Documente Academic
Documente Profesional
Documente Cultură
Tehnologia informatiei si afacerile devin inextricabil intretesute. Nu cred ca cineva poate vorbi
despre una fara sa vorbeasca si despre cealalta (Bill Gates)
1. Introducere
Aceasta lucrare evalueaza rolul tehnologiei si felul in care aceasta afecteaza procesul de audit
intern in organizatie. Studiul se focuseaza pe trendul global de adoptare a sistemelor IT
(software/hardware) pentru a crea un mediul mai controlat in procesul de audit. Este prezentat,
de asemenea, modul in care sistemele informatice afecteaza controlul intern (mediul de control,
evaluarea riscurilor, activitatile de control). Lucrarea isi propune sa evidentieze atat avantajele
cat si riscurile la care compania este supusa prin integrarea sistemelor IT in procesul de audit
intern.
In zilele noastre, tehnologia este indispensabila in mediul de afaceri, toate companiile
desfasurandu-si activitatea cu ajutorul calculatoarelor si a software-urilor. In vederea realizarii
obiectivelor de afaceri, prin coordonarea diferitelor structuri, procese si fluxuri din companie, au
aparut aplicatiile de tip ERP (Enterprise Resource Planning). Acestea reprezinta o imbinare a
practicilor de management al afacerilor cu tehnologia informatiilor, prin care procesele de afaceri
ale unei companii sunt integrate in cadrul sistemului informatic. De fapt, aceste aplicatii incearca
sa integreze toate departamentele si functiile dintr-o companie intr-un unic program informatic
care serveste tuturor nevoilor particulare a diferitelor departamente, inclusive a departamentului
de audit intern, scopul ERP fiind sa asigure transparenta datelor in cadrul unei organizatii si sa
faciliteze accesul la orice tip de informatie utila in desfasurarea activitatii.
Sistemele ERP creeaz noi oportunitati, precum si noile provocari pentru focusul general al
functiei de audit intern (Saharia et al., 2008). De aceea, functia de audit intern trebuie s fie
adaptabila si creativa.
Institutul Auditorilor Interni (IIA- Institute of Internal Auditors), autoritatea global pentru
profesia de audit intern, a recunoscut rolul indispensabil al tehnologiei n realizarea auditului
intern, att n Ghidul Evaluri Riscului IT (GAIT Guide to the Assessment of IT Risk) ct i
prin elaborarea unui standard de audit care se refera strict la realizarea auditului intr-un mediu
IT ( Standardul International de Audit 401-Auditul in mediul sistemelor informationale
computerizate).
In zilele noastre, calculatoarele si retelele furnizeaza majoritatea informatiilor necesare in
procesul de audit. Pentru a fi eficienti, auditorii trebuie sa foloseasca calculatorul ca pe un
instrument de audit, sa inteleaga scopul afacerii referitor la sisteme si sa inteleaga mediul in care
aceste sisteme opereaza. O alta utilizare a calculatorului si a retelelor de catre auditor o
reprezinta administrarea procesului de audit. Prin cautarea de noi utilizari ale sistemelor
informationale, auditorii isi imbunatatesc abilitatile de supervizare a sistemelor de comunicare si
sa isi gestioneze activitatile intr-un mod mai eficient.
2. Metodologia de cercetare
Potrivit literaturii de specialitate si a cadrului normativ specific, auditul intern este o activitate
independenta si obiectiva care ofera unei organizatii o asigurare in ceea ce priveste gradul de
control asupra operatiunilor, o indrumare pentru a-i imbunatatii operatiunile si contribuie la
adaugarea unui plus de valoare. (Bota- Avram C., 2009)
Auditul intern ajuta organizatia sa isi atinga obiectivele, evaluand printr-o abordare sistematica si
metodica, procesele sale de management al riscurilor, de control si de guvernare a intreprinderii,
facand propuneri pentru a le consolida eficacitatea. (Bota- Avram C., 2009).
Se observa ca auditul intern este o functie confidentiala in cadrul unei companii care nu
activeaza pentru a oferi informatii utilizatorilor externi si astfel nu exista foarte multe studii
referitoare la acest domeniu.
Pentru realizarea lucrarii de fata am consultat cateva dintre putinele studii de specialitate din
aceasta arie pentru evidentierea impactului tehnologiei in mediul de afaceri si mai ales in
procesul de audit intern. Aceasta are atat implicatii pozitive cat si implicatii negative. Pe de-o
parte tehnologia, prin implementarea unor soft-uri, creste eficienta procesului de audit, iar pe de
alta parte poate genera erori si distorsionari in reprezentarea imaginii de ansamblu a activitatii
intreprinderii.
Pentru evidentierea impactului tehnologiei asupra activitatii de audit intern am ales sa prezint
doua studii de caz referitoare la doua companii care au implementat in cadrul departamentului de
audit intern, programe informatice specifice. Prima companie, Shell, a ales un sistem existent pe
piata, iar ce-a de-a doua companie, Deutsche Bank, a ales sa dezvolte o tehnologie in-house.
Auditele interne sunt proiectate sa evalueze eficacitatea controlului intern prin adunarea de
informatii despre modul de operare a unei unitati/companii, sa identifice puncte la care erorile
sau ineficientele pot aparea si sisteme de control create sa previna sau sa detecteze asemenea
evenimente. Apoi, se testeaza aplicatia si performanta acestor teste pentru a evalua cat de bine
functioneaza.
eficacitate operationala
reducerea costurilor
reducerea erorilor umane.
Pe de alta parte exista mai multe tipuri de riscuri associate cu folosirea sistemelor IT. Printre
acestea se numara:
Cannon and Crowe(2004) afirma ca multe dintre controalele financiare interne sunt incorporate
in programe IT , procesele si procedurile care sunt scrise pe hartie sunt si ele implementate si
intretinute in programe informatice. In consecinta, activele si pasivele unei organizatii pot fi
transferate prin intermediul programelor informatice, fara interventia oamenilor. Gradul de
automatizare poate fi atat de mare incat contributia umana la process sa se rezume doar la
promulgarea politicilor si regulilor si la revizuirea rezultatelor.
Este sustinuta de asemena ipoteza cum ca auditorii interni se straduiesc sa-si pastreze identitatea
si scopul pentru ca organizatia pe care o auditeaza sa nu sufere schimbari radicale.
Progresul in IT pune auditul intern traditional intr-o lumina invechita astfel incat valorile acestuia
sunt puse serios la indoiala.(Tongren, 1997). Datorita faptului ca schimbarile in IT se produc intrun mod alert, auditorii trebuie sa tina ritmul cu schimbarile tehnologice si impactul lor asupra
sistemului de procesare a datelor al organizatiei si asupra propriilor procedure de audit (Rezaee
and Reinstein, 1998, p.465).
Avantajele auditorilor de a folosi sistemele informationale in procesul de audit sunt:
1.
2.
3.
4.
5.
6.
7.
Pentru a intelege mai bine cum folosesc departamentele de audit intern tehnologia pentru a-si
creste productivitatea si eficacitatea, este esential sa privim cum s-a schimbat modul de utilizare
a tehnologiei in rpocesul de audit intern in ultimii 20 de ani.
Programe informatice ca Word, Excel si Power Point au devenit aproape universale, reprezentand
o tehnologie fundament pentru planificare auditului, programe, documente de lucru si de
raportare etc. Utilizarea internetului a dezvoltat abilitatea auditorilor de a accesa si partaja
informatii, cum ar fi cerintele de reglementare, standard si cele mai bune practice de audit.
Se poate argumenta ca una dintre cele mai importante schimbari este este msura n care profesia
a recunoscut importana de analiz a datelor i de automatizare a procedurilor de audit i de
testare de control prin audit i monitorizarea continua. In timp ce utilizarea software-urilor de uz
general in auditul intern a creat eficienta, nu a schimbat abordarea fundamentala de abordare a
auditului.
In ultimii zece ani, asteptarile fata de auditul intern s-au schimbat considerabil. Auditul intern
este acum din ce n ce mai implicat in domenii cum ar fi managementul riscului, detectarea
fraudelor si monitorizarea si identificarea oportunitatilor de imbunatatire a performantelor
financiare.
In elaborarea procedurilor de audit, auditorul trebuie sa ia in considerare importanta riscului,
materializarea oricarei denaturari, caracteristicile claselor de tranzactii, natura controalelor
folosite de organizatie inclusiv folosirea tehnologiei si daca auditorul se asteapta sa obtina probe
de audit pentru a stabili daca controalele organizatiei sunt eficiente in prevenire, detectarea sau
corectarea denaturarilor semnificative.
Standardul International de Audit 401-Auditul in mediul sistemelor informationale
computerizate- prevede ca procesele de audit atat pentru auditorii interni cat si pentru auditorii
externi s-au schimbat intr-un mod alert. Factorii care au influentat aceste schimbari includ:
globalizarea afacerii
progresul in tehnologie
cererile pentru auditurile cu valoare adaugata
structura activitatilor computerizate ale clientilor
gradul de concentrare sau distributie a procesarii pe calculator (in cadrul organizatiei, in
special deoarece acestea pot afecta separarea sarcinilor si disponibilitatea sursei de date a
documentelor) Unele fisiere electronice si documente de evidenta cerute de auditor pot
exista doar pentru o scurta perioada si doar in format electronic. In consecinta, auditorii
evaluarea riscurilor
Proiectarea si perfomanta testelor de control cele mai potrivite pentru indeplinirea
obiectivelor de audit intern
Eficienta creata de utilizarea tehnologiei si integrarea analizei datelor in procesul de audit denota
faptul ca departamentul de audit are o pozitie mai stabila,mai sigura in finalizarea planului de
audit ceea ce semnifica o reala provocare pentru unele departamente.
Printre cele mai bune practici de utilizare a tehnologiei in procesul de audit intern se numara
auditarea si monitorizarea continua. Beneficiile acestor practici se concretizeaza in furnizarea
catre management,in timp real, a notificarilor privind riscurile de control si anomaliile depistate.
Urmatorul pas poate fi facut de catre management prin preluarea unor procese similar de control
continuu. Aceasta practica poate deveni componenta de baza a strategiei de management in ceea
ce priveste gestionarea riscului operational.
7. Provocari
Un sondaj realizat de Protiviti a identificat faptul ca ariile de analiza a datelor, audit continuu si
monitorizare a fraudei au fost sectoarele care au avut cea mai mare nevoie de cunostiinte si
abilitati imbunatatite. Acest fapt demonstreaza ca este necesara educatia si formarea auditorilor
in utilizarea tehnologiei in procesul de audit si apelarea la experti externi.
STUDIU DE CAZ NR.1 , Shell Instrumentele de analiza a datelor permit auditului intern sa
monitorizeze puterea controalelor de acces si cresc calitatea si acuratetea auditului
Shell este un grup global de companii energetice si petrochimice cu sediul in Olanda. Societatea
mama, Royal Dutch Shell plc, este incorporata in England and Wales. In 2008, Shell a raportat
venituri de 458,4 mld. dolari si a investit peste 1,2 mld. dolari in cercetare si dezvoltare- mai
mult decat oricare alta companie petroliera. In ultimii 5 ani, Shell a cheltuit1,7 mld. dolari in
tehnologiile de energie regenerabila.
Fiind un lider recunoscut in industria energetica, Shell a fost clasat pe locul 1 de catre publicatia
Fortune, bazandu-se pe cifra de afaceri din 2009. Shell este prezenta in mai mult de 100 de tari
cu 45000 de benzinarii in toata lumea.
Obiectivele auditului
Obiectiele de audit intern ale companiei Shell se bazeaza pe o definitie traditionala a functiei de
audit-sa furnizeze garantie comitetului executiv, sa gestioneze riscul si sa asigure garantia
controalelor interne in companie.
Scopul auditului in compania Shell este unul larg. Echipa de audit intern revizuieste in intregime
managementul riscului acoperind fiecare aspect al afacerii. Auditorul sef a declarat ca au o
oportunitate unica de a vedea lucrurile intr-un mod in care altii nu pot, prin managementul lor de
risc si prin munca de control intern. De asemenea, el afirma ca auditul intern ajuta liderii afacerii,
prin intermediul tehnologiei sa priveasca operatiunile din alta perspectiva.
O viziune bazata pe tehnologie
Baza realizarilor de audit intern a fost exprimata in viziunea echipei in 2010. Ea promitea sa
furnizeze rezultate de audit intr-o masura mai puternica si ca tehnologia sa aibe un rol major in
indeplinirea acestei viziuni. Echipa a afirmat faptul ca fiecare cadru de control din companie
depinde de tehnologie, fiecare tranzactie pe care compania o face este executata prin intermediul
programelor informatice. De asemenea, numarul controalelor incorporate in mecanisme IT este
in crestere.
Primul pas in indeplinirea acestei viziuni a fost constituirea unei echipe cu abilitatile potrivite.
Compania a investit in oameni pentru a se asigura ca are capacitatea de a-si testa sistemele si de a
avea acces la toate tranzactiile si procesele de business ale companiei, din toata lumea.
Al doilea pas a fost sa investeasca in tehnologia potrivita pentru a ajuta auditul intern sa evalueze
date si informatii fara limite impuse. Compania a presupus faptul ca daca au acces la toate datele
pot afla exact cum functioneaza sistemele. De exemplu, cand se analizeaza o cantitate foarte
mare de date si reiasa un rezultat ciudat, care nu se incadreaza in modelele prestabilite, compania
isi doreste sa poate realiza o citire si o interpretare precisa a datelor.
Echipa de audit intern si-a dorit de asemenea servere mari,puternie care sa furnizeze accese si
instrumente de analiza a datelor care pot fi usor configurate si aplicate seturilor de date.
Tehnologia implementata a testat realitatea cadrelor de control din compania Shell. Astfel,
auditorii nu au mai verificat doar cateva mostre de documente sau nu au mai aruncat doar o
privire peste cateva tranzactii ci au reusit sa evalueze toate tranzactiile. De exemplu, pot verifica
cifra de afaceri pe un an intreg. Analiza lor este completa si le intareste intelegerea cadrelor de
control si importanta descoperirilor lor.
Tehnologia de analiza a datelor ofera de asemenea mai multe perspective. Echipa de audit intern
Shell poate vedea lucruri care fara ajutorul tehnologiei nu sunt vizibile, poate analiza
caracteristici ale proceselor care nu intra in analiza traditionala si pot aplica criterii care nu sunt
incorporate in unele software-uri. Seful echipei de audit intern din cadrul companiei Shell a
declarat faptul ca membrii echipei au tot mai mult acces la realitatea companiei care este diferita
de imaginea la care se asteapta conducerea.
Astfel, echipa de audit intern Shell poate sa urmareasca cum opereaza compania intr-un mod
standardizat. Auditorii folosesc tehnologia pentru a verifica cat de stricte sunt controalele de
acces prin setarea sistemului sa determine nivele de securitate sau tipuri de acces. Ei afirma ca
inainte de folosirea tehnologiei, raspunsurile obtinute de auditorii interni erau corecte dar nu
complete.
Intr-una din intalnirile cu presedintele uneia dintre companiile care fac parte din grupul
Shell,echipa de auditori i-a oferit acestuia informatii despre cate note de credit au fost emise
pentru fiecare factura din departamentul sau. Din aceasta perspectiva el a realizat cat de
ineficienta a fost afacerea in aria sa.
Tehnologia analizei datelor ii invita pe auditorii interni Shell sa isi imbunatateasca abilitatile, sa
isi defineasca mai bine scepticismul, sa exploreze mai multe optiuni si sa adreseze mai multe
intrebari.
Provocarile tehnologiei
Atunci cand se implementeaza o anumita tehnologie apar obstacolele. Provocarile cu care s-a
confruntat compania Shell in implementarea tehnologiei in procesul de audit intern au fost :
Totusi, cea mai mare provocare intampinata de companie a fost procesul de invatare a acestei
tehnologii pentru a putea fi folosita intr-un mod eficient. A fost nevoie de timp pentru ca auditorii
sa inteleaga ce pot obtine cu ajutorul tehnologiei si sa o foloseasca in asa fel incat sa devina
experti. Pentru implementarea acestei tehnologii de analiza a datelor a fost nevoie de timp,
pregatire si asistare.
Procesul efectiv de implementare a durat aproximativ un an, pentru ca echipa sa stabileasca
cadrul de control si inca un an sa il integreze in organizatie. Totusi, mai exista multe de facut
pentru ca utilizatorii sa foloseasca tehnologia la capacitatea sa maxima.
O caracteristica aparte a procesului de implementare a sistemelor de analiza a datelor in cadrul
companiei Shell a fost faptul ca nu toti membri echipei de audit intern au devenit specialisti in
extragerea datelor, din moment ce nu toti au abilitatile tehnice necesare.
Strategia de alegere a utilizatorilor care urmau sa foloseasca aceasta tehnologie s-a bazat pe
inclinatia acestora de a invata repede si pe experienta unora dintre ei in folosirea programelor
informatice. Indeosebi, tehnologia a fost aplicata in procesele din departamentul financiar,
logistic si cel de resurse umane. Abilitatile tehnologice au fost separate de abilitatile de utilizare a
unui program informatic, primul set de abilitati fiind preferat in detrimentul celui de-al doilea.
Planuri de viitor
Echipa de audit intern Shell planuieste o expansiune a tehnologiei de analiza a datelor care poate
fi apoi folosita in scop de control. Auditul intern intentioneaza de asemenea sa largeasca scopul
auditului si sa se asigure ca aceasta tehnologie este in concordanta cu abordarile strategice de
business ale companiei, pornind de la afirmatia ca desi auditul intern va ramane o functie
complet independent, acesta ofera suport pentru intreg business-ul.
mult de 77000 de angajati in 72 tari si cuprinde trei divizii de business: Servicii bancare pentru
corporatii si investitii, Clienti privati si managementul activelor si Investitii corporative.
Auditul grupului opereaza sub autoritatea board-ului de conducere si raporteaza directorului
financiar. Sunt aproximativ 400 de profesionisti in echipa de audit a grupului, iar membri sunt
localizati in 31 de tari pentru a asigura prezenta auditului in toate regiunile.
Structura echipei de audit a grupului este strans legata de organigrama companiei si diviziile de
business. Exista trei parteneri de business si fiecare are directori financiari responsabili pentru
functii specific de business in cadrul diviziilor. Cei opt directori financiari sunt responsabili cu
pregatirea si completarea planului de audit al fiecarei divizii.
Fluxurile de audit si evaluarea riscurilor (Audit Workflow and Risk Assessment EngineAWARE)
Tehnologia dezvoltata pentru a sustine aceasta initiativa si pentru a acoperi toate functiunile
auditului(AWARE) a fost creata in interiorul companiei. Acest sistem include componente pentru
evaluarea riscului, planificare anuala, emiterea rapoartelor si urmarirea diferitelor probleme care
pot aparea. Auditul grupului a terminat prima faza a proiectului, care s-a concentrat pe terenul de
actiune al auditului si a inlocuit si consolidat sistemul folosit anterior, Lotus Notes. Urmatorii
pasi, care includ integrarea planificarii auditului, generarea rapoartelor de audit si urmarirea
diferitelor problem au fost demarati ulterior, in anul 2010.
AWARE le permite utilizatorilor sa imparta intre ei informatii globale in timp real. Toate datele
sunt stocate intr-o baza de date pentru ca orice utilizator care are access sa le poata vedea
oricand. De asemenea, este nevoie ca un utilizator sa se logheze o singura data in aplicatie pentru
a putea folosi toate functionalitatile sistemului.
Aware ofera un cadru pentru auditorii interni ai Deutsche Bank pentru ca ei sa se concentreze pe
munca de audit efectiva si nu pe procedurile de audit. Un aspect al sistemului AWARE il
reprezinta portofoliul de control al riscului si controale prestabilite pentru toate potentialele
activitati. Cand un audit este efectuat intr-o anumita arie, auditorul poate apela la materialul de
ghidare din portofoliul de control al riscului care ajuta la asigurarea coerentei auditului efectiv.
De asemenea, procesele de planificare si urmarire a activitatilor au fost si ele incluse in AWARE.
Alte componente cheie din cadrul sistemului sunt:
Sirul - un sir online al tuturor actiunilor, aprobarilor si notificarilor pentru auditori
8. Concluzii
Intr-un mediu de afaceri competitiv, ca si cel contemporan, o companie nu poate supravietui fara
folosirea tehnologiei, iar tehnologia este intr-o continua dezvoltare ceea ce obliga si
interprinderile sa isi actualizeze in mod constant sistemele folosite. Cele mai mari avantaje ale
utilizarii tehnologiei in detrimentul practicilor clasice este faptul ca aceasta creste semnificativ
eficienta si reduce costurile, ori acesta este scopul oricarei companii: sa isi maximizeze profitul
prin reducerea costurilor si cresterea incasarilor. Totusi, utilizarea sistemelor informatice
presupune si riscuri, care, daca nu sunt depistate si remediate la timp, pot duce chiar la falimentul
companiei. Printre aceste riscuri se numara: pierderea sau furtul datelor confidentiale,
distorsionarea anumitor rezultate, defectarea propriu-zisa a calculatoarelor si soft-urilor folosite
etc.
In activitatea de audit intern, tehnologia joaca un rol foarte important,deoarece, datorita softurilor, auditorii pot avea acces la toate tranzactiile si operatiunile care au loc companie, pot
compara datele intre ele, pot observa anumite anomalii si pot asigura o evaluare a riscurilor mult
mai eficienta. De asemenea, asa cum am observat in cadrul studiului referitor la implementarea
tehnologiei in auditul intern al Deutsche Bank, auditorii isi pot stabili anumite modele dupa care
sa lucreze si un portofoliu de indrumari pentru fiecare activitate.
Astfel, auditorii interni sunt nevoiti sa cunoasca si sa inteleaga programele specifice auditului
intern pentru a le utiliza eficient si pentru a exploata la maxim avantajele pe care acestea le ofera.
De aceea, managementul trebuie sa asigure programe de pregatire a auditorilor si sa apeleze la
consultanta din exterior daca este necesar.