar fi monitoare on-line care pstreaz controlul asupra meniurilor, a tabelelor de autorizare, a parolelor, a fiierelor i pro#ramelor pe care utilizatorul are dreptul s le acceseze Controale asupra parolelor Controalele de dez"oltare i ntreinere a sistemului

 Controalele de pro#ramare ?urnalele tranzaciilor Controale de aplicaie CIS" !utorizarea pre-procesrii *ditarea dispoziti"ului terminal, teste de rezonabilitate i alte teste de "alidare /rocedurile de separare a e+erciiilor Controalele fiierelor Controalele fiierelor principale *c$ilibrare &ntr-un sistem computerizat on-line, urmtoarele aspecte sunt de importan special pentru auditor, !utorizarea, e+$austi"itatea i acurateea tranzaciilor on-line Inte#ritatea nre#istrrilor i procesrii, datorit accesului on-line al sistemului de ctre muli utilizatori i pro#ramatori <odificrile n performana procedurilor de audit, inclusi" folosirea te$nicilor de audit asistate de calculator (C!!8-urile) datorate unor aspecte cum ar fi, - ne"oia, n sistemele computerizate on-line, de auditori cu abiliti te$nice7 - efectul sistemului computerizat on-line asupra duratei procedurilor de audit7 - lipsa probelor "izibile ale tranzaciilor7 - procedurile efectuate n timpul etapei de planificare a auditului7 - procedurile de audit e+ecutate n mod concomitent cu procesarea online7 - procedurile e+ecutate dup ce procesarea datelor a a"ut loc /rocedurile efectuate n timpul etapei de planificare pot cuprinde, /articiparea n ec$ipa de audit a indi"iziolor cu e+perien profesional te$nic n sisteme computerizate on-line i n controale cone+e %eterminarea preliminar an timpul procesului de e"aluare a riscului, a impactului sistemului asupra procedurilor de audit &n #eneral, ntrun sistem computerizat on-line bine proiectat i controlat, este probabil ca auditorul s se bazeze mult pe controalele interne din sistem n determinarea naturii, duratei i ntinderii procedurilor de audit /rocedurile de audit e+ecutate concomitent cu procesarea on-line pot cuprinde "erificarea conformitii controalelor asupra aplicaiilor on-line %e e+emplu, aceasta se realizeaz prin introducerea tranzaciilor test la dispoziti"ele terminale on-line sau prin utilizarea soft0are-ului de audit

/rocedurile e+ecutate dup ce procesarea datelor a a"ut loc pot cuprinde, 8estarea conformitii controalelor asupra tranzaciilor introduse n sistem n ce pri"ete autorizarea, e+$austi"itatea i acurateea lor 8este de fond ale tranzaciilor i rezultatelor de procesare mai de#rab dect teste ale controalelor, dac primele pot fi mai rentabile sau acolo unde sistemul nu este bine proiectat i controlat Caracteristicile sistemelor computerizate on-line permit s fie mai eficace pentru auditor s e+ecute o analiz de preimplementare a noilor aplicaii contabile on-line dect s "erifice aplicaiile dup instalare "tandardul de audit nr.100$ "Medii !" sisteme de %aze de date" are scopul de a a2uta auditorul s implementeze Standardul '(( )*"aluarea riscurilor i controlul intern), precum i %eclaraia de /ractic de !udit 4((5 )*"aluarea riscului i controlul intern 6 caracteristici i considerente CIS), prin descrierea sistemelor de baze de date Sistemele de baze de date sunt compuse n principal din dou componente eseniale 6 baza de date i sistemul de #estionare al bazei de date (%><S) Sistemele de baze de date interacioneaz cu alte elemente de $ard0are i soft0are ale sistemului informatic #eneral Sistemele de baze de date pot fi stocate n orice fel de sistem informatic, inclusi" ntr-un sistem informatic cu microcalculatoare &n anumite medii microinfoirmatice, sistemele de baze de date sunt utilizate de un sin#ur utilizator !stfele de sisteme nu sunt considerate a fi baze de date n scopul acestei %eclaraii Cu toate acestea, coninutul acestei %eclaraii este aplicabil tuturor mediilor cu utilizatori multipli Sistemele de baze de date se distin# prin dou caracteristici importante, utilizarea n comun a datelor (s$arin#) i independena datelor !ceste caracteristici solicit utilizarea unui dicionar de date i stabilirea unei funcii de administrare a bazei de date &n #eneral, controlul intern ntr-o baz de date necesit controale efecti"e asupra bazei de date, a %><S-ului i a aplicaiilor =radul de eficacitate al controalelor interne depinde ntr-o mare msur de natura sarcinilor de administrare a bazei de date (para#rafele 44-4' ale %eclaraiei) i a modului cum sunt efectuate Controalele #enerale CIS care au o importan particular n mediul de baze de date pot fi clasificate n urmtoarele #rupe, abordarea standard pentru dez"oltarea i meninerea pro#ramelor de aplicaii7 informaii despre proprietarul datelor7 accesul la baza de date7 separarea responsabilitilor

*fectul bazelor de date asupra sistemului contabil i asupra controalelor interne aferente *fectul bazelor de date asupra sistemului contabil i riscurile asociate "or depinde n #eneral de, msura n care bazele de date sunt utilizate de aplicaiile contabile7 tipul i importana tranzaciilor financiare care sunt procesate7 natura bazei de date, %><S-ul (inclusi" dicionarul de date), sarcinile administrrii bazei de date i aplicaiile (de e+emplu, actualizrile on-line)7 i controalele #enerale CIS care sunt importante n special ntr-un mediu de baze de date Sistemele de baze de date ofer n #eneral posibilitatea unei mai mari fiabiliti a datelor fa de celelalte sisteme !ceasta are ca rezultat o scdere a riscului unei fraude sau erori n sistemul contabil n care sunt utilizate bazele de date 1rmtorii factori, combinai cu controale adec"ate, contribuie la aceast fiabilitate sporit a datelor, Consistena sporit a datelor este obinut, deoarece datele sunt nre#istrate i actualizate o sin#ur dat, spre deosebire de alte sisteme, unde aceleai date sunt stocate n cte"a fiiere i actualizate la momente diferite de diferite pro#rame Inte#ritatea datelor "a fi mbuntit de utilizarea efecti" a facilitilor incluse n %><S, cum ar fi recuperarea, rutine de repornire, rutine de editare #eneralizat i de "alidare, precum i trsturile de securitate i control !lte funcii disponibile prin %><S pot facilita procedurile de control i audit !ceste funcii cuprind #eneratori de raport, care pot fi utilizai pentru a crea rapoarte de solduri, precum i ntrebri care pot fi utilizate pentru a identifica neconcordanele din date !lternati", riscul de fraud sau eroare poate crete, dac sistemele de baze de date sunt utilizate fr un control adec"at &ntr-un sistem care nu se bazeaz pe baze de date, controalele e+ercitate de utilizatori indi"iduali pot compensa carenele controalelor #enerale CIS 8otui, ntr-un sistem de baze de date, acest lucru nu este posibil, aa cum controalele inadec"ate ale administrrii bazei de date nu pot ntotdeauna s fie compensate de utilizatori indi"iduali *fectul bazelor de date asupra procedurilor de audit &ntr-un sistem de baze de date, procedurile de audit "or fi afectate n principal de msura n care datele din baza de date sunt utilizate de sistemul contabil &n situaia n care aplicaii contabile importante utilizeaz o baz de

date comun, auditorul poate considera a fi mai puin costisitor s utilizeze unele din procedurile prezentate n continuare /entru a nele#e mediul de control al bazei de date i flu+ul de tranzacii, auditorul poate lua n considerare efectul urmtoarelor riscuri de audit n planificarea auditului, %><S-ul i aplicaiile contabile importante ce folosesc baza de date7 standardele i procedurile pentru dez"oltarea i meninerea pro#ramelor de aplicaii folosind baza de date7 funcia de administrarea a bazei de date7 fiele posturilor, standardele i procedurile pentru acei indi"izi responsabili cu asi#urarea suportului te$nic, proiectrii, administrrii i operrii bazei de date7 procedurile utilizate pentru asi#urarea inte#ritii, securitii i e+$austi"itii informaiei financiare cuprinse n baza de date7 i disponibilitatea facilitilor pentru audit cuprinse n %><S %ac auditorul decide c se poate baza pe controalele interne le#ate de utilizarea bazelor de date n sistemul contabil, acesta "a proiecta i efectua teste de conformitate adec"ate &n aceast situaie, procedurile de audit pot include utilizarea de funcii din cadrul %><S, ns auditorul "a trebui s obin asi#urri rezonabile n ceea ce pri"ete funcionarea lor corect !colo unde auditorul decide c nu se poate baza pe controalele din sistemul bazei de date, "a lua n considerare dac efectuarea de teste de detaliu adiionale asupra tuturor aplicaiilor contabile importante care utilizeaz baza de date "a satisface obiecti"ul de audit, deoarece controalele inadec"ate ale administrrii bazei de date nu pot fi mereu compensate de utilizatorii indi"iduali "tandardul de Audit 100& "'(aluarea riscurilor )i controlul intern caracteristici )i considerente !"" Introducerea tuturor controalelor CIS dorite nu poate fi pus n practic atunci cnd dimensiunea afacerii este redus sau atunci cnd microcomputerele sunt folosite independent de dimensiunea afacerii &n cazul n care datele sunt procesate de o ter persoan, luarea n considerare a caracteristicilor mediului CIS poate "aria n funcie de #radul de acces la procesarea efectuat de ter Structura organizaional 6 Caracteristicile unei structuri or#anizaionale CIS includ, (a) Concentrarea funciilor #i a cuno#tinelor 6 dei ma2oritatea sistemelor care apeleaz la metodele CIS "or include i operaii manuale, n #eneral numrul persoanelor implicate n acti"itatea de procesare a informaiilor financiare este redus semnificati"

(b) Concentrarea programelor #i a datelor 6 datele pri"ind tranzaciile i datele permanente sunt adesea concentrate, de obicei sub form de date ce pot fi citite de computere, fie ntr-un computer central, sau ntr-un numr de computere distribuite ntr-o entitate /ro#ramele de computer care asi#ur posibilitatea de a obine acces sau de a modifica astfel de date sunt, de re#ul, stocate n acelai loc ca i datele %e aceea, n absena unor controale adec"ate, e+ist un potenial crescut al accesrii neautorizate i al modificrii pro#ramelor i datelor $atura procesrii 6 caracteristicile sistemului care pot rezulta din natura procesrii CIS includ, (a) %!sena documentelor de intrare (b) &ipsa unei do'ezi 'izi!ile a tranzaciei (c) &ipsa unor ie#iri 'izi!ile (d) U#urina de a accesa datele #i programele pentru calculator. %specte referitoare la design #i aspecte procedurale" (a) Consec'ena execuiei (!) *roceduri de control programate (c) %ctualizarea unei singure tranzacii n fi#iere multiple sau de !aze de date (d) +ranzacii generate de sisteme (e) ,ulnera!ilitatea mediilor de stocare a datelor #i programelor Controale interne ntr-un mediu CIS Controalele interne asupra procesrii computerizate, care a2ut ca obiecti"ele #enerale ale controlului intern s fie atinse, includ att proceduri manuale, ct i proceduri incluse n pro#rame pentru computer !stfel de proceduri de control, manuale i computerizate, cuprind controalele #enerale care afecteaz mediul CIS i controalele specifice asupra aplicaiilor contabile Controale #enerale CIS 6 au scopul de a stabili un cadru de lucru pentru controalele #enerale aplicate acti"itilor CIS i de a asi#ura un ni"el de si#uran rezonabil pentru atin#erea obiecti"elor #enerale ale controlului intern *le pot include, (a) Controale ale organizrii #i conducerii 6 concepute s stabileasc un cadru de lucru or#anizaional pentru acti"itile CIS, inclusi", - /olitici i proceduri referitoare la funciile de control7 - &mprirea adec"at a funciilor incompatibile (b) -ez'oltarea sistemelor de aplicaii #i controale de ntreinere 6 concepute s ofere o si#uran rezonabil, n sensul c aceste sisteme sunt dez"oltate i meninute de o manier autorizat i eficient %e

asemenea, ele sunt tipic concepute, cu scopul de a stabili un control asupra, - 8estrii, con"ersiei, implementrii i documentrii pentru sistemele noi sau pentru cele re"izuite7 - <odificrilor sistemelor de aplicaii7 - !ccesului la documentaia sistemelor7 - !c$iziionrii sistemelor de aplicaii de la tere pri (c) Controlul operaiunilor computerizate 6 conceput s controleze operarea sistemelor i s ofere o si#uran rezonabil n ceea ce pri"ete faptul c, - Sistemele sunt utilizate numai pentru scopuri autorizate7 - !ccesul la operaiunile computerizate este limitat la personalul autorizat7 - Sunt utilizate numai pro#rame autorizate7 - *rorile de procesare sunt detectate i corectate (d) Controlul software-ului de sistem conceput s ofere o si#uran rezonabil c soft0are-ul de sistem este obinut sau dez"oltat ntr-o manier autorizat i eficient, incluznd, - !utorizarea, aprobarea, testarea, implementarea i documentaia pentru noile pac$ete de soft0are de sistem i pentru modificrile aduse pac$etelor de soft e+istente7 - .imitarea accesului la soft0are-ul i documentaia de sistem numai la persoanele autorizate (e) Controlul intrrilor de date #i al programelor conceput s ofere o si#uran rezonabil pri"ind faptul c, - *ste stabilit o structur de acordare a autorizrii pentru tranzaciile care sunt introduse n sistem7 - !ccesul la date i pro#rame este interzis personalului neautorizat Controale-aplicaii CIS - au scopul de a stabili proceduri de control specifice pentru aplicaiile contabile n "ederea oferirii unei si#urane rezonabile c toate tranzaciile sunt autorizate, nre#istrate i procesate complet, corect i la timp *le includ, (a)Controale asupra intrrilor 6 concepute s ofere o asi#urare rezonabil c, - 8ranzaciile sunt corect autorizate nainte de a fi procesate de ctre computer7 - 8ranzaciile sunt corect con"ertite ntr-o form ce poate fi citit de computer i nre#istrate ntr-un fiier de date ntr-un computer7 - 8ranzaciile nu sunt pierdute, adu#ate, duplicate sau modificate #reit7 - 8ranzaciile incorecte sunt respinse, corectate sau, dac este necesar, trimise napoi la timp

(b)Controale asupra procesrii #i asupra fi#ierelor de date concepute s ofere o asi#urare rezonabil c, - 8ranzaciile, inclusi" cele #enerate de sistem, sunt corect procesate de ctre computer7 - 8ranzaciile nu sunt pierdute, adu#ate, duplicate sau modificate ntr-o manier necorespunztoare7 - *rorile de procesare sunt identificate i corectate la timp (c)Controale asupra ie#irilor concepute s ofere o asi#urare rezonabil n ceea ce pri"ete faptul c, - Rezultatele procesrii sunt corecte7 - !ccesul la informaiile ieite este interzis personalului neautorizat7 - Informaiile prelucrate sunt puse la timp la dispoziia personalului autorizat