UNIVERSITATEA DE VEST TIMIOARA

FACULTATEA DE ECONOMIE I ADMINISTRARE A AFCERILOR

MASTER SIA
AN II

CONSIDERAII PRIVIND AUDITUL SISTEMELOR ERP

-REFERAT-

Conf. Dr. Claudiu BRNDA

Masterand:
Mihalcea Violeta-Claudia

Cuprins
2016

1. Obiectul auditului pentru sistemele informatice......................................................................

2. Necesitatea auditrii unui sistem integrat.................................................................................
3. Auditarea sistemelor integrate..................................................................................................
4. Auditul specificaiilor...............................................................................................................
5. Raportul de audit......................................................................................................................
6. Bibliografie............................................................................................................................

Consideraii privind auditul sistemelor ERP

2

1. Obiectul auditului pentru sistemele informatice

Auditul informatic reprezint o form esenial prin care se verific dac un sistem
informatic i atinge obiectivul pentru care a fost elaborat. Auditul de sisteme informatice
reprezint un domeniu cuprinztor n care sunt incluse toate activitile de auditare pentru :
specificaii, proiecte, baze de date, procesele specifice ciclului de via ale

sistemului

informatic asociat unei organizaii. Auditul informatic evalueaz aspecte strategice sau
referitoare la calitatea sistemelor informatice. De exemplu, s verifice dac sistemul
informatic al ntreprinderii rspunde n mod eficient la nevoile funciilor serviciului.
Procesul const n testarea securizrii sistemului informatic, meninerea integritii
datelor prelucrate i stocate, permiterea atingerii obiectivelor strategice ale ntreprinderii i
utilizrii n mod eficient a resurselor informaionale. n cadrul unei misiuni de audit a
sistemului informatic cele mai frecvente operaii sunt verificrile, evalurile i testrile
mijloacelor informaionale, astfel:
- identificarea i evaluarea riscurilor din sistem;
- evaluarea i testarea controlului din sistem;
- verificarea i evaluarea fizic a mediului informaional;
- verificarea i evaluarea administrrii sistemului informatic;
- verificarea i evaluarea aplicailor informatice;
- verificarea i evaluarea securitii reelelor de calculatoare;
- verificarea i evaluarea planurilor i procedurilor de recuperare n caz de dezastre i
continuare a activitii;
- testarea integritii datelor.

2. Necesitatea auditrii unui sistem integrat

3

Aplicaiile ERP formeaz coloana vertebral a unei organizaii i sunt "responsabile"

de datele, informaiile i cunotinele interne organizaionale. Nucleul acestui pachet de
aplicaii are misiunea de a gestiona datele interne. Acestea sunt organizate n cadrul
depozitelor de date, de unde sunt extrase i analizate prin intermediul sistemelor suport pentru
decizii (Decision Support System), utiliznd instrumente de tip OLAP (On-Line Analytical
Processing) sau OLTP (On-Line Transaction Processing). n ansamblu, depozitele de date
furnizeaz arhitecturi i instrumente utile conducerii la vrf prin organizarea sistematic,
ntelegerea i utilizarea datelor n adoptarea deciziilor strategice; n particular, sprijin
procesarea informaiilor furniznd o platform solid de consolidare a datelor istorice pentru
analiz.
Operaional, sistemele integrate au caracteristici distincte i partajeaz cinci atribute
eseniale :

asigur compatibilitatea tehnic i funcional a departamentelor;

tehnologiile implicate n procesarea datelor sunt relativ transparente pentru

utilizatori.

Integrarea poate fi realizat la orice nivel de desfurare a afacerii i cu orice tip de

tehnologie. Cheia succesului const n alegerea celei mai bune tehnologii care onoreaz cu
performan urmtoarele criterii: suportul oferit utilizatorilor, longevitatea tehnologic,
adaptabilitatea, scalabilitatea i rapiditatea n livrarea soluiei:

sistemele de aplicaii, datele, cile de acces la date i interfaa grafic utilizator

sunt armonizate i standardizate pentru utilizatori;

raionalitatea datelor ntreprinderii - datele au acelai statut n sisteme i module

diferite, sunt definite coerent la nivel organizaional;

toate aplicaiile de gestiune i mediile informatizate sunt scalabile, portabile i

acoper multiple funciuni.

Din punct de vedere tehnologic, aplicaiile pot fi reconfigurate rapid n funcie de

modificarea proceselor de afaceri i dovedesc flexibilitate. Codul i structura datelor suport
modificri i reproduceri.
Cele mai importante riscuri pe care i le asum organizaia sunt:

volumul foarte mare al investiiilor iniiale;

4

costuri ascunse semnificative;

incertitudini legate de software i evoluia viitoare a tehnologiilor informaionale;

responsabilitile sporite ncredinate personalului.

Dintre riscurile enunate cel mai greu de cuantificat sunt costurile ascunse, n
principal, acestea cheltuindu-se cu pregtirea profesional i training-ul angajailor pe
platforme. O alt pondere important este deinut de costurile personalizrii aplicaiilor.
3. Auditarea sistemelor integrate
n majoritatea misiunilor de audit financiar autohtone intereseaz doar evaluarea
raportrilor financiare i mai puin mijloacele prin care au fost obinute datele din acestea.
Pentru c ERP-ul nu este corect neles, n multe implementri autohtone revizia i
auditul unor astfel de sisteme nu sunt luate n calculul proiectului. Aceasta deoarece lipsesc
cerinele legale precum cele din legea Sarbanes-Oaxley n SUA. Orice implementare ar avea
impact asupra firmelor. Prin urmare, aceste implementri trebuie monitorizate i controlate
pentru a fi siguri de succesul unui astfel de demers deoarece riscurile sunt mult mai mari
dect n cazul aplicaiilor contabile, de salarizare sau de gestiune a mijloacelor fixe clasice.
Argumente:
1. sistemele ERP folosesc date din diferite sectoare ale unei firme pentru a sprijini
managementul interdepartamental i procesele firmei. Pentru a asigura succesul, astfel de
sisteme trebuie s integreze n totalitate procesele i procedurile firmei;
2. companiile din statele membre UE au fost obligate, ca ncepnd cu 1 ianuarie 2005,
s ntocmeasc raportrile financiar contabile n conformitate cu prevederile IAS. Mai mult,
la ora actual se poart discuii intense ntre International Accounting Standards (IAS) i
Federal Accounting Standards Board (FASB) pentru a se elimina diferenele dintre
standardele emise de cele dou organizaii;
3. auditarea implementrilor ERP autohtone ar scoate n eviden n majoritatea
cazurilor:

slaba planificare a proiectelor auditul i revizia nefiind cuprinse n aceste

proiecte, nu sunt cunoscute abilitile personale care ar trebui implicate ntr-un
astfel de proces;

lipsa auditrii zonelor n care implementarea soluiilor ERP afecteaz controlul

intern al organizaiei;

competena profesionitilor contabili este probabil cel mai grav aspect. n majoritatea
cazurilor, cei implicai n auditarea firmelor nu au cunotinele i abilitile necesare
nelegerii unor astfel de sisteme. Auditarea se realizeaz exclusiv n jurul calculatorului;

slaba cunoatere a soluiilor existente i a tehnologiilor pe care se bazeaz acestea achiziionarea se face de cele mai multe ori fr a se ine cont de necesitile reale ale
firmelor;

rapoartele de audit sunt considerate, de cele mai multe ori, doar simple certificate de
bun purtare, recomandrile nefiind puse n practic.
n funcie de dimensiunea proiectului, urmtorii actori ar trebui s se implice n

auditarea sistemelor ERP:

compartimentul de audit intern (compartiment impus de lege numai n cazul

organizaiilor guvernamentale). n literatura de specialitate se precizeaz c acesta este
compartimentul care cunoate cel mai bine starea sistemului implementat i zonele n
care un sistem integrat va asigura succesul firmei. Auditorii interni trebuie s fac parte
n mod obligatoriu din echipa care se ocup de implementare;

auditorii externi/independeni - chiar dac nu trebuie s aib cunotine despre fiecare

soluie n parte, auditorii externi trebuie totui s dein un minimum de cunotine
despre modul de funcionare al acestor sisteme;

implementatorul trebuie s cunoasc foarte bine soluia i s neleag procesele din

firm pentru a oferi sprijin planificrii auditurilor. Realizeaz i audituri proprii pentru
certificarea configuraiei soluiei;

departamentele funcionale managerii departamentali se ocup de particularitile

implementrii, fiecare avnd responsabiliti n aria sa de decizie. Pentru c sunt
beneficiarii rapoartelor pe care le genereaz sistemul trebuie s se implice pe tot
parcursul ciclului de via a soluiei;

conducerea executiv neimplicarea real a factorilor cu putere executiv este unul din
principalii factori care conduc la eec n implementarea soluiilor ERP.
Succesul implementrii depinde de modulele sistemului integrat, de aceea auditarea ia
n calcul i infrastructura sistemului informaional:
1. echipamentele (resursele hardware) fiecare soluie are propriile cerine de sistem,

considerate minime pentru funcionarea pachetului integrat de aplicaii. Fiecare component

a acestui puzzle contribuie la succes;
2. componentele de reea ERP se bazeaz 100% pe infrastructura reelei de
comunicaii. n acest caz trebuie avute n vedere viteza i disponibilitatea liniilor de
6

comunicaii, accesul la reea i liniile redundante prin care se asigur traficul n cazul apariiei
unor evenimente neprevzute;
3. nomenclatoarele (fiierele de baz) de clieni, furnizori, personal, materiale,
produse finite etc. reunesc toate datele de descriere a acestora i interfaeaz cu modulele
aplicaiei. Auditarea trebuie s aib n vedere acurateea datelor;
4. pachetul de aplicaii auditarea are n vedere structura i funcionarea modulelor
pachetului ERP:

parametrii de configurare: controalele la nivel de aplicaie, procedura de autorizare a

utilizatorilor, configuraiile de securitate;

securitatea modulelor i pe ansamblu a aplicaiei pentru a se asigura procesarea

controlat i sigur a datelor;

modificarea configuraiilor predefinite, standard pentru garantarea integritii proceselor;

documentaia sistemului i help-ul de context ce sprijin utilizatorii;

administrarea securitii informaiilor la nivelul organizaiei i maniera prin care pot fi

identificate i eliminate/diminuate riscurile.
5. procesele auditul unui sistem ERP trebuie s ofere suficiente probe cu privire la

integritatea proceselor implicate. Trebuie avute n vedere mai ales:

identificarea obiectivelor controalelor specifice proceselor implementate;

identificarea i evaluarea riscurilor poteniale specifice proceselor implementate;

proiectarea i implementarea controalelor care contribuie la eliminarea/diminuarea

riscurilor identificate;

verificarea funcionrii controalelor implementate;

verificarea interfarii modulelor ERP cu aplicaii non-ERP;

revizia planurilor de continuitate a afacerii.

6. angajaii rolurile ndeplinite de acetia sunt structurate n jurul soluiei

implementate:

identificarea angajailor cu atribuii de conducere, a responsabilitilor i

aptitudinilor necesare pentru a-i ndeplini sarcinile;

necesarul de cursuri de instruire i maniera n care se realizeaz transferul de

cunotine;

clasificarea sarcinilor de serviciu.

7. strategia de implementare - tranziia de la vechiul sistem ar trebui fcut cu un

impact minim asupra angajailor. n realitate implementarea unui sistem integrat genereaz un

veritabil seism organizaional. Securitatea informaiilor poate fi afectat n timpul acestei

tranziii, de aceea va fi aleas cea mai potrivit strategie.
4. Auditul specificaiilor
Specificaiile sistemului informatic, asemenea unei case, constituie temelia sistemului.
De aceea auditul sistemului trebuie s nceap cu auditul specificaiilor. Specificaiile au la
baz surse precum:

legi i acte guvernamentale;

norme de aplicare a unor acte oficiale;

documentaii tehnice privind echipamentele de producie i auxiliare;

documentele de creare i funcionare a companiei;

monografii, referate i prezentri;

documente contabile i de patrimoniu;

documente programatice: strategii i planuri pe termene diferite;

rapoarte privind dinamica evoluiei;

rapoarte privind conexiunile cu mediul de afaceri;

documentaii privind publicitatea i definirea imaginii de pia;

documentaia privind fora de munc;

Auditul are menirea de a defini gradul de cuprindere al documentelor necesare

dezvoltrii unor specificaii complete, corecte i n concordan cu obiectivul definit pentru
sistemul informatic.
Se ntocmesc mai multe liste i tabele i anume:

lista tipurilor de documente;

listele claselor de documente aparinnd fiecrui tip;

listele grupurilor de documente aparinnd fiecrei clase:

tabelele de descriere cantitativ a elementelor care alctuiesc grupurile; pentru

fiecare grup se definete un tabel.

5. Raportul de audit

Raportul de audit trebuie s cuprind o exprimare clar a opiniei pe baza evalurii

concluziilor trase conform probelor obinute n cursul auditului.
Potrivit Standardului de audit nr. 700, Raportul de audit 1, acesta trebuie s conin
n scris o exprimare clar a opiniei asupra situaiilor financiare considerate un tot unitar.
nainte de a incepe activitatea de redactare a raportului de audit nu este lipsit de interes s se
verifice arborele deciziei care ar putea avea urmtoarea form:

Evaluarea riscului la nivelul sistemului informatic

Exista riscuri care pot genera depasirea marjei de eroare acceptate?

DA

NU

Au fost utilizate controale interne pt reducerea riscurilor?

Au fost utilizate controale interne?

DA
DA

NU

Cu succes?
DA

NU

Cu succes?

NU

NU

DA
Controale interne eficace (asigurare)

Controale interne eficace (asigurare)

Proceduri de auditProceduri
(teste) minimale
de auditProceduri
(teste) focalizate
de audit Proceduri
(teste) focalizate
de audit (teste) standard

n concluzie, auditul sistemelor informatice integrate ar trebui s fie:

a)
uor de neles trebuie s se utilizeze un limbaj ct mai clar, simplu,
binenteles n msura n care obiectivele auditului o permit.
1 Standardele Internationale de Audit, ISA 700 Raportul de audit
9

Formularea coninutului raportului de audit trebuie s fie accesibila celor crora

b)

li se adreseaz.
lipsit de ambiguitate auditorul se va asigura c toate constatrile sunt
exprimate cu acuratee i nu las loc de interpretri, cel mai uor mod de a fi pe
deplin neles este acela de a folosi formule standard care sunt general

c)

acceptate.
complet un audit trebuie s cuprind toate informaiile necesare pentru a

d)

satisface n primul rnd obiectivele auditrii i apoi exigenele entitii auditate.

exact o prezentare corect presupune descrierea cu acuratee a sferei de
cuprindere a auditului i a metodelor folosite. O inexactitate aparut n raportul
de audit poate crea ndoieli asupra validitii ntegului raport i poate atrage

e)

atenia de la esena raportului.

obiectiv un raport de audit are o credibilitate considerabil mai mare dac

f)

probele de audit sunt prezentate ntr-o manier imparial.

convingator utilizatorul trebuie s fie convins de realitatea constatrilor, de

g)

rezonabilitatea concluziilor i de beneficiul aplicrii recomandrilor formulate.

concis auditul trebuie s fie concis i s cuprind concluzii i recomandri
care s sprijine probele prezentate.

Bibliografie

1. Ali Eden, Victoria Stnciu- Auditul Sistemelor informatice, Editura Dual Tech, 2004,
Bucureti.
2. Ghidul de audit al sistemelor informatice, 2012, Bucureti.
3. tefan Popa, Claudia Ionescu- Audit n medii informatizate, Editura Expert, 2005,
Bucureti.

10

11