ISA 620: Utilizarea activitii

unui expert din partea

auditorului

Utilizarea unui expert IT n

auditul sistemelor informatice
Claudiu BRANDAS, conf. univ. dr.
Facultatea de Economie si de Administrare a Afacerilor
Universitatea de Vest din Timisoara
claudiu.brandas@e-uvt.ro

Cuprins
ISA 620 Utilizarea activitii unui expert din
partea auditorului
2. Impactul utilizrii sistemelor informatice n cadrul
proceselor financiar-contabile i de gestiune
3. Determinarea necesitii utilizrii serviciilor unui
auditor de sisteme informaionale
4. Metodologia de audit a sistemelor informaionale
5. Tehnici de audit asistate de calculator (CAATs)
6. Studii de caz
1.

ISA 620 Utilizarea activitii unui expert din

partea auditorului

confer auditorului financiar dreptul de a

apela la serviciile unui specialist atunci
cnd: expertiza ntr-un domeniu, altul
dect contabilitatea sau auditul, este
necesar n vederea obinerii de probe
de audit suficiente i adecvate,
auditorul trebuie s stabileasc dac
va utiliza activitatea unui expert din
partea auditorului.

ISA 620 prevede c este posibil s fie necesar un expert din partea auditorului n vederea
asistrii auditorului n urmtoarele situaii [Mirela G.] :
Obinerea unei nelegeri a entitii i a mediului su, inclusiv a controlului
su intern.
n acest sens, standardul ISA 315 Identificarea i evaluarea riscurilor de
denaturare semnificativ prin nelegerea entitii i a mediului su recomand auditorului
s neleag sistemul informaional, riscurile care decurg din utilizarea tehnologiilor
informaionale pentru a putea realiza o evaluare a sistemului de control intern al entitii.
Identificarea i evaluarea riscurilor de denaturare semnificativ.
Acelai standard ISA 315 prevede ntre condiiile i evenimentele care pot indica
riscuri de denaturare semnificativ urmtoarele: inconsecvenele dintre strategia
informatic a entitii i strategiile sale de afaceri, modificri ale mediului informatic,
instalarea de noi sisteme informatice semnificative aferente raportrii financiare etc.

Stabilirea i implementarea rspunsurilor generale la riscurile evaluate la

nivelul situaiilor financiare.

Conceperea i efectuarea de proceduri de audit ulterioare pentru a

rspunde riscurilor evaluate la nivelul afirmaiei, cuprinznd teste ale

controalelor sau proceduri de fond.

Evaluarea caracterului suficient i a gradului de adecvare probelor de audit

obinute prin formarea unei opinii asupra situaiilor financiare.

Impactul utilizrii sistemelor informatice n

cadrul proceselor financiar-contabile i de
gestiune

Sisteme Informatice de Gestiune (S.I.G.)

Sistemul informaional
al organizaiei

Date i informaii

Date i
informaii

Date i
informaii

-Politici i proceduri de lucru

-Proceduri de control

Sistemul informatic
al organizaiei

Mediu informaional
extern

Aplicaii (programe) informatice

economice

Aplicaii informatice pentru:

financiar-contabilitate
gestiunea stocurilor
gestiunea mijloacelor fixe
personal-salarizare
producie
calculaia costurilor
distribuie i logistic
analiza economico-financiar .a.

Sisteme informatice economice integrate (ERP Enterprise

Resource Planning)

Pachete de aplicaii informatice pentru birou: MS Office, Lotus

Smart Suite, Star Office .a.

Tehnologii i sisteme informatice

E-Business (E-Commerce, E-Banking)

Cloud Computing (SaaS, PaaS, IaaS, BPaaS)

Mobile Computing

IoT (Internet of Things)

S.I. sunt expuse unor vulnerabiliti

i riscuri, care afecteaz negativ
obiectivele sistemului, respectiv
obinerea situaiilor financiare.

Sisteme i tehnologii informatice

- Riscuri de denaturare
semnificativ a raportrilor
financiare

Riscurile i controlul sistemelor

informatice

Riscul sistemului informaional. Reprezint

probabilitatea de apariie a unor erori sau
fraude datorit utilizrii inadecvate a sistemului
informaional. Riscul sistemului informaional
cuprinde:
Riscurile la nivelul aplicaiilor i operaiilor din
sistemul informatic.
Riscul de continuare a activitii sistemului
informatic.

Riscurile i controlul sistemelor informatice

Riscurile la nivelul aplicaiilor i operaiilor din sistemul

informatic. Acestea pot fi:
securitatea sczut a aplicaiilor;
accesul neautorizat la datele sistemului;
introducerea unor date inadecvate sau false;
procesarea incomplet a datelor;
dublarea datelor tranzacionate;
procesarea cu ntrziere a datelor;
nefuncionarea corect a transmisiei datelor;
segregarea inadecvat sau inexistent a funciilor i
responsabilitilor;
analiza i proiectarea defectuoas a aplicaiilor;
incompatibilitatea dintre aplicaiile informatice;
infectarea aplicaiilor cu virui electronici;
instruirea inadecvat a utilizatorilor;
suportul i mentenana inadecvat a aplicaiilor.

Riscul de continuare a activitii sistemului informatic.

Riscul disponibilitii sistemului - reprezint
probabilitatea ca sistemul s devin indisponibil
utilizatorilor datorit securitii sale (de exemplu atacul
de tip DoS al hacker-ilor).
Riscul recuperrii sistemului reprezint
probabilitatea ca datele i operaiile sistemului s nu mai
poat fi recuperate n vederea continurii activitii
ntreprinderii (de exemplu inexistena unor copii de
siguran i a procedurilor de recuperare i continuare a
activitii conduc la creterea nivelului acestui risc).

Controale IT
Standardul ISA 315 prevede c din perspectiva auditorului, controalele
sistemelor informatice sunt eficiente i eficace atunci cnd pstreaz integritatea
informaiilor i securitatea datelor pe care aceste sisteme le proceseaz, i
includ controale generale ale sistemelor informatice i controale ale aplicaiilor.

Controalele generale ale sistemelor informatice, n conformitate cu

Controalele aplicaiilor sunt proceduri manuale sau automate care

ISA 315, sunt politici i proceduri aferente numeroaselor aplicaii i susin

functionarea eficient a controalelor aplicaiilor. Controalele generale se vor
evalua din dou perspective, pe de o parte din punct de vedere procedural
(politica de securitate i procedurile aferente) i din punct de vedere
operaional (practic, cum opereaz procedura).
funcioneaz, de obicei, la nivel de proces de afaceri al entitii i se aplic
procesrii tranzaciilor de ctre aplicaiile individuale (conform ISA 315).
Altfel spus, sunt controale automate implementate la nivelul aplicaiilor
informatice din sistem, ct i controale manuale realizate de utilizatorii
acestora, care vor asigura autorizarea, completitudinea, integritatea,
acurateea i disponibilitatea tranzaciilor, ct i ncrederea n activitatea de
procesare a informaiilor.

Controale IT

Determinarea necesitii utilizrii serviciilor

unui auditor de sisteme informaionale

Calitatea informaiei contabile

conform OMFP 3055/2009, exist patru

caracteristici calitative ale situaiilor financiare:
inteligibilitatea (s fie uor de neles),
relevana (sunt influenate deciziile economice luate
de ctre utilizatori),
credibilitatea (s nu conin erori semnificative)
comparabilitatea (s se poat compara n timp
poziia i performana entitii).

Procesarea tranzaciilor prin

sistemele informatice poate s
conduc la manifestarea unor riscuri
de denaturare semnificativ a
informaiei contabile

n etapa de planificare, auditorul financiar trebuie

s obin informaii suficiente i relevante care s-i
confere o nelegere adecvat a mediului de lucru a
entitii auditate. [Mirela G.]

Implicit va realiza o analiz a riscurilor i a

mediului de control IT, respectiv a tuturor
sistemelor care au impact semnificativ asupra
obinerii situaiile financiare. Concluziile acestei
etape, referitoare la arhitectura i complexitatea
sistemului informational, i vor permite auditorului
financiar s stabileasc dac este necesar sau nu
utilizarea experilor IT n cadrul misiunii de audit
financiar. [Mirela G.]

Factorii care vor determina aceast decizie (prelucrare

dupa SAS 94 si Ghid de audit al sistemelor informatice)
pot include [Mirela G.] :
Abilitile i experiena IT a auditorului financiar
Arhitectura reelei IT i complexitatea tehnic a
echipamentelor utilizate
Generarea automat a tranzaciilor, comunicaia cu alte
aplicaii sau sisteme informatice
Natura tranzaciilor entitii auditate (tranzacii de comer
electronic)
Sisteme informatice complexe de tip ERP, SAP, Oracle, etc.
Modificri ale sistemelor informatice existente sau
implementarea unor noi sisteme
Antecedente de probleme IT (fraud informatic, erori ale
utilizatorilor sistemului, incidente de securitate IT, greeli
de programare, atacuri informatice, etc)
Sisteme IT n curs de dezvoltare

Chestionar

Metodologia de audit a sistemelor

informaionale

Auditul sistemelor informaionale

reprezint activitatea de colectare i
evaluare a unor probe pentru a
determina dac sistemul informatic
este securizat, menine integritatea
datelor prelucrate i stocate, permite
atingerea obiectivelor strategice ale
ntreprinderii i utilizeaz eficient
resursele informaionale.

Standarde i ghiduri pentru auditul sistemelor

informaionale
La nivel internaional, cele mai recunoscute refereniale asociate auditului sistemelor informatice sunt:

Standardele internaionale de audit a sistemelor informaionale (IS Audit and Assurance

Standards) publicate de ISACA (Information System Audit and Control Association),

COBIT (Control Objectives for Information and related Technology) publicat de ITGI (IT

Governance Institute)

Standardele de audit publicate de INTOSAI (International Organization of Supreme Audit

Institutions) pentru instituiile publice alturi de care se regsesc i o serie de ghiduri pentru
implementarea acestora, ntre care amintim i ghidul de audit IT(IT Audit Guidelines).

Internal Control Integrated Framework publicat de COSO (Committee of Sponsoring

Organizations of the Treadway Commision) reprezint un cadru de evaluare a controlului intern.

Standardul ISO 27002 conine un cadru de lucru pentru managementul securitii

informaiei.

Risk Management Guide for Information Technology Systems publicat de NIST

(Nationale Institute of Standards and Technology U.S) este un ghid pentru evaluarea riscurilor IT.

Standardele Internaionale de Audit ISA (International Standards on Auditing)

si IAPS (International Auditing Practice Statements) publicate de

Asociaia

Internaional a Contabililor Profesioniti (IFAC - International Federation of Certified

Accountants) .

SAS nr. 94 The Effect of Information Technology on the Auditors Consideration of

Internal Control in a Financial Statement Audit publicat Institutul american AICPA

(American Institute of Certified Public Accountants).
Pe plan naional, reglementrile legislative privind protecia i securitatea informaiilor
sunt:

Legea nr. 365/2002 privind comertul electronic,

Legea nr. 455/2001 privind semnatura electronic,

Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal i protecia vieii
private n sectorul comunicaiilor electronice,

Legea nr. 102/2005 privind nfiinarea, organizarea i funcionarea Autoritii Naionale

de Supraveghere a prelucrrii datelor cu caracter personal,

Legea nr. 64/2004 pentru ratificarea Conveniei Consiliului Europei privind

criminalitatea informatic,

Manualul de audit al sistemelor informatice i Ghidul de audit al sistemelor

informatice publicate de Curtea de Conturi a Romaniei pentru domeniul asociat la
nivelul institutiilor publice.

Metodologia de audit a sistemelor informaionale

Avnd n vedere recomandrile standardelelor IFAC

ISA i ghidul ISACA pentru auditul sistemului
informaional, etapele generale ale unei unei misiuni de
audit IT pot fi:
Planificarea misiunii de audit.
Evaluarea riscurilor i controlului intern.
Elaborarea programului de audit.
Proceduri de audit i culegerea probelor.
Evaluarea i testarea controalelor generale
Evaluarea i testarea controalelor aplicaiilor informatice

Formularea concluziilor i elaborarea raportului.

Urmrirea (monitorizarea) implementrii
recomandrilor din raportul de audit.

Culegerea probelor

Probele pe care auditorul IT le culege ntr-o misiune sunt diverse. n general

acestea pot fi:

documente privind politicile i procedurile de securitate din sistemul informaional al

clientului;
documente privind procedurile de lucru din sistemul informatic;
documente sau observaii privind infrastructura fizic (hardware) i logic (software) a
sistemului auditat.
interviurile i chestionarele aplicate;
flowchart-uri de sistem i/sau de aplicaii;
observaii personale n cadrul foilor de lucru;
fiiere cu datele extrase din aria de auditat;
fiiere cu tranzaciile de date necesare auditului;
fiiere jurnal pentru intrri, prelucrri, tranzacii de date i tratare a erorilor;
situaii listate din aplicaiile sistemului;
fiierele cu datele de test;
fiiere cu erori;
capturi de ecrane
coninutul i rezultatul testelor controlului din sistem;
liste cu surse ale programelor utilizate n procesele auditate;
coninutul i rezultatul testelor securitii sistemului.

Raportul de audit a sistemelor

informaionale
n structura raportului de audit se vor regsi elementele de baz:

Paragraf introductiv care va include: scopul misiunii de audit,

obiectivele, perioada auditat, natura i ntinderea procedurilor de

audit.

Cuprinsul va detalia:
slbiciunile controalelor analizate, riscurile asociate i

recomandrile necesare pentru diminuarea riscurilor

orice rezerv pe care auditorul o are asupra sistemului auditat
opinia i concluziile misiunii
referenialul de raportare reprezentat de standardele, normele i
ghidurile asociate domeniului auditat.

Paragraf final n care se nscriu data raportului, adresa i

semntura auditorului.

Tehnici de audit asistate de calculator

(CAATs)

Instrumente pentru creterea productivitii muncii de audit.

Planificarea i urmrirea automat a misiunii de audit: aplicaiile pentru
managementul proiectelor (MS Project, Primavera Project Planner etc.);
aplicaiile pentru calcul tabelar (MS Excel, OpenOffice);
Editarea i managementul automat al foilor de lucru (electronic
workingpapers): Microsoft Office, IDEA (produs de ctre CaseWare),
TeamMate (produs de PriceWaterhouseCoopers), BCOMM Audit
Manager .a.;
Comunicarea i transferul automat al datelor: aplicaii pentru e-mail
(Microsoft Outlook), instrumente groupware (Lotus Notes Domino
Server); forumuri intranet .a.

Aplicaii generale de audit (GAS - Generalized Audit Software).

Aplicaii informatice (utilitare) pentru testarea i verificarea
sistemului.

Studii de caz
Auditul sistemelor informatice financiarcontabile
Auditul aplicaiilor informatice pentru
gestiunea mijloacelor fixe
Auditul aplicaiilor pentru evidena
salariilor

Program general pentru auditarea aplicaiilor informatice de

evidena a mijloacelor fixe
Scopul auditului
Auditarea aplicaiilor de eviden a mijloacelor fixe
Obiectivele auditului
Asigurarea acurateii i integritii aplicaiilor de eviden a mijloacelor
fixe
Evaluarea controalelor din cadrul aplicaiilor de eviden a mijloacelor fixe

Planificarea
ntlnirea cu managementul ntreprinderii pentru clarificarea ntinderii
misiunii de audit.
Revizuirea unor misiuni anterioare privind evidena mijloacelor fixe
pentru a determina unele probleme.
Realizarea unei evaluri preliminare a riscurilor pentru identificarea i
cuantificarea ameninrilor i vulnerabilitilor din sistemul de eviden a
mijloacelor fixe.
Scrierea detaliat a programului de audit, respectiv a foilor de lucru.
Formarea echipei de audit n funcie de complexitatea aplicaiilor i a
sistemului.
Stabilirea bugetului misiunii.

Desfurarea
Revizuirea legislaiei la zi referitor la evidena mijloacelor fixe.
Identificarea personalului i aplicaiilor implicate n evidena mijloacelor fixe.
Analiza tuturor documentelor i rapoartelor privind evidena mijloacelor fixe pentru a
nelege circuitul i fluxul informaional din aceast activitate.
Intervievarea personalului implicat.
Documentarea i completarea foilor de lucru cu procedurile i descrierea circuitelor
din cadrul aplicaiilor pentru evidena mijloacelor fixe.
Pregtirea datelor de test pentru testarea intrrilor i prelucrrilor aplicaiilor.
Introducerea datelor de test i verificarea controalelor de intrare i prelucrare.
Evaluarea modului de prelucrare i concordana cu legislaia i regulamentele interne.
Identificarea i analiza erorilor.
Evaluarea i testarea controalelor aplicaiilor. Controale de acces, de raportare, de
stocare i de modificare a aplicaiilor.
Testarea integritii datelor din baza de date i din cadrul listelor sau rapoartelor.
Evaluarea sistemului de operare sub care lucraez aplicaia.
Documentarea tuturor testelor i evalurilor n cadrul foilor de lucru.
Raportarea
Formularea concluziilor privind controalele i integritatea sistemului de eviden a
mijloacelor fixe.
Prezentarea i discutarea rezultatelor obinute cu managementul clientului.
Stabilirea recomandrilor.
Pregtirea i scrierea raportului de audit.
Stabilirea condiiilor i termenilor pentru urmrirea implementrii recomandrilor.

MULUMESC PENTRU ATENIE!