Sunteți pe pagina 1din 47

CONCEPTUL DE AUDIT FINANCIAR SI COMPLETITUDINE

INTRE CATEGORIILE DE AUDIT


CUPRINS
CAPITOLUL 1
1.

Conceptul general si categoriile de audit

1.1. Conceptul de audit


1.2. Dimensiunile auditului
1.3. Categoriile de audit
1.3.1. Auditul conformitatii sau legalitatii
1.3.2. Auditul de atestare financiara - audit finaniar
1.3.3. Auditul performantelor sau al rezultaletelor
1.3.4. Auditul operational
1.3.5. Auditul de gestiune
1.3.6. Cadrul legislativ si standardele nationale si intenationale privind auditul
CAPITOLUL 2
2. Teorie si dimensiuni practice ale strategiei generale referitoare la o misiune de audit
2.1. Cadrul general al misiunii de audit
2.1.1. Acceptarea misiunii
2.1.2. Planificarea
2.1.3.Studiu de caz al unei entitati
CAPITOLUL 3
3.

Sistemul informatizat

3.1. Analiza mediului de control intr-un sistem informatizat

3.2. Analiza riscului intr-un mediu informatizat


3.3. Metode cantitative si calitative de evaluare a riscului IT
3.4. Controlul general
CAPITOLUL 4
4.

Concluzii

CAPITOLUL 5
5. Bibliografie

CAPITOLUL 1
1. Conceptul general si categoriile de audit
1.1. Conceptul de audit
In sens etimologic, cuvantul 'audit' isi are originea in latinescul 'audire', care insemna 'a
asculta, a audia'. Acest termen si-a extins, in timp, aria semantica preluand sensuri precum 'a
examina, a verifica, a revizui conturi'.
Se observa ca, in timp, obiectivul primordial al auditului a evoluat de la detectarea
fraudelor si erorilor la certificarea situatiilor financiare, la verificarea conformitatii
acestora anumite criterii prestabilite. Schimbarea obiectivului auditului a necesitat evolutia
tehnicilor de audit. In conditiile globalizarii economiilor si internationalizarii pietelor
financiare, metodele traditionale de verificare, care implicau un control exhaustiv al tranzactiilor
s-au dovedit mult prea costisitoare si de durata. Din acest motiv, ele au fost inlocuite cu tehnici
de esantionare si sondaj statistic, tehnici asistate de calculator, auditorul punand, in acelasi timp,
un accent deosebit pe eficienta si eficacitatea controlului intern.
In plus, pentru a veni in intampinarea complexitatii informatiilor solicitate de utilizatori,
auditorul nu trebuie sa asigure numai o ameliorare a credibilitatii situatiilor financiare ci si
servicii care sa aduca un plus de valoare, precum raportarea iregularitatilor, identificarea
riscurilor afacerii si oferirea unei consultante in ceea ce priveste punctele nevralgice ale
controlului intern. In auditul modern, evaluarea situatiilor financiare este, adesea, completata cu
constatari rezultate din auditul fluxurilor financiare, ceea ce asigura un supliment de informatii
financiare fiabile.
Prin audit se intelege:
1.

Examinarea/cercetarea, profesionala si obiectiva, de catre o persoana competenta si independenta a: - unei


informatii, -activitati sau operatiune; - probitatii si credibilitatii tranzactiilor economice; fidelitatii
reprezentarilor financiare si contabile, cu scopul de a: - aprecia fiabilitatea si eficienta sistemelor si

procedurilor unei entitati economice; - produce o judecata motivata si independenta, cu referinta la normele
de evaluare; - obtine o concluzie si de a exprima o opinie responsabila si independenta, prin raportarea la
un criteriu sau standard.
2.

Procesul desfasurat de auditori-persoane fizice sau juridice legal autorizate prin care se analizeaza si
evalueaza, profesionist, informatii privind o entitate, prin tehnici si procedee specifice, in vederea obtinerii de
dovezi, numite probe de audit.

Pe baza probelor de audit, auditorii emit in raportul de audit o opinie responsabila si


independenta prin apelarea la criterii de evaluare care rezulta din reglementarile legale sau
din buna practica recunoscuta unanim in domeniul in care isi desfasoara activitatea unitatea
auditata.
3. Procesul de audit numit si misiune de audit se deruleaza pe baza de standarde nationale
sau internationale.
Standard national de audit : un set de standarde privind activitatea de audit definite sau a
serviciilor conexe prin lege sau alte reglementari, sau de catre o autoritate competenta la
nivel national, a caror aplicare si satisfacere este obligatorie pentru efectuarea unui audit.
4. Obiect al auditului pot fi:
- entitatile economice;
- programe; activitati,
- tranzactii, operatiuni
5. Evaluarea si interpretarea rezultatelor obtinute se efectueaza in conditiile existente prin
luarea in considerare a criteriilor de evaluare care au la baza referinte contabile identificate,
norme contabile nationale sau internationale sau recunoscute unanim in domeniu principiile
sanatoase de management, respectiv buna practica manageriala recunoscuta de specialisti in
domeniu.

1.2 Dimensiunile auditului


Intr-un cadru restrans, auditul poate fi clasificat, in conformitate cu obiectivul functiei pe
care o realizeaza, in:

Audit de conformitate

Audit al performantei

Auditul de atestare a situatiilor financiare (audit financiar)

O sinteza grafica a acestei clasificari se regaseste in figura 1.1:

Figura nr.1.1 Clasificarea auditului in functie de obicetivul urmarit


Din punct de vedere al modului de afiliere al auditorilor in realizarea misiunii, auditul
poate fi:

Audit extern

Audit intern

Audit guvernamental

Figura nr.1.2. Clasificarea auditului in functie de afilierea auditorilor[1]


1. Domeniul de aplicare a auditului extern inglobeaza tot ceea ce participa la elaborarea
situatiilor financiare, dar nu presupune investigatii si observatii doar asupra
domeniului contabil. Domeniul Auditului Intern este mult mai vast, el incluzand toate
functiile unei intreprinderi.
2. Auditul Extern se preocupa de orice frauda, daca aceasta are o influenta asupra
rezultatelor financiare.
3. Independenta celor doua activitati este recunoscuta, dar ea nu este de acelasi tip;
astfel independenta Auditului Extern este una juridica si statutara, in timp ce a
Auditului Intern are restrictii.
4. Periodicitatea auditului. Auditul Extern isi efectueaza misiunile intermitent si la
anumite momente adecvate certificarii conturilor: sfarsit de an, sfarsit de semestru,
sfarsit de trimestru. Auditul Intern se desfasoara in mod permanent.
5. Tehnicile si procedurile de audit adoptate sunt, adesea, diferite.

1.3. Categorii de audit


In raport cu obiectivul si aria de aplicabilitate, auditul poate fi: de conformitate sau legalitate, de atestare
financiara, al performantelor sau rezultatelor, operational, de gestiune etc.

1.3.1. Auditul conformitatii sau legalitatii


- Inseamna examinarea evidentelor financiare ale entitatii economice pentru a determina
daca se respecta anumite proceduri, reguli sau norme definite de o entitate superioara
- Cuprinde atestarea responsabilitatii financiare a entitatilor economice
- Presupune examinarea si evaluarea inregistrarilor financiare si exprimarea opiniilor asupra
situatiilor financiare
- Consta in auditul: sistemelor si tranzactiilor financiare, respectiv evaluarea conformitatii cu
statutele si reglementarile in vigoare; controlului intern si al functiilor acestuia; controlului intern
si al functiilor acestuia; onestitatii si al caracterului adecvat in legatura cu deciziile
administrative luate in cadrul entitatii economice auditate.
- Are ca scop de a determina daca entitatea examinata respecta anumite proceduri, reguli sau
reglementari definite de o autoritate supraordonata
- Auditul conformitatii are si scopul de a determina daca: personalul contabil respecta
procedurile contabile; se respecta clauzele juridice prevazute in acordurile contractuale cu
bancile si cu alti creditori
- Rezultatele auditului conformitatii se raporteaza cu prioritate managementului entitatii auditate,
dar si utilizatorilor externi
- Spre deosebire de utilizatorii externi, managerii entitatii auditate sunt prioritar interesati de
gradul de conformitate cu anumite proceduri si norme prestabilite
- Pentru acest considerent, auditul conformitatii se efectueaza atat de auditori interni angajati ai
entitatii economice cat si de auditori externi independenti
De exemplu: Pentru auditorul conformitatii privind determinarea respectarii conditiilor
impuse de banca in vederea continuarii contractului de imprumut se au in vedere urmatoarele:
- criterii predefinite: clauzele contractului de imprumut;
- informatii: evidentele contabile ale entitatii economice;
- probe disponibile: situatiile financiare si calcule efectuate de auditor.
Auditul conformitatii se concepe astfel incat sa ofere o asigurare rezonabila privind
detectarea prezentarilor semnificativ eronate care rezulta din nerespectarea prevederilor
contractuale sau acordurilor de subventionare cu impact semnificativ si direct asupra situatiilor
financiare.

Auditorul efectueaza proceduri suplimentare daca ii sunt puse la dispozitie informatii care ar
putea indica o posibila nerespectare a unor asemenea prevederi, cu impact indirect dar
semnificativ asupra situatiilor financiare.

1.3.2. Auditul de atestare financiara audit financiar


Auditul conformitatii se deruleaza concomitent cu auditul de atestare financiara sub
denumirea generica de AUDIT FINANCIAR.
Auditul de atestare financiara consta in exprimarea opiniei asupra rapoartelor financiare si in
furnizarea de credibilitate asupra situatiilor financiare. Se atesta sau nu se atesta, daca declaratiile
financiare prezinta corect situatia financiara si tranzactiile entitatii economice.
Auditul financiar este:
-

O examinare independenta (o expresie de opinie) a situatiilor financiare efectuata de un


auditor, in conformitate cu orice obligatie statutara relevanta

Un aport de credibilitate asupra informatiilor contabile publicate de entitatea economica


pentru persoane exterioare agentului economic, avizul sau opinia unui profesionist
contabil independent (auditor financiar) asupra documentelor financiare ale entitatii
economice constituie cea mai buna indicatie privind gradul de incredere pe care poate sal acorde acestor documente. Avizul presupune o evaluare completa a documentelor
financiar-contabile si a actelor justificative si are scopul de a arata daca documentele
respective prezinta corect sau nu situatia financiara a entitatii economice si rezultatul
operatiunilor privind perioada specificata. Fara aceasta atestare a unui auditor
independent, documentele financiar-contabile pot fi puse la indoiala sub aspect real si
juridic.

O revedere critica pentru evaluarea unei situatii financiar-contabile determinate

O examinare efectuata de un profesionist competent si independent, in vederea exprimarii


unei opinii motivate asupra: validitatii si corectei aplicari da prevederilor interne stabilite
de managementul entitatii economice; imaginii fidele, clare si complete a activelor,
datoriilor, pozitiei financiare, profitului sau pierderii entitatii economice

In exprimarea opiniei de audit cu privire la imaginea fidela se are in vedere ca pozitia


financiara: reprezinta relatia dintre activele, datoriile si capitalurile proprii ale unei entitati, asa
cum sunt raportate in bilant, este influentata de: informatiile despre resursele economice
controlate de entitate si capacitatea sa din trecut de a modifica aceste resurse sunt utile pentru a
anticipa capacitatea entitatii de a genera numerar sau echivalente ale numerarului in viitor,
informatiile despre structura financiara sunt utile pentru anticiparea; nevoilor viitoare de
creditare; modului in care profiturile si fluxurile de trezorerie vor fi repartizate intre cei care au
un interes fata de entitate, sanselor entitatii de da primi finantare in viitor. Informatiile despre
lichiditate si solvabilitate sunt utile pentru a anticipa capacitatea entitatii de a-si onora

angajamentele financiare scadente; capacitatea entitatii de a se adapta schimbarilor mediului in


care isi desfasoara activitatea.
In esenta, auditul financiar reprezinta activitatea de examinare in vederea exprimarii de catre
auditorii financiari, a unei opinii asupra situatiilor financiare, in conformitate cu standardele de
audit, armonizate cu standardele internationale de audit financiar ale Federatiei Internationale a
Contabililor (IFAC).
Auditul financiar are ca obiective:
-

reflectarea imaginii fidele a activelor, datoriilor, pozitiei financiare, profitului sau


pierderii in situatiile financiare anuale

exprimarea unei opinii masura in care situatiile financiare prezinta o imagine fidela a
afacerilor entitatii economice si a rezultatelor pentru exercitiul incheiat, cu respectarea
legilor in vigoare si a practicilor din tara in care entitatea economica isi are sediul

mentinerea coerentei si calitatii sistemului contabil, astfel incat sa asigure certitudinea


reflectarii in situatiile financiare, sincer si complet, a situatiei financiare si rezultatelor
exercitiului

imbunatatirea utilizarii informatiei contabile.

1.3.3. Auditul performantei sau al rezultatelor


-

este sinonim cu sintagma valoare pentru bani

consta in economicitate, eficienta si eficacitate si acopera: activitatile economice si


administrative, urmarind principii si practici de management; eficienta utilizarii
resurselor umane, financiare inclusiv examinarea sistemelor de informare asupra
indicatorilor de performanta si procedurilor urmate; eficienta si performanta in legatura
cu atingerea obiectivelor entitatii economice auditate; impactul efectiv al activitatilor
comparativ cu impactul dorit

este o examinare obiectiva si sistematica a realitatii pentru evaluarea performantei unui


program sau unei activitati in scopul de a obtine informatii referitoare la utilizarea
fondurilor si facilitatea luarii deciziilor de catre management in legatura cu
supravegherea si initierea masurilor corective care se impun.

urmareste daca banii publici au fost bine cheltuiti, examineaza masurile intreprinse de
entitatea economica auditata pe linia respectarii economicitatii, eficientei si eficacitatii,
precum si rezultatele obtinute in atingerea indicatorilor de performanta

urmareste daca activitatea a condus la rezultatele programate

combina rigoarea auditului conformitatii si auditului de atestare financiara cu principiul


de baza al auditului, acela de adaugare de valoare si credibilitate, in conditii de
independenta si obiectivitate ale auditorului

1.3.4. Auditul operational


- reprezinta examinarea oricarei portiuni da procedurilor si metodelor operationale ale entitatii
economice
- se incheie cu recomandari pentru ameliorarea activitatilor operationale
- poate cuprinde, exemplificativ, evaluarea: eficientei si acuratetei prelucrarii operatiunilor legate
de salarii in cadrul unui sistem electronic nou instalat; eficientei fluxului informational privind
vanzarile
- nu se limiteaza la contabilitate
Din cauza numarului mare si diversitatii domeniilor, a caror eficacitate operationala poate fi
evaluata, este foarte redusa posibilitatea definirii unui proces de audit operational tipic.
Eficienta si eficacitatea operatiunilor sunt cu mult mai complicat de evaluat de maniera
obiectiva decat conformitatea sau prezentarea situatiilor financiare in acord cu principiile
contabile generale acceptate. Mai mult decat atat, definirea criteriilor de evaluare a informatiilor
din cadrul unui audit operational este o problema extrem de subiectiva. In acest sens, activitatea
de audit operational se apropie mai curand de consultanta manageriala decat de ceea ce se
intelege in mod normal prin audit[2].
Desi se refera la eficienta si eficacitate, pentru evaluarea acestora, in locul notiunii de audit
operational se utilizeaza si termenii audit managerial sau audit de gestiune.
In sens mai larg, auditul operational include evaluarea mecanismelor de control intern si chiar
testarea eficacitatii acestor mecanisme ca parte a auditului.

1.3.5. Auditul de gestiune (auditul economicitatii si eficientei si auditul de


program)
Include:
-

Auditul economicitatii si eficientei are ca scop sa determine: daca entitatea isi atrage,
protejeaza si foloseste resursele de maniera economica si eficienta, cauzele practicilor
ineficiente sau neeconomicoase, daca entitatea a respectat legile si normele vizand
economicitatea si eficienta.

Auditul de program are ca scop sa determine: gradul in care sunt obtinute rezultatele, sau
avantajele dorite/fixate de organele legislative sau alte organisme de autoritate,
eficacitatea entitatii, programului, activitatilor, sau functiilor, daca entitatea a respectat
legile si normele aplicabile programului.

1.3.6. Cadrul legislativ si standardele nationale si internationale privind


auditul
- LEGEA Nr. 672 din 19 decembrie 2002 privind auditul public intern ,emitent:
PARLAMENTUL , publicata: MONITORUL OFICIAL NR. 953 din 24 decembrie 2002
- Standardele Internationale de Audit (ISA) urmeaza sa fie aplicate in auditul informatiilor
financiare istorice.
- Standardele Internationale cu privire la Misiunile de Revizuire (ISRE) urmeaza sa fie
aplicate in revizuirea informatiilor financiare istorice.
- Standardele Internationale cu privire la Misiunile de Asigurare (ISAE) urmeaza sa fie
aplicate in misiunile de asigurare care se refera la alte subiecte decat informatiile financiare
istorice.
- Standardele Internationale cu privire la Serviciile Conexe (ISRS) urmeaza sa fie aplicate in
misiunile de compilare, misiunile privind aplicarea unor proceduri convenite pentru informare si
misiunile privind serviciile conexe, asa cum se specifica de catre IAASB.
- Standardele Internationale de Audit, Standardele Internationale cu privire la Misiunile de
Revizuire (ISRE), Standardele Internationale cu privire la Misiunile de Asigurare (ISAE) si
Standardele Internationale cu privire la Serviciile Conexe (ISRS) sunt denumite in mod colectiv
Standarde pentru Misiuni, elaborate de Consiliul pentru Standarde Internationale de Audit si
Asigurare (IAASB).
- Standardele Internationale pentru Controlul Calitatii (ISCQ) urmeaza sa fie aplicate pentru
toate serviciile care cad sub incidenta Standardelor pentru Misiuni, elaborate de IAASB.
- Standardele Internationale de Audit (ISA) 240, se refera la responsabilitatile auditorului
referitoare la frauda intr-un audit al situatiilor financiare. In special, el porneste de la modul in
care urmeaza sa fie aplicate ISA 315 (Reformulat) identificarea si evaluarea riscurilor de
denaturari semnificative prin intelegerea entitatii si a mediului in care isi desfasoara activitatea si
ISA 330 Raspunsurile auditorului la Riscurile evaluate in legatura cu riscurile de denaturari
semnificative datorate fraudei .
- Standardele Internationale de Audit (ISA) 300 , se refera la responsabilitatea auditorilor de a
planifica un audit al situatiilor financiare. Acest Standard international de audit se incadreaza in
contextul unor audituri recurente
- Standardele Internationale de Audit (ISA) 240, se refera la responsabilitatea

auditorului de a identifica si de a evalua riscurile unor denaturari semnificative in situatiile


financiare, prin intelegerea entitatii si a mediului in care isi desfasoara activitatea, inclusiv a
controlului intern al entitatii.
- Ordonanta de urgenta nr. 90/2008 din 24/06/2008, Publicat in Monitorul Oficial, Partea I nr. 481 din 30/06/2008
privind auditul statutar al situatiilor financiare anuale si al situatiilor financiare anuale consolidate. Avand in vedere ca,
in calitatea sa de stat membru cu drepturi depline al Uniunii Europene, Romaniei ii revine sarcina de a transpune si
implementa directivele emise de Uniunea Europeana, in scopul transpunerii Directivei 2006/43/CE din 17 mai 2006
a Parlamentului European si a Consiliului privind auditul statutar al conturilor anuale si al conturilor consolidate, de
modificare a directivelor Consiliului 78/660/CEE si 83/349/CEE si de abrogare a Directivei 84/253/CEE a Consiliului,
publicata in Jurnalul Oficial al Uniunii Europene nr. L 157 din 9 iunie 2006,
in vederea realizarii unei abordari armonizate a auditului statutar la nivelul Uniunii Europene, pentru asigurarea
conformitatii auditului statutar din Romania cu cerintele directivelor europene, prin revizuirea permanenta a legislatiei
in domeniu, precum si pentru crearea unui sistem de supraveghere publica pentru auditorii statutari si firmele de
audit in baza principiilor europene, pentru a preveni consecintele negative ale nepromovarii in regim de urgenta a
prezentului act normativ, avand in vedere dispozitiile art. 53 'Transpunerea' din Directiva 2006/43/CE din 17
mai 2006 a Parlamentului European si a Consiliului privind auditul statutar al conturilor anuale si al conturilor
consolidate si de modificare a directivelor Consiliului 78/660/CEE si 83/349/CEE, care prevad ca statele membre
adopta si publica dispozitiile necesare pentru a se conforma directivei inainte de 29 iunie 2008, statele membre
trebuie sa informeze Comisia Europeana cu privire la aceasta si sa transmita Comisiei Europene textele principalelor
dispozitii de drept intern pe care le adopta in domeniul reglementat de Directiva 2006/43/CE. In temeiul art. 115 alin.
(4) din Constitutia Romaniei, republicata.

CAPITOLUL 2
2. TEORIE SI DIMENSIUNI PRACTICE ALE STRATEGIEI GENERALE
REFERITOARE LA O MISIUNE DE AUDIT
2.1 Cadrul general al unei misiuni de audit
Definirea unei imagini de ansamblu asociata procesului de audit impune prezentarea succinta
a etapelor de desfasurare a acestei misiuni:
Acceptarea misiunii - prin care se realizeaza colectarea si evaluarea initiala a informatiilor
despre organizatie, a riscurilor sectorului de activitate din care aceasta face parte (domeniul de
activitate, marimea, reglementarile specifice, date despre polititica entitatii).
Planificarea misiunii de audit care are drept finalitate realizarea unui plan de audit
detaliat pe obiective, termene, responsabili si realizarea unui program de audit ce include bugetul
financiar, fondul de timp necesar realizarii misiunii, precum si ansamblul procedurilor, tehnicilor
ce vor fi implementate pe parcursul acesteia.
Evaluarea sistemului de control intern si contabilitate, etapa ce include si o evaluare a
sistemului informatic, analizat ca instrument care confera incredere informatiilor ce urmeaza a
fi auditate.
Aplicarea testelor de detaliu asupra conturilor clientului concretizata in ansamblul
tehnicilor si procedeelor aplicate de auditor in vederea colectarii probelor necesare justificarii
opiniei formulate de acesta (teste de detaliu, proceduri analitice), redactarea concluziilor initiale,
in conformitate cu planul initial.

Formularea opiniei si intocmirea raportului de audit recunoscuta ca etapa finala a unei


misiuni de audit, se rezuma la analiza concluziilor si formularea opiniei auditorului.
Urmarirea implementarii recomandarilor raportului de audit (follow-up) - o activitate
ulterioara misiunii, in care auditorul solicita si evalueaza concluziile anterioare relevante si
recomandarile pentru a stabili daca actiunile necesare au fost implemenate la timp.
Etapele unei misiuni de audit sunt sintetizate in figura 2.1:

Figura nr.2.1 Etapele unei misiuni de audit

2.1.1 Acceptarea misiunii


O etapa preliminara in orice misiune de audit, indiferent de obiectivul acesteia, o
reprezinta acceptarea misiunii, in care auditorul realizeaza o documentare referitoare la client,
pentru o evaluare globala a riscurilor inerente si de control, o analiza a mediului de afaceri si a
particularitatilor sectorului de activitate in care acesta isi desfasoara activitatea.
In cadrul acestei etape, auditorul isi va concentra atentia asupra unor elemente majore cum
ar fi:
1. Identificarea particularitatilor societatii, a specificului activitatii si a sectorului de
activitate, a marimii acesteia si a modului de organizare.
2. Stabilirea riscurilor pe care auditorul si le-ar asuma acceptand misiunea. Auditorul
cauta sa obtina elemente care ii vor permite aprecierea celor mai importante riscuri, retinand
observatii referitoare la: un control intern insuficient sau carente notabile, contabilitate netinuta
corect si la timp, personal incompetent si rotatia mare a cadrelor din compartimentele finanaciarcontabilitate, dezechilibre financiare, scaderea cifrei de afaceri, credite restante, pierderi mari,
activitati in declin, ceea ce compromite viitorul exploatarii, riscuri fiscale, conflicte sociale,
riscuri juridice, nerespectarea independentei exercitiilor.
3.

Evaluarea integritatii managamentului poate releva carente importante, fapt ce poate induce o mare
probabilitate ca erori semnificative si alte iregularitati sa afecteze procesul contabil care se reflecta in
situatiile financiare. Pentru un client nou, auditorii pot obtine informatii despre integritatea managementului
prin comunicarea cu fostii auditori sau prin efectuarea de investigatii la terti, cum ar fi banca unde clientul
are deschise conturi sau linii de finantare.

4. Aprecieri ce vizeaza asigurarea independentei auditorului si evaluarea


competentei acestuia in indeplinirea misiunii.
5. Analiza cost beneficiu.
6. Cerintele clientului: constrangeri de timp, calificarea auditorilor, raportari suplimentare.

2.1.2 Planificarea
Dupa o cunoastere globala a entitatii, auditorul are posibilitatea sa-si formuleze o
strategie generala de audit, concretizata intr-un plan orientativ al activitatii sale, care la randul
sau, reprezinta baza elaborarii programului de audit.
In acest sens, demersul metodologic impune parcurgerea urmatorilor pasi:
1. Analiza si documentarea modelului de audit etapa in care auditorul va urmari
realizarea urmatoarelor proceduri:

Figura nr. 2.2 Procedeele specifice etapei de planificare

Cunoasterea activitatii entitatii reprezinta un proces continuu, cumulativ, de culegere si


evaluare a informatiilor, care presupune atat o analiza a factorilor economici generali cat si a
conditiilor specifice sectorului economic

Desfasurarea preliminara a procedeelor analitice este identificata ca o procedura


fundamentala a oricarui proces de audit. Auditorului i se solicita ca, in paralel cu cunoasterea
activitatii entitatii, sa realizeze o analiza preliminara a bilantului, a indicatorilor de risc,
lichiditate, activitate, profitabilitate si rezultate, informatii care il vor determina sa patrunda in
asa-zisele secrete ale situatiilor financiare.

Evaluarea preliminara a principiului continuitatii activitatii. Abordarea auditului


depinde, in mare masura de evaluarea preliminara a continuitatii activitatii. In cazul in care
continuitatea activitatii nu mai este sigura, auditorul va analiza toate domeniile asupra carora
aceast lucru ar avea un impact (standardul de audit 570 Principiul continuitatii activitatii).

Calculul pragului de semnificatie. Relevanta informatiei este influentata, in egala


masura, de natura si de pragul de semnificatie a informatiei respective.

Analiza posibilelor fraude si erori

Evaluarea estimarilor contabile realizate de management. Multe elemente ale situatiilor


financiare nu pot fi masurate cu precizie, ci doar estimate. Estimarile contabile reprezinta o
aproximare a valorii unui element in absenta unor mijloace de estimare precise.

Evaluarea riscului de audit si a componentelor sale


Aprecierea nivelului de esantionare si a selectiei acestora.
Pe baza datelor culese
de catre auditor in cadrul acestei etape, se vor determina natura si aria de intindere a lucrarilor ce
urmeaza a fi desfasurate de catre auditor pe parcursul misiunii si se vor stabili masurile
organizatorice necesare pentru executarea lor in conditii de eficienta maxima.
2. Alegerea membrilor echipei se va realiza in functie de experienta si specializarea lor in
sectorul de activitate al entitatii respective
3. Repartizarea lucrarilor pe oameni, in timp si spatiu: (stabilirea bugetului de
timp)
4. Aprobarea planului de audit din partea partenerului si informarea in
detaliu a membrilor echipei de audit.

2.1.3. Studiu de caz al unei entitati


- Modelul unui program de lucru privind lucrarile de audit pe anul..
Client.
Contract Nr...

Personalul afectat

Nume si
Prenume

Functia

Cod

Gheorghe Ion

Sef Misiune

M1

Radu Stefan

Auditor

A1

Iancu Alina

Auditor junior

AA1

Cod Ref. EA12

Nr

Cod L.

LUCRAREA

Data
prevazuta

Buget ore estimate

crt
M1

A1

AA1 Total

PA1

Orientarea si planificarea auditului

2004

15

30

Cunoasterea societatii

Feb.

10

1.1

Identificarea domeniilor semnificative

Feb.

15

Redactarea planului de audit

Feb.

II

PA1.

Contractarea lucrarilor

Feb.

III

PA1/EB.

Aprecierea auditului intern

Mart.

13

18

40

3.1

Descrierea procedurilor, testelor de


urmarire, evaluarea preliminara

Mart.

10

16

30

3.2

Teste de control asupra domeniilor


semnificative, evaluarea finala

Mart.

10

Controlul conturilor

Apr.

25

25

10

60

IV

PC1/EB
1

4.1

Imobilizari necorporale

4.2

Imobilizari corporale

Imobilizari financiare

Stocuri si produse in curs

..

V.

EA1.

Verificarea bilantului

Apr.

15

15

30

VI.

EA1

Evenimente posterioare inchiderii


exercitiului financiar

Apr.

10

VII

EA1

Chestionar al sfarsitului lucrarilor

Apr.

10

15

VIII

EA1

Scrisoare de afirmare

Apr.

10

10

IX.

EA1

Nota de sinteza

Apr.

10

15

X.

EA1

Raport de audit

Apr.

12

20

10.1

Raport scurt

Apr.

10.2

Raport lung

Apr.

12

18

Total buget ore

236

Tabelul nr. 2.1 Modelul unui program de audit[3]


- Pragul de semnificatie. Practica a demonstrat, in general, ca nu exista timp suficient pentru a
realiza un audit detaliat. Acesta este si motivul pentru care auditorul accepta inca de la inceputul
misiunii sale ca va lucra cu o anumita marja de eroare. El trebuie sa stabileasca insa care este
marimea erorii pe care o poate accepta, in cadrul fiecarei misiuni individuale.
Printre categoriile de risc cu care se confrunta auditorul, se poate aminti si riscul de importanta
relativa, caracterizat in documentatia grupului francez de expertiza si audit Guerard
Viala[4] astfel: Importanta relativa nu este un risc in sine, ci un factor important care permite
auditorului sa aprecieze amploarea altor riscuri (riscul economic, riscuri legate de sisteme). Ea se
refera, in principal, la valoarea operatiilor prelucrate sau susceptibile de a fi prelucrate, dar
trebuie sa tina cont, de asemenea, de anumite elemente calitative (natura rezultatului: profit sau
pierdere, inversarea tendintelor).
In abordarea sa, este necesar ca auditorul sa tina cont de acest concept, pentru a determina:

sistemele semnificative. In majoritatea societatilor, sistemele semnificative sunt:


vanzari-clienti, cumparari-furnizori, salarizare-personal, productie-stocuri,
trezorerie.
conturile semnificative, pe care va trebui sa le verifice cu o rigoare mai mare. (ex:
provizioane, amortizarea imobilizarilor, etc.)
pragul de semnificatie, care ii va permite sa aprecieze daca erorile dezvaluite trebuie
sa fie corectate sau nu, pentru a emite o opinie fara rezerve.
Normele Minimale de Audit propun alegerea unuia din referentiale, ca o valoare cuprinsa
in intervalul:
1% - 2%* Active totale
0.5% - 1% * Cifra de afaceri
5% - 10% * Profit inainte de impozitare.
In practica, statistica arata ca auditorii aleg ca element de referinta marimea profitului,
deoarece acesta pare sa reflecte cel mai bine performantele unei societati. Daca, de exemplu,
nivelul pragului de semnificatie este stabilit la 10% din marimea profitului, orice eroare care
egaleaza sau depaseste acest prag, fie individual, fie cumulat este considerata eroare
semnificativa.
Pentru societatile cu profituri care difera semnificativ de la un an la altul, profitul curent
nu poate fi considerat ca baza in calculul pragului de semnificatie. O metoda frecvent utilizata
consta in divizarea valorii pragului global in functie de ponderea soldului fiecarui cont in totalul
conturilor analizate. Spre exemplu, considerand valoarea de 100.000 u.m., considerata a fi pragul
de semnificatie global, cat este necesar sa se distribuie contului Clienti, in conditiile in care
acesta detine o pondere de 20% din totalul analizat ?:
100.000 u.m. * 20 % = 20.000 u.m
In cazul in care semnificatia contului analizat este mai mare decat ponderea lui in totalul
conturilor, auditorul poate opta pentru o crestere a pragului de semnificatie individual. De
asemenea, folosindu-si experienta si rationamentul profesional, auditorul poate aprecia daca
anumite conturi sunt mai susceptibile de a prezenta erori, fapt ce-l va determina la o corectie
similara.
Pragul de semnificatie se analizeaza in doua etape: in primul rand, la planificarea ariei de
cuprindere a testelor de audit si, in al doilea rand, la exprimarea opiniei asupra conturilor anuale.
- Analiza riscului. Orice entitate este supusa riscurilor: riscuri legate de propria functionare a
organizatiei si riscuri specifice fiecarei activitati. In scopul evitarii riscurilor inacceptabile,
organizatia isi creeaza propriile masuri de securitate si control, tolerand riscurile acceptabile.

Intr-un cadrul general, la nivelul unei organizatii, auditorul se confrunta cu urmatoarele


categorii de riscuri:
riscuri legate de situatia economica a entitatii
riscuri legate de organizarea generala a entitatii
ricuri legate de conceperea si functionarea sistemelor precum:
o riscuri legate de complexitatea metodelor (contabile, tehnice,..)
o riscuri legate de auditul intern (ex: riscuri asociate sistemului informational)
o riscuri legate de atitudinea managerilor.
- Riscul de audit. Riscul de audit, in concordanta cu standardul de audit 400 'Evaluarea
riscurilor si controlul intern', reprezinta riscul pe care auditorul il atribuie unei opinii de audit
neadecvate, atunci cand situatiile financiare contin informatii eronate semnificative. Riscul de
audit se manifesta prin componentele sale de baza: risc inerent, risc de control si risc de
nedetectare si poate fi stabilit atat in termeni cantitativi (in procente) cat si in termeni calitativi
(risc scazut, moderat, ridicat sau foarte ridicat). Chiar daca experienta practica evidentiaza o
alegere frecventa a termenilor calitativi, standardele de audit propun modelul matematic de
determinare a riscului de audit, elaborat de AICPA ('Accounting Principles and Auditing
Standards') in 1988, de forma:
RA = RI * RC * RND
in care:
RA - riscul de audit;
RI - riscul inerent;
RC - riscul de control;
RND -riscul de nedetectare.
Riscul inerent, reprezinta susceptibilitatea ca soldul unui cont sau al unei categorii de
tranzactii sa contina erori semnificative, fie individual, fie cumulate cu erorile altor solduri,
iar riscul inerent general, pe baza unui set de intrebari ce vizeaza 4 domenii: management,
contabilitate, afaceri si audit. Astfel, riscul inerent general poate fi sporit sau diminuat de o serie
de factori, atat la nivelul situatiilor financiare , cat si la nivelul conturilor, al balantei de
verificare.

- Esantionarea
In general, din consideratii de timp si de cost, auditorul nu examineaza totalitatea
informatiilor la care are acces pentru a-si colecta elementele probante cu privire la sistemul
contabil si de control intern, ci aplica o metoda traditionala de selectare a datelor
numita esantionare.
Standardul de audit 530 Esantionare in audit si alte proceduri selective de testare
defineste procesul de esantionare ca fiind aplicarea procedurilor de audit pentru mai putin de
100% din elementele din cadrul soldului unui cont sau a unei clase de tranzactii astfel incat toate
elementele sa aiba posibilitatea de a fi selectate. Scopul final al acestei activitati va fi
formularea unei concluzii referitoare la populatia din cadrul careia a fost extras esantionul, in
urma analizei si evaluarii acestuia. In audit, esantionarea poate folosi atat o
abordare statistica, cat si una non-statistica.

Esantionarea statistica are in vedere, intotdeauna, intreaga populatie si este o baza mai
stiintifica pentru exercitarea rationamentului profesional al auditorului, obiectivul metodei fiind
determinarea marimii esantionului si a criteriului de selectare.
Esantionarea prin metode nestatistice implica o doza de subiectivism, bazandu-se pe o
selectie pe baza de hazard auditorul folosindu-si rationamentul profesional atat in determinarea
marimii esantionului si a criteriului de selectie, cat si in interpretarea rezultatelor. Ambele
metodele implica o serie de incertitudini concretizate intr-un risc de esantionare. In esenta,
esantionul, desi corect realizat, nu este reprezentativ pentru populatia analizata; in acest sens,
statistica ofera o regula de verificare a reprezentativitatii unui esantion intr-o
populatie

, unde

- este media populatiei,

- este media esantionului.

In cadrul misiunii sale, auditorul poate aplica aceasta tehnica atat asupra testelor de
control, cand auditorul cauta sa demonstreze ca elementele care constituie populatia prezinta o
caracteristica comuna (spre exemplu avizarea contractelor de leasing incheiate, sau autorizarea
datelor de intrare intr-un sistem de procesare automata) - cat si asupra procedurilor de
fond, cand auditorul urmareste verificarea unei anumite valori din situatiile financiare (de
exemplu existenta creantelor).
Riscul de esantionare =1- Coeficientul de incredere.
Adeseori aceste marimi pot fi determinate plecand de la ecuatia riscului de audit,
RA = RC * RI * RND, in care RND=RE * RNE
si avand ca premise cunoscute, spre exemplu:
Risc inerent (RI)= 70%
Risc de control(RC)= 100%
Risc de neesantionare(RNE)=70%
Risc de audit (RA)=5%, de obicei se considera o constanta.

RE =

= 10% si, implicit,

Coeficientul de incredere = 90%


Marja de eroare reprezinta o estimare a erorilor care ar putea exista (marja de eroare
asteptata)

Marja de eroare efectiva reprezinta dimensiunea abaterii descoperite efectiv in urma aplicarii
testelor de audit asupra esantionului.
Marja de eroare tolerabila reprezinta marja de eroare maxima pe care auditorul este dispus sa o
accepte.
Deviatia standard a populatiei (abaterea medie patratica)
In acceptiunea unei selectii aleatoare simple, deviatia standard se calculeaza astfel:

, unde

- elementele populatiei
N marimea populatiei
- media populatiei
Marimea esantionului (n), poate fi determinata pe baza relatiei[5]:

n=
unde:
- marja de eroare tolerabila, care implementata in procesul de audit nu este altceva
decat pragul de semnificatie individual, stabilit de auditor.
N populatia
- reprezinta argumentul functiei Gauss-Laplace pentru probabilitatea cu care se
garanteaza rezultatele.
Intervalul de incredere al mediei:

Literatura de specialitate[6], propune si alta metoda de determinare a esantionului, mult


utilizata in practica cabinetelor de audit.

Marime esantion =
in care factorul de incredere este furnizat de tabelulul 2.2 si depinde de cei doi parametri: gradul
de incredere si numarul de erori estimate.
Numarul de
erori

Gradul de incredere asociat esantionarii


70%

80%

90%

95%

99%

1.21

1.61

2.31

3.00

4.61

2.44

3.00

3.89

4.75

6.64

3.62

4.28

5.33

6.30

8.41

4.77

5.52

6.69

7.76

10.05

Tabelul 2.2 Valorile asociate factorului de incredere[7]


Precizia este, teoretic, eroarea tolerabila, apreciata adeseori ca 75% sau 50% din pragul de
semnificatie individual.
In acest context, un exemplu de determinare a marimii unui esantion, plecand de la
premisele cunoscute:
Eroarea tolerabila = 5%.

Factor de incredere = 3
Ccoeficientul de incredere =95%

Nr. erori asteptate =0

conduc la urmatorul rezultat - Marimea esantionului = 3 / 5% = 60 elemente


O analiza a variatiei acestor elemente, transpusa in tabelul 2.3 genereaza urmatoarele concluzii:
Eroare
tolerabila

Grad de incredere

Numar de erori
asteptate

Marime esantion

5%

95%

60

7%

95%

43

5%

90%

46

5%

95%

95

Tabelul nr. 2.3 Variatia factorilor ce determina marimea esantionului

o crestere a erorii tolerabile, pe care auditorul o poate accepta, determina o micsorare a


dimensiunii esantionului;

o reducere a nivelului de incredere conduce la o micsorare a dimensiunii esantionului;

o crestere a numarului de erori, la care auditorul se asteapta, determina o crestere a


marimii esantionului.

In termeni valorici, formula devine:

Marime Esantion =
si

Intervalul esantionului =

In acest caz, considerandu-se cunoscute datele de intrare:


Valoarea populatiei = 5.000.000 u.m.

Factor de incredere = 3

Eroarea tolerabila = 200.000 u.m.

Coeficientul de incredere =95%


Nr. erori asteptate =0
Rezultatul final va fi:
Marime esantion = 3 * 5.000.000 / 200.000 = 75 elemente
Interval esantion = 5.000.000 / 75 = 66.666 u.m.
Determinarea marimii esantionului se realizeaza in functie de anumiti factori care difera
atunci cand este vorba de aplicarea esantionarii in cazul testelor de control sau procedurilor de
fond, factori ce pot fi identificati in tabelele 2.4 si 2.5.

Factor

Efectul asupra dimensiunii esantionului

Micsorare

Crestere

Increderea declarata de auditor in sistemul


contabil si de control intern si, de
aici, evaluarea ricului de control

Cresterea evaluarii preliminare a


Riscului de control

Reducerea Riscului de control (o


crestere a increderii in sistemul
de control intern)

Eroarea tolerabila

Cresterea ratei de deviatie pe


care o poate accepta

Reducerea ratei de deviatie pe


care o poate accepta

Eroarea asteptata

Reducerea numarului de erori, la


care auditorul se asteapta

Cresterea numarului de erori, la


care auditorul se asteapta

Nivelul de incredere necesar auditorului

Nivel redus de incredere

Nivel crescut de incredere

Numarul de elemente in populatie

Efect neglijabil

Tabelul nr. 2.4 Factori care influenteaza dimensiunea esantionului in cazul testelor de control

Factor

Efectul asupra dimensiunii esantionului

Micsorare

Crestere

Evaluarea Riscului Inerent

Reducerea Riscului Inerent

Cresterea Riscului Inerent

Evaluarea Riscului de Control

Reducerea Riscului de control

Cresterea Riscului de control

Utilizarea altor proceduri de fond pentru


aceeasi asertiune din situatiile financiare

Cresterea utilizarii altor


procedee de fond

Reducerea utilizarii altor procedee


de fond

Eroarea tolerabila

Cresterea ratei de deviatie, pe


care auditorul o poate accepta

Reducerea ratei de deviatie, pe car


auditorul o poate accepta

Eroarea asteptata

Reducerea numarului de erori, la


care auditorul se asteapta

Cresterea numarului de erori, la


care auditorul se asteapta

Nivelul de incredere necesar auditorului

Nivel redus de incredere

Nivel crescut de incredere

Numarul de elemente in populatie

Efect neglijabil

Stratificarea

Stratificarea in populatie,
daca este cazul

Factori care influenteaza dimensiunea esantionului in cazul procedurilor de fond

- Selectarea esantionului

Nu se aplica stratificarea

Principiul care guverneaza procesul de selectare a elementelor dintr-o populatie, in vederea


formarii unui esantion, este acela ca fiecare individ trebuie sa aiba o sansa egala de a fi ales.
Literatura de specialitate (statistica) recunoaste diferite metode de selectie: selectie aleatorie,
selectie sistemica ce urmareste tehnica: se stabileste un punct de pornire, de la care, aplicand
un pas fix se alege fiecare element, selectie in bloc alegerea spre exemplu dintr-un total de 100
de elemente pe cele corespunzatoare pozitiilor 55-70, selectie pe baza de hazard asa zisa
alegere cu ochii inchisi.
Odata stabilit esantionul, auditorul va proceda la testarea rezultatelor acestuia, in conformitate cu
obiective de audit stabilite.
- Evaluarea rezultatelor
Erorile constatate asupra esantionului se vor extrapola la populatia din care a rezultat, metoda
de extrapolare fiind intotdeauna compatibila cu metoda de prelevare a esantionului.
a) Metoda valorica

Eroare in populatie =Eroare gasita in esantion *


Spre exemplu, sa presupunem ca auditorul a selectat un esantion a carui valoare este
apreciata la 400.000 u.m.(unitati monetare), dintr-o populatie de 5.000.000 u.m. In urma aplicarii
procedurilor de fond, el va constata o eroare la nivelul esantionului de 9.000 u.m. Extrapoland
aceasta eroare, la intreaga populatie, se va observa ca aceasta este de:

9.000 u.m. *

= 112.500 u.m.

Asadar, valoare auditata a populatiei = 5.000.000 u.m. 112.500 u.m. = 4.887.500 u.m.
Asociat acestui caz, alte probleme ce pot aparea, sunt remarcate atunci cand populatia este
neomogena, situatie in care se impune stratificarea acesteia in vederea obtinerii unor rezultate
pertinente.
b) Metoda numerica, asociata numarului elementelor dintr-o populatie sau esantion.

Eroare in populatie =Eroare gasita in esantion *


Un exemplu similar metodei precedente, poate fi descris astfel: se considera o populatie
formata din 400 elemente, din care auditorul va selecta un esantion de 20 elemente. In urma
testelor desfasurate, se constata o eroare la nivelul esantionului de 9.000 u.m., pe care
extrapoland-o la nivelul populatiei va fi de: 9.000 u.m. *

= 180.000 u.m.

Pornind de la aceasta premisa, strategia unei misiuni de audit, intr-o forma detaliata,
permite o structurare a activitatilor misiunii conform figurii urmatoare :

Structurarea activitatilor unei misiuni de audit


(sursa: ACCA Accounting and Audit Practice, nr. 10, 2000)

CAPITOLUL 3
SISTEMUL INFORMATIZAT
3.1 Analiza mediului de control intr-un sistem informatizat
Societatea actuala, o societate informatizata pentru care informatia si tehnologia
informatiei sunt cele mai importante valori, necesita astazi sisteme de comunicatie rapide, sigure

si fiabile care sa-i asigure confidentialitatea, integritatea si disponibilitatea resurselor


informationale.
In etapa de Planificare a auditului, auditorii trebuie sa-si formeze o imagine asupra
semnificatiei si complexitatii mediului informatic, a accesibilitatii datelor in vederea
auditarii. Aceasta imagine este definita de caracteristicile:
Structura organizatorica a mediului informatic, ce pune un accent deosebit pe
necesitatea separarii functiilor incompatibile adresate aceleiasi persoane.
Complexitatea si importanta procesarii automate a fiecarei aplicatii
semnificative. O aplicatie informatica poate fi considerata complexa atunci cand:

volumul tranzactiilor este considerat de utilizatorii aplicatiei ca fiind dificil pentru


identificarea si corectarea erorilor in timpul procesarii;

aplicatia poate genera automat tranzactii semnificative sau poate furniza intrari catre
alte aplicatii ;

complexitatea calculelor aritmetice;

tranzactiile sunt schimbate electronic cu alte organizatii, ceea ce implica controale


suplimentare asociate caii de comunicatie.

Disponibilitatea datelor. Intr-un mediu informatizat, anumite informatii solicitate de


auditor pot exista doar pentru o scurta perioada si/sau doar intr-o forma electronica; in
legatura cu acest aspect se impune a fi amintia si vulnerabilitatea mediilor de stocare a
datelor /informatiilor.
Utilizarea tehnicilor de audit asistate de calculator pentru o crestere a performantei
procedurilor de audit.
Aceasta analiza a importantei si complexitatii activitatilor mediului informatizat are un
impact favorabil in evaluarea riscurilor inerente si de control.
Intr-un mediu informatizat, amploarea riscurilor ia o alta dimensiune, natura lor fiind
influentata de:

Densitatea informatiei este mult mai mare decat in sistemele clasice, bazate pe
hartie. Dischetele, discurile optice si alte suporturi moderne ce sunt utilizate pentru salvarea
acestui volum mare de informatii, insumand zeci de mii de pagini de hartie, pot fi subtilizate
mult mai discret generand astfel fraude sau cel putin afectand confidentialitatea acestor
informatii.
Transparenta documentelor privind desfasurarea unor operatiuni.

a) Absenta documentelor de intrare datele pot fi introduse in sistem fara a avea la


baza documente justificative este exemplul tranzactiilor din sistemele on-line.
b) Lipsa unor urme vizibile a tranzactiilor Desi in practica prelucrarii manuale,
orice tranzactie poate fi urmarita plecand de la documentul primar, apoi in registrele contabile,
conturi in prelucrarea automata, traseul unei tranzactii poate exista o perioada limitata , intr-un
format electronic.
c) Lipsa unor iesiri vizibile anumite tranzactii sau rezultate, in special cand acestea
reprezinta detalii, se pot regasi memorate doar in fisierele aplicatiei (nu si intr-o forma tiparita).

Autorizarea tranzactiilor. Intr-un mediu informatizat se poate include si


capacitatea calculatorului de a initia si executa automat unele trazactii; altfel spus, este vorba de
modul de proiectare a aplicatiei informatice care poate avea incorporate anumite autorizari
implicite si functii de generare automata.

Procesarea uniforma a tranzactiilor. O aplicatie informatica proceseaza in mod


uniform tranzactii similare, pe baza acelorasi instructiuni program. In felul acesta, erorile de
redactare a documentelor asociate unei procesari manuale sunt in mod virtual eliminate. In
schimb, erorile de programare pot conduce la procesarea incorecta a tranzactiilor, astfel incat
auditorii isi vor concentra atentia asupra acuratetei si consistentei iesirilor.

Accesul neautorizat la date si fisiere se poate efectua cu o mai mare usurinta,


ceea ce implica un mare potential de frauda si eroare.

Remanenta suporturilor de memorare a datelor, dupa ce au fost sterse poate


constitui o cale sigura de a intra in posesia unor informatii de valoare.

Agregarea datelor. Noile sisteme de prelucrare automata a datelor, precum sunt


cele de asistare a deciziei, au condus la valorificarea unor informatii importante ale entitatii,
generand prognoze, strategii si tactici de parcurs intr-un anumit domeniu. Astfel, informatiile
capata valente suplimentare decat cele avute prin pastrarea lor in mai multe locuri, separate unele
de altele.

Evolutia tehnologiei informationale a cunoscut in ultimii ani un ritm accelerat,


dar nu acelasi lucru se poate spune despre progresele inregistrate in domeniul securitatii datelor.

Integrarea puternica a sistemelor apare ca o consecinta a imbunatatirii formelor


de comunicatie si a proliferarii retelelor de calculatoare. Aplicatiile de comert electronic sunt
doar un exemplu in acest sens, dar se poate afirma ca au deschis si mai mult apetitul
specialistilor in ceea ce priveste frauda informationala.

Lipsa urmelor eventualelor atacuri criminale constituie un alt element


ingrijorator al noului mediu de lucru ; in aces sens modificarea datelor, adaugarea sau chiar
stergerea lor au devenit operatii mult mai usor de realizat, dar in acelasi timp, destul de greu de
depistat.

3.2 Analiza riscului intr-un mediu informatizat


Obiectivul unei analize a riscurilor informationale (riscuri IT) este de a identifica modalitatile
prin care datele si, implicit, sistemul informatic care le contine, este expus la risc. Elementele
prezentate in paragraful anterior conduc la ideea ca mediul informatizat genereaza noi riscuri si
orice organizatie, in vederea asigurarii unei protectii eficiente a informatiilor, este necesar sa
dezvolte un proces complex de studiu si analiza a riscurilor.
Riscul IT se manifesta prin intermediul componentelor sale proprii: amenintari,
vulnerabilitati si impact. Amenintarile exploateaza vulnerabilitatile unui sistem cauzand impactul
si in esenta, combinatia celor 3 elemente determina marimea riscului. Riscul la nivelul unei
organizatii nu poate fi eliminat, el va exista intotdeaua, managmentul societatii fiind responsabil
de reducerea lui la un nivel acceptabil. In acest sens, figura 3.1 pune in corespondenta diferite
elemente ce necesita a fi luate in calcul pentru reducerea riscului.

Figura nr.3.1 Componentele riscului IT[8]


In general, riscurile asociate unui sistem informational, pe care orice auditor trebuie sa le
analizeze si evalueze (tehnica frecvent utilizata in acest caz este chestionarul), in vederea
aprecierii sistemului in sine, vizeaza:

Riscul securitatii fizice ce va fi evaluat in functie de informatiile culese, cu privire


la: existenta sistemelor de paza, detectie si alarma a incendiilor, sistemelor de protectie impotriva
caderilor de tensiune, protectia echipamentelor impotriva furturilor, protectia impotriva
catastrofelor naturale (inundatii, cutremure..), protectia fizica a suportilor de memorare
Riscul de comunicatie poate lua valente diferite, in functie de disponibilitatea
sistemului la reteaua publica, situatie in care auditorul e necesar sa analizeze masurile de
securitate adoptate: existenta unui firewall, modul de configurare a acestuia, analiza modului de
transmitere a datelor prin reteaua publica (utilizarea tehnicilor de criptare, existenta unei retele
virtuale private - VPN).
Riscul privind integritatea datelor si tranzactiilor vizeaza toate riscurile asociate
cu autorizarea, completitudinea si acuratetea acestora.
Riscul de acces se refera la riscul asociat accesului inadecvat la sistem, date sau
informatii. Implicatiile acestui risc sunt majore, el vizand confidentialitatea informatiilor,
integritatea datelor sau bazelor de date si disponibilitatea acestora.
Riscul privind protectia antivirus ce impune o analiza a existentei programelor
antivirus in entitate, utilizarea lor la nivel de server si statii de lucru, upgrade-ul acestor
programe (manual sau automat).
Riscul legat de documentatia sistemului informatic. Documentatia generala a unui
sistem informatic vizeaza pe de o parte documentatia sistemului de operare sau retelei si, pe de
alta parte, documentatia aplicatiilor instalate. Aceasta documentatie poate fi diferita pentru
administratori, utilizatori si operatori astfel incat sa ajute la instalarea, operarea, administrarea si
utilizarea produsului.
Riscul de personal poate fi analizat prin prisma urmatoarelor criterii:

Structura organizationala la nivelul departamentului IT ce va avea in


vedere modul in care sunt distribuite sarcinile si responsabilitatile in cadrul acestuia. Alocarea
unui numar prea mare de responsabilitati la nivelul unei singure persoane sau unui grup de
persoane este semnul unei organizari interne defectuoase.

Practica de selectie a angajatilor. La baza unui mediu de control adecvat


stau competenta si integritatea personalului, ceea ce implica din partea auditorilor o analiza a
politicilor si procedurilor organizatiei privind angajarea, specializarea, evaluarea performantelor
si promovarea angajatilor.
Riscul de infrastructura se concretizeaza in faptul ca organizatia nu detine o
infrastructura efectiva a tehnologiei informatiei (hardware, retele, software, oameni si procese)
pentru a sustine nevoile acesteia.
Riscul de management al situatiilor neprevazute (risc de disponibilitate) este riscul
asociat pericolelor naturale, dezastrelor, caderilor de sistem care pot conduce la pierderi

definitive ale datelor, aplicatiilor, in absenta unor proceduri de monitorizare a activitatii, a


planurilor de refacere in caz de dezastre.

3.3. Metode cantitative si calitative de evaluare a riscurilor IT


Modelele de risc, fie ele cantitative sau calitative, reprezinta instrumente deosebit de utile
auditorilor IT pentru identificarea diferitelor tipuri de risc, oferind in acelasi timp informatii
pentru a le determina si controla.
Literatura de specialitate abordeaza doua modele de analiza a valorii riscului: modelul
cantitativ si modelul calitativ ; acestea pornesc de la premisa ca orice organizatie se poate astepta
la aparitia unor pierderi cauzate de ineficienta unui sistem informatic, iar acest risc al pierderilor,
rezulta din impactul pe care il au amenintarile asupra resurselor organizatiei.
Modelul cantitativ se bazeaza pe urmatoarele elementele:
valoarea monetara credibila a activelor;
impactul ca procent din valoarea activelor;
probabilitatea pierderilor anuale;
pierderea anuala asteptata;
costul controlului si masurilor de precautie
incertitudinea.
Impactul generat de o singura amenintare sau pierderea potentiala asociata unei singure aparitii
se calculeaza astfel:
Impact=FV * VA sau PPA = FV * VA
Pierderea anuala anticipata este influentata de rata anuala a aparitiei riscului si poate fi
determinata astfel:
PAA = PPA * RAA
unde: FV factor de vulnerabilitate
VA valoarea activului
PPA pierderea potentiala asociata unei aparitii.
PAA pierdearea anuala anticipata

RAA - rata anuala a aparitiei


O astfel de analiza include de asemenea o evaluare a raportului cost/beneficii ce va facilita
proiectarea ratei de recuperare a investitiilor (ROI) pentru un anumit set de controale.
ROI=Benefiii nete/Cost
Aceste modele matematice furnizeaza un rezultat concret, dar care trebuie inclus in mediul
economic si observat daca el reprezinta realitatea.
Specialistul Alan Oliphant propune un model calitativ de determinare a nivelului de risc,
conform caruia sunt luati in calcul 4 factori de baza in aprecierea valorii riscului: impactul
financiar, vulnerabilitatea, complexitatea si increderea (model reprezentat in figura 3.2[9]).

Figura nr. 3.2 Evaluarea riscurilor


In acest caz, valoarea riscului va fi exprimata prin valorile Foarte Scazut, Scazut, Mediu,
Inalt, Foarte Inalt si nu in valori absolute ; formula de determinare a valorii riscului este
urmatoarea :
VR= VF * [( Cv*Wv )+( Cc*Wc )+( Ct*Wt )
unde:
VR - valoarea de risc
VF - impactul financiar asupra organizatiei; acesta reprezinta un cost potential al organizatiei
in eventualitatea aparitiei unei erori, caderi de sistem, fraude sau alte evenimente negative.

Valoarea materiala va fi data de valoarea financiara sau valoarea activelor. Impactul asupra
organizatiei poate fi sporit prin intermediul unui multiplicator non financiar:
[(Cv*Wv)+(Cc*Wc)+(Ci*Wi)
Acest model de calcul poate fi privit ca un punct culminant al analizei factorilor de risc:
vulnerabilitate, complexitate si incredere.
Cv - vulnerabilitatea, se refera pe de o parte la modul in care utilizatorii autorizati au acces
in sistem si pe de alta parte la accesibilitatea sistemului si a activelor organizatiei de catre
utilizatori neautorizati. Accesibilitatea unui sistem informational se poate evalua in functie de
restrictiile fizice implementate in cadrul organizatiei si de modalitatile de acces prin intermediul
retelei de comunicatie.
Cc - complexitatea - are in vedere riscul asociat tehnologiei informationale in sine, numarul
utilizatorilor din cadrul compartimentelor sau in termeni mai generici complexitatea
organizationala.
Ci - increderea, reflecta comportamentul uman din organizatie si vizeaza doua aspecte:
integritatea personalului si gradul de implicare al managerilor.
Wv, Wc, Wi - reprezinta factori de greutate (importanta) care pot fi aplicati la discretia
auditorului, in functie de conditiile specifice. Initial, acesti factori pot fi stabiliti la o valoare de
0.33 in vederea determinarii unui multiplicator mediu general al riscului ; aceasta valoare nu este
fixa si atunci cand se considera ca unul dintre elemente are un impact mai mare decat celelalte,
se pot folosi valori diferite.
Valoarea de risc calculata va fi transpusa intr-un tabel de traducere, indicandu-se
nivelul de risc; in proiectarea acestui tabel, auditorii au in vedere urmatoarele reguli: valoarea
cea mai scazuta de risc = 0 si valoarea cea mai ridicata se apreciaza ca fiind valoarea totala
(financiara) a organizatiei multiplicata cu 3.
Un exemplu in acest sens, va elucida eventualele ambiguitati create: se considera o banca
a caror active sunt apreciate la 1 milion $. Modelul va fi aplicat asupra a doua categorii de
operatii: conturi curente si operatii cu schimburi valutare. Valoarea activelor bancare fiind
apreciata la 1 milion $, maximul valorii de risc va fi deci de 3 milioane $. Pentru a construi
tabelul de traducere se va imparti aceasta plaja de valori in segmente, apreciate la nivelele de risc
pe scara de la 1..5. Cea mai simpla metoda o va reprezenta impartirea in intervale egale. Din
nefericire, in practica lucrurile nu sunt chiar atat de simple. In mod evident, pierderea integrala a
activelor poate fi considerata un risc inalt, dar inevitabil, apar intrebari de genul: De unde incep
riscurile sa creasca? Unde ating riscurile nivelul mediu?
In general, in construirea acestui tabel de traducere auditorii solicita si consultarea
managementului entitatii.

Valoarea de risc

Nivelul de risc

De la

La

10.000.000

10.000.001

100.000.000

100.000.001

200.000.000

200.000.001

400.000.000

400.000.001

3.000.000.000

Tabelul 3.1 Tabelul de traducere a valorii riscului


Solutia prezentata anterior nu este general valabila, auditorii putand sa-si foloseasca
experienta profesionala in functie de particularitatile situatiei analizate. Tabelul 3.2 prezinta
informatii relevante pentru analiza riscului, in cazul ales.
Criteriu

Conturi curente

Operatii de schimb valutar

Valoarea financiara

250.000.000 $

400.000.000 $

Vulnerabilitatea

Accesul la sistem poate fi obtinut de la


majoritatea terminalelor din interiorul
bancii, cat si a sucursalelor. In plus
accesul poate fi realizat prin sistemul
de Internet Banking si pe arii limitate
de la terminalele ATM (Automat Teller
Machine).In concluzie, majoritatea
utilizatorilor pot accesa sistemul.

Accesul intern este restrictionat de la


terminale speciale, aflate in incaperi cu
un acces controlat.Se poate aprecia ca
pentru acest sistem accesul
utilizatorilor este mult limitat.
Rata Vulnerabilitatii: Medie.

Rata Vulnerabilitatii: Inalta.


Complexitatea

Increderea

Sistemul este vechi, utilizat de peste


15 ani, actualizat in timp. Cel putin 10
specialisti IT au cunostinte detaliate
despre sistem, documentatia existenta
nu a fost actualizata cu noile
modificari. Sistemul se caracterizeaza
prin multiple functii, este integrat cu
multe alte sisteme bancare si
furnizeaza informatii oricarui
departament.

Sistemul este utilizat de 3 ani. Este un


sistem proprietar care nu a suferit
modicari. Documentatia este
actualizata de proprietar si numai 2
specialisti IT au fost instruiti in buna
intretinere a sistemului. Sistemul se
caracterizeaza prin cateva functii si
poate fi integrat doar cu sistemul
contabil. Departamentul Trezorerie
este singurul utilizator.

Rata Complexitatii: Inalta.

Rata complexitatii: Scazuta.

Managementul acorda o importanta


deosebita acestui sistem deoarece s-au
inregistrat numeroase caderi ale
acestuia.

Managementul este concentrat asupra


unor probleme de secuitate legate de
comunicatia cu exteriorul, dat in timp
nu s-au inregistrat caderi ale acestuia.

Rata Increderii: Inalta.

Rata Increderii: Inalta

Tabelul 3.2 Informatii de apreciere a ratelor de risc pentru cei 3 factori: complexitate, vulnerabilitate si incredere

VR = VF * [(Cv*Wv)+(Cc*Wc)+(Ci*Wi)
Deci,
1. VR=250.000.000*[(3*0.33)+(3*0.33)+(3*0.33)=750.000.000 $
2. VR=400.000.000*[(2*0.33)+(1*0.33)+(3*0.33)=266.666.666 $
Aceste valori vor fi interpretate cu ajutorul tabelului de traducere a valorii riscului (tabelul
3.1) astfel:
pentru sistemul conturi curente riscul este considerat Foarte Inalt.
pentru sistemul asociat schimburilor valutare riscul este considerat Inalt.

Concluziile finale ale acestei analize pot fi considerate drept premise pentru crearea
planului de audit sau pentru determinarea nivelului de control care trebuie implementat.

3.4. Controlul general


Controlul general este destinat sa supervizeze sistemul informational in ansamblul sau, avand
o incidenta asupra tuturor aplicatiilor informatice ce functioneza in mediul informatizat. Numai
prezenta acestui control nu ofera o garantie asupra fiabilitatii unei aplicatii informatice si nici
asupra completitudinii si acuratetei iesirilor acesteia, intrucat credibilitatea lor este dependenta de
controlul aplicatiilor. Componentele controlului general sunt reprezentate in figura 3.2.

Figura nr.3.2 Componentele controlului general


- Posibile impacturi:Dezvaluirea secretelor companiei, a datelor despre clienti, dezvaluirea
informatiilor contabile; Modificarea datelor contabile, datelor despre partenerii organizatiei
(furnizori, clienti,..); Atacuri din partea unor persoane care pretind ca reprezinta compania; O
campanie publicitara negativa ce poate divulga punctele slabe ale sistemului (bresele de
securitate) hackerilor; O campanie publicitara negativa ce poate conduce la modificarea,
stergerea informatiilor despre partenerii societatii; Perturbarea majora a proceselor organizatiei;
Perturbarea majora a retelei; Pierderea confidentialitatii clientilor; Organizatia poate fi acuzata
legal (neglijenta in aplicarea legii sau chiar incalcarea ei); Reducerea calitatii serviciilor; Fraude
informatice; Reteaua poate fi utilizata ca o baza pentru atacatori, in vederea distrugerii altor site-uri.
- Analiza masurilor de prevenire a atacurilor.
Sistemul de control intern, intr-un mediu informatizat, identifica patru categorii de mecanisme de
control reprezentate in mod sugestiv in figura 3.4.
Control restrictiv ce are ca efect reducerea probabilitatii unui atac deliberat;

Control preventiv ce protejeaza vulnerabilitatile cunoscute sau presupuse si reduc


impactul unui atac reusit;
Control corectiv ce reduce efectul unui atac prin supravegherea corectitudinii si
integritatii datelor;
Control detectiv ce descopera atacuri initiate sau in desfasurare si alarmeaza sistemul
corespunzator.

Figura nr. 3.4. Tipuri de controale ale accesului in sistem[10]


- Intocmirea unui raport de analiza a riscurilor identificate si a securitatii in ansamblul
sau. Urmarea acestei analize o poate reprezenta detalierea testelor pentru elementele
semnificative ale sistemului, asa zisele puncte slabe, vulnerabile. In acest sens, auditorul poate
urmari :securitatea comunicatiilor, controlul accesului logic si fizic, securitatea fizica, evaluarea
sistemului copiilor de siguranta(back-up), evaluarea sistemelor de protectie antivirus.

Tipuri de controale asupra datelor de intrare


- Controlul asupra autorizarii furnizeaza in general, o asigurare ca toate tranzactiile sunt
autorizate si ca persoanele care autorizeaza fiecare tranzactie au intr-adevar competenta sa o
faca. In general un astfel de control se regaseste implementat in cadrul organizatiilor, dar el poate
fi revizuit de auditor printr-o serie de teste, cum ar fi: controlul accesului la aplicatiile
informatice garanteaza faptul ca procedurile de culegere a datelor revin persoanelor
autorizate, verificarea documetelor autorizate autorizare furnizata de obicei de o stampila sau o
semnatura pe sursa documentului, Verificarea intrarilor ce nu au ca sursa un document scriptic.
- Controlul asupra acuratetei datelor de intrare, ii va permite auditorului sa desfasoare o
serie de teste ce urmaresc sa detecteze date incomplete, incorecte si nerezonabile. Diversitatea
acestor teste este recunoscuta si ele pot include: testul privind formatul datelor: natura datelor,
lungimea campurilor, acceptarea valorilor negative sau doar a celor pozitive, formatul datei
calendaristice; testul verificarii domeniului de definire al atributelor.
Cateva exemple in acest sens includ:

incadrarea domeniului unui atribut intr-o multime de valori prestabilita:


abrevierile judetelor, tipuri de documente

incadrarea intr-un interval de valori prestabilit ( ex. Salariul angajatilor ia valori


in intervalul 2.500.000 30.000.000)

validari ale realizarilor unor atribute diferite numit si testul dependentei logice
dintre atribute (ex. Validari privind corespondenta conturilor contul X se poate
debita doar prin creditarea conturilor A, B, C)

testul rezonabilitatii datelor, incluzand verificarea relatiilor logice dintre 2 sau mai
multe fisiere sau de asemenea poate viza conformitatea datelor cu un standard sau cu
legislatia in vigoare (ex. Grila de impozit aferenta salariilor angajatilor)

testul coerentei datelor de intrare (de ex. Rulaj creditor=Rulaj debitor)


testul privind verificarea restrictiilor de integritate ce se impun a fi definite

restrictii asupra valorilor unui camp; exemplu: pret>0

restrictii asupra valorilor mai multor campuri ce provin din aceeasi


tabela; exemplu: cantitate * pret > 1000000
TIP_CONT =ACTIV

SOLD_I_CREDITOR = 0

restrictii asupra valorilor mai multor campuri ce provin din tabele


diferite; exemplu: data_facturii>=data_contract

restrictii asupra unor valori obtinute pe baza operatiilor de sintetizare;


exemplu: valplatita<=valfactura.

testul cifrei de control


- Controlul completitudinii intrarilor este necesar a fi desfasurat pentru a se asigura ca
datele nu au fost pierdute, adaugate, duplicate sau modificate gresit in timpul procesarii.
- Controlul prelucrarii datelor asigura ca tranzactiile nu au fost pierdute, adaugate,
modificate si ca erorile de procesare au fost identificate si corectate in timp util.
- Controlul datelor de iesire
Controlul datelor de iesire se caracterizeaza in general prin diferite proceduri manuale
menite sa asigure:

acuratetea si corectitudinea datelor de iesire;

distribuirea datelor numai persoanelor autorizate.

- Sistemul de control intern intr-un mediu informatizat, in acceptiunea COBIT


La nivel international, ultimii ani au fost marcati de o atentie pe care auditorii, managerii
si organismele cu atributii de reglementare a domeniului au acordat-o controlului intern. Efortul
lor, depus in sensul de a defini si evalua cat mai exact controlul intern in conditiile utilizarii
tehnologiei informationale, s-a concretizat in publicarea unor noi documente ce acopera aria de
actiune a acestui concept.
COBIT (Control Objectives for Information and Related Technology), publicat in 1996
de ISACF (Information Systems Audit and Control Foundation), reprezinta cadrul general de
aplicabilitate a practicilor privind securitatea si controlul tehnologiei informationale, scopul sau
principal fiind de a raspunde nevoilor organizatiei, indiferent de sectorul in care isi desfasoara

activitatea. Regula de aur a COBIT poate fi rezumata astfel: resursele IT trebuie sa fie conduse
de un set de procese grupate natural, astfel incat, impreuna, sa furnizeze informatia de care are
nevoie organizatia pentru realizarea obiectivelor ei.

Figura. nr.3.10. Controlul intern intr-un mediu informatizat

CAPITOUL 4
4. CONCLUZII
Lucrarea de fata a urmarit, pe parcursul celor cinci capitole, sa ofere o imagine clara
asupra unui proces de audit al informatiei contabile intr-un mediu informatizat si, totodata, sa
sublinieze necesitatea crescanda a utilizarii tehnicilor moderne de audit (tehnici informatizate), in
vederea eficientizarii acestui proces.
Etimologic, termenul audit isi are originea in limba latina, insemnand a asculta, a
audia, dar practica anglo-saxona l-a transformat, desemnand astazi, intr-un sens larg, o
activitate de verificare a unei informatii, desfasurata de experti independenti, in vederea
exprimarii unei opinii asupra sinceritatii si conformitatii acesteia cu criterii standard de calitate.
Necesitatea realizarii unui audit financiar, la nivelul unei organizatii, este accentuata de
conflictul de interese, de asimetria informationala creata intre diversi utilizatori ai informatiilor
financiare si, nu in ultimul rand, de caracterul din ce in ce mai complex al contabilitatii.
Studiul cadrului teoretic si conceptual al unei astfel de misiuni a constituit premisa
abordarii acestei lucrari.
Orice misiune de audit identifica, in general, urmatoarele etape: acceptarea clientului
(misiunii), planificarea, evaluarea controlului intern, testarea detaliata a conturilor clientului si,
in final, intocmirea raportului de audit. Eficienta unei misiuni de audit este asigurata in

viziunea Standardelor internationale de audit de planificarea acesteia. Aceasta etapa presupune,


in linii mari, o cunoastere generala a entitatii de auditat, o apreciere a riscurilor existente si o
analiza a continuitatii activitatii acesteia in vederea identificarii conturilor si domeniilor
semnificative de auditat.
O auditare exhaustiva este imposibil de realizat si, in esenta, nu reprezinta un scop al
procesului de audit. Testarea selectiva prin esantionare reprezinta tehnica frecvent intalnita
atat pentru evaluarea controlului intern cat si pentru testarea detaliata a valorilor din conturi si a
tranzactiilor. Auditorul va examina elementele justificative care vor sustine valorile si
informatiile continute in situatiile financiare, pe baza unei evaluari a principiilor, metodelor
contabile si a estimarilor semnificative facute de managementul entitatii pentru prezentarea
situatiilor financiare. Activitatea de testare trebuie sa porneasca insa de la prezumtia de
completitudine, integritate si acuratete a datelor de auditat. Acest lucru este asigurat tocmai de o
intelegere a mediului informatizat si o evaluare a controlului intern la nivelul sistemului
informational. Desi, aparent, prezumtia invocata anterior poate fi considerata ca lipsita de
semnificatie, practica a demonstrat incidentele grave (fraude, alterarea datelor sau aplicatiilor,
pierderea definitiva a datelor dintr-un sistem) ce pot aparea, intr-un mediu informatizat, acolo
unde amploarea riscurilor ia o alta dimensiune.
Realitatea practica impune abordarea riscului prin prisma a 3 factori: amenintarile privite
ca evenimente sau activitati (in general, din exteriorul sistemului auditat) care pot sa
afecteze vulnerabilitatile existente in orice sistem cauzand astfel impactul, apreciat a fi o
consecinta pe termen scurt, mediu sau lung suportata de organizatie. In general, riscurile asociate
unui mediu informatizat, pe care auditorul trebuie sa le analizeze si evalueze, in vederea
aprecierii sistemului in sine, vizeaza: riscul securitatii fizice, riscul de comunicatie a
informatiilor atat la nivelul retelei proprii cat si a retelei publice, riscul privind integritatea
datelor si tranzactiilor, riscul de acces neautorizat, riscul privind protectia antivirus, riscul legat
de documentatia sistemului informatic, riscul de personal, riscul de infrastructura, riscul de
disponibilitate. Aceasta analiza va furniza punctele sensibile ale sistemului, auditorul urmarind
in continuare o testare detaliata a acestora.
Controlul intern la nivelul unui sistem informational presupune abordarea unui control
general si a unui control la nivelul aplicatiilor existente. Practica auditului nu releva o distinctie
intre cele doua tipuri de control pentru ca, in realitate, ele se completeaza reciproc, iar evaluarea
acestui control va conferi auditorului financiar increderea asupra datelor ce urmeza a fi auditate.
Astazi, intr-o era informatizata, in care complexitatea sistemelor de contabilitate
informatizata si volumul tranzactiilor au crescut semnificativ, este recunoscuta necesitatea unor
tehnici de audit asistate de calculator care sa permita o crestere a eficientei misiunii de audit.
Literatura de specialitate distinge doua categorii de tehnici:
pentru analiza si testarea sistemului informatic;
pentru analiza datelor de auditat.

Studiul si analiza acestor tehnici si instrumente, in special a celor utilizate in practica


cabinetelor internationale de audit prezentate in cadrul capitolului 4, precum si intreaga
cercetare desfasurata pana in acest punct au condus la formarea unei imagini a viitorului sistem
informatic, conceput si realizat intr-o viziune personala in cadrul capitolului 5. Sistemul ofera o
solutie de rezolvare a unor probleme strict legate de auditul financiar, privite prin prisma
auditorului extern, dar este de la sine inteles ca o activitate cum este auditul, unde rationamentul
si experienta profesionala a celui care o practica au un rol esential in aprecierea aspectelor
economice, nu poate fi integral informatizata. Determinarea pragului de semnificatie, evaluarea
riscului de audit, selectia esantioanelor, analiza situatiilor financiare sunt doar cateva din
functionalitatile sistemului care vor permite auditorului sa-si formeze, sa-si exprime si sa-si
sustina o opinie cu mai multa acuratete.
Testarea sistemului s-a realizat pe un set de date reale. Analizand informatiile pe care le
genereaza sistemul, din prisma auditului, se pot remarca urmatoarele: - Pragul de semnificatie a
fost stabilit la 1% din cifra de afaceri, in etapa de planificare, ceea ce inseamna in valori absolute
1.890.534.710 lei. Rationamentul acestei alegeri a tinut cont si de faptul ca, in anul precedent
societatea a inregistrat pierderi; - Analiza principalilor indicatori economico-financiari, pe ultimii
trei ani, pune in evidenta urmatoarele observatii (figura 5.12, capitolul 5): -Indicatorul lichiditatii
imediate, a carui valoare se recomanda a fi supraunitara, pentru societatea in cauza, in anii 2002,
2003 nu confera independenta financiara; -Indicatorul lichiditatii generale, apreciat cu valori de
peste 1,49 ofera garantia acoperirii datoriilor curente din activele curente ; -Perioada de incasare
a clientilor, prin valorile pe care le evidentiaza, indica o scadere a indicatorului in timp; totusi
valorile sunt apreciate a fi destul de mari, ceea ce conduce la creante mai greu de incasat (clienti
rau platnici) ; -Perioada achitarii furnizorilor se incadreaza in parametrii recomandati de practica
comerciala; -Eficienta capitalurilor proprii, prin valorile furnizate, nu face atractive actiunile
societatii, deoarece societatea nu se remarca printr-un profit semnificativ in raport cu capitalul
angajat. (in anul 2002, exercitiul se incheie cu pierderi); -Rata autonomiei financiare, se
apreciaza ca fiind o rata foarte buna, in crestere in 2003 fata de anii anteriori, ceea ce denota o
autonomie ridicata ce-i va putea facilita eventuala contractare a unor credite noi.
Evaluarea riscului inerent general a fost apreciat ca fiind Scazut, aceasta apreciere
influentand determinarea marimii esantioanelor de auditat.
Analiza situatiilor financiare a avut ca surse de informare balanta de verificare si situatiile
financiare furnizate de client, situatii ce intra sub responsabilitatea acestuia. Pe baza
informatiilor din balanta de verificare, sistemul genereaza Bilantul si Contul de profit si
pierdere, pentru a verifica acuratetea acestorasi pentru a calcula o serie de indicatori
financiari. Analiza comparativa a informatiilor generate cu cele furnizate de client au
condus la aprecieri pozitive.
O opinie finala este dificil de avansat, avand in vedere volumul informatiilor disponibile,
deoarece procedurile enumerate trebuie sa fie completate de proceduri manuale precum:
participarea la inventarierea manuala, discutii cu managementul entitatii, aprecieri ale estimarilor
managementului precum si de alte informatii suplimentare.

CAPITOLUL 5
5. BIBLIOGRAFIE
1.

Alan Oliphant

Using Risk Models to determine information risk


levels (www.theiia.org/itaudit)

2.

Alan Oliphant

Modeling information risk elements (www.theiia.org/itaudit)

3.

Ali E., Albescu F., Bojan I.

Auditul financiar domeniu de aplicatie a tehnologiilor inteligente


artificiale, Sesiune comunicari

5.

Ali E., Stanciu V.

Auditul sistemelor informationale, suport de curs, ASE.

Camera Auditorilor din


Romania

Auditul financiar contabil 2000, Standarde, norme privind conduita etc


profesionala, Ed. Economica, Bucuresti, 2000

Camera Auditorilor din


Romania

Norme minimale de audit, Ed. Economica, Bucuresti, 2001

8.

CECCAR

Norme nationale de audit, Bucuresti, 1999

9.

Constantinescu D.,

Auditul intern, Colectia Nationala, Bucuresti, 1999

Dobrin M.
10

Cosserat G.W.

Modern auditing, Ed. John Wiley & Sons, New York, 2000

11.

Dobroteanu L.,

Audit concepte si practici. Abordare nationala si internationala,


Ed. Economica, Bucuresti, 2002

Dobroteanu C.
12.

Feleaga N., Malciu L.

Politici si optiuni contabile, Ed. Economica, Bucuresti, 2002

13.

Feleaga N.

Imblanzirea junglei contabilitatii, concept si normalizare in contabilitat


Economica, Bucuresti, 1996.

14.

Finaru L., Brava I.

Visual Basic, primii pasisi urmatorii, Ed. Polirom, 2001

15.

Florescu V. & colectiv

Baze de date, fundamente teoretice si practice, Ed. Infomega, Bucurest

16.

I.S.A.C.A.

IS Standards, Guidelines and Procedures for


Auditing and Control Professionals

17.

INTOSAI

Principles of Computer Assisted Audit techniques, Students Notes

18.

Jacobson I.

Applying UML in the Unified Process, Rational Software