Sunteți pe pagina 1din 9

UNIVERSITATEA CRETIN DIMITRIE CANTEMIR BUCURETI FACULTATEA DE FINANE, BNCI I CONTABILITATE MASTERAT GESTIUNE I AUDIT FINANCIAR

REFERAT AUDITAREA MANAGEMENTULUI DOCUMENTELOR N REGIM ELECTRONIC

ETAPELE AUDITULUI SISTEMELOR INFORMATICE

CONDUCTOR TIINIFIC: Lector univ. dr. ISIL NARCISA MASTERAND: TUDOR T. MARIA-ALEXANDRA

BUCURETI 2012

CUPRINS

1. 1.1 1.2 1.3 1.4

ETAPELE AUDITULUI SISTEMELOR INFORMATICE ................ 3 Planificarea auditului .....................................................................................3 Efectuarea auditului .......................................................................................6 Raportarea auditului ......................................................................................7 Revizuirea auditului .......................................................................................8

1. ETAPELE AUDITULUI SISTEMELOR INFORMATICE

Misiunea de audit al sistemelor informatice se deschide n cadrul unei ntlniri cu conducerea entitii auditate, organizate la sediul acesteia, iniiate de structura de specialitate a Curii de Conturi care desfoar auditul. Din partea Curii de Conturi, la ntlnire pot s participe eful departamentului / directorul din cadrul departamentului sau directorul / directorul adjunct al camerei de conturi, dup caz, i echipa de audit desemnat. n cadrul ntlnirii de deschidere a auditului se prezint echipa de audit, tema i obiectivele auditului, se stabilesc persoanele de contact, precum i alte detalii necesare realizrii auditului i se clarific aspectele legate de asigurarea unor spaii de lucru adecvate i a suportului logistic corespunztor. Pentru a efectua auditul sistemelor informatice, auditorul public extern va trebui s aib suficiente cunotine n domeniul tehnologiei informaiei i comunicaiilor, care s-i permit nelegerea strategiilor, politicilor i activitilor care fac obiectul auditului. Etapele auditului sistemelor informatice sunt: planificarea auditului, efectuarea auditului, raportarea i revizuirea auditului. 1.1 Planificarea auditului Planificarea este prima etap din ciclul de via al auditului, corectitudinea acesteia asigurnd eficiena i execuia efectiv a tuturor celorlalte etape ale auditului. Planificarea presupune obinerea de informaii privind entitatea auditat i de informaii despre sistemul de control intern al acesteia. De asemenea, i foarte important, planificarea trebuie s includ o evaluare a riscurilor care decurg din funcionarea acestor sisteme. Planificarea auditului are la baz o strategie de audit, care se formuleaz pornind de la definirea abordrii auditului i precizeaz elemente legate de coordonarea misiunii de audit, echipa implicat n aceast misiune, atribuiile n cadrul echipei, orizontul de timp i direciile principale de aciune.

Scopul planificrii auditului IT / IS este acela de a obine o nelegere a mediului n care funcioneaz sistemul informatic n cadrul entitii auditate, de a evalua riscul de eroare sau de fraud, de a elabora o abordare eficient a auditului prin care s se colecteze probe suficiente i de ncredere n scopul formrii unei opinii, i de a aloca resursele necesare pentru realizarea acestor activiti. Planificarea activitilor are n vedere minimizarea costurilor auditului. n cazul auditrii sistemelor informatice financiar-contabile, trebuie analizat impactul acestor sisteme asupra planului misiunii de audit. Aceast analiz are la baz urmtoarele activiti: cunoaterea relaiei dintre situaiile financiare i sistemele informatice care le susin; evaluarea necesitii implicrii n audit a specialitilor n audit IT / IS; luarea n considerare a impactului implementrii i utilizrii sistemului informatic asupra riscului, att la nivelul entitii ct i pentru domeniul financiar-contabil; luarea n considerare a posibilitilor de utilizare a tehnicilor de audit asistat de calculator pentru susinerea auditului, inclusiv identificarea celor mai adecvate mijloace de accesare i analiz a datelor aferente tranzaciilor; analiza modului de includere a evalurii controalelor IT n abordarea auditului; identificarea sistemelor informatice financiar-contabile n curs de dezvoltare care vor necesita implicarea auditului. Pentru stabilirea unei strategii de audit, auditorul trebuie s obin informaii i cunotine legate de entitatea auditat i de mediul n care aceasta opereaz. Activitatea de documentare are ca scop cunoaterea obiectivelor entitii cu privire la performana tehnologiei informaiei, precum i a principalelor aspecte legate de coordonarea, structura i funcionalitatea sistemelor, serviciilor i aplicaiilor care susin obiectivele, n vederea alegerii celor mai adecvate metode, tehnici i proceduri de audit. Metodele utilizate pentru colectarea informaiilor n faza de documentare sunt: prezentri n cadrul unor discuii preliminare cu reprezentanii managementului entitii auditate; consultarea unor materiale documentare relevante privind activitatea entitii; consultarea legislaiei aferente tematicii; consultarea documentaiilor tehnice;
4

documentare n domeniul standardelor i bunelor practici; interviuri cu persoanele implicate n coordonarea, monitorizarea, administrarea, ntreinerea i utilizarea sistemului informatic; participarea la demonstraii privind utilizarea sistemului; studiul documentar realizat prin accesarea pe Internet a unor informaii publicate pe website-ul entitii auditate. Dup obinerea unei nelegeri asupra mediului informatizat al entitii, auditorul va evalua riscul inerent i riscul de control, factori care se iau n considerare la determinarea riscului de audit. Riscul de audit, indus de utilizarea sistemului informatic, poate fi exprimat n termenii urmtoarelor trei componente: Riscul inerent, care decurge din susceptibilitatea asupra resurselor informatice sau asupra resurselor controlate de sistemul informatic: furt material, distrugere, dezvluire, modificri neautorizate, incompatibilitate, n lipsa controalelor interne asociate. Riscul de control, care reprezint riscul ca erorile materiale din datele entitii s nu fie prevenite sau detectate i corectate n timp util de structura controlului intern al entitii. Riscul de nedetectare, care reprezint riscul ca auditorul s nu detecteze erorile existente n sistem. Planul de audit conine urmtoarele seciuni: 1. Informaii despre entitatea auditat: obiective, structur, dotare hardware i software, volumul operaiilor prelucrate automat; 2. Stabilirea obiectivelor auditului: abordarea auditului, aria de acoperire a auditului, rolul auditorului IT; 3. Evidenierea domeniilor critice care vor fi examinate: ariile cu riscul cel mai ridicat; 4. Criteriile de audit stabilite; 5. Etapele misiunii de audit i tipurile de evaluri aferente: procedurile de audit prin care se obin probele de audit, metodele i tehnicile de analiz, sintez i interpretare a probelor de audit; 6. Resurse necesare: personal, timp, resurse tehnice i financiare.
5

1.2 Efectuarea auditului Probele de audit specifice sistemelor informatice pot fi ncadrate n urmtoarele categorii: a) Probe de audit fizice - rezultate din demonstraii ale aplicaiilor, documentaii tehnice, diagrame, scheme de arhitectur i alte elemente echivalente acestora. b) Probe de audit verbale rspunsuri la interviuri, sondaje. c) Probe de audit documentare documente, documentaii, manuale n form scris sau n format electronic. d) Probe de audit analitice rezultate obinute n urma evalurilor i analizei fondului de informaii (indicatori, tendine). Auditorii publici externi vor colecta probe de audit suficiente i adecvate. n cazul n care probele de audit nu sunt suficiente i/sau adecvate, auditorii publici externi vor extinde procedurile de colectare cu teste suplimentare, aprofundate asupra sistemului informatic. Pentru obinerea probelor de audit se vor utiliza, n principal, urmtoarele tehnici de audit: Realizarea de interviuri cu persoane cheie implicate n proiect (coordonatori, utilizatori, administratori de sistem IT etc.); Utilizarea chestionarelor i machetelor; Examinarea unor documentaii tehnice, economice, de monitorizare i de raportare: grafice de implementare, coresponden, rapoarte interne, situaii de raportare, rapoarte de stadiu al proiectului, registre de eviden, documentaii de monitorizare a utilizrii, contracte, sinteze statistice, metodologii, standarde; Participarea la demonstraii privind utilizarea sistemului; Evaluarea portalului i a serviciilor electronice; Utilizarea tehnicilor i instrumentelor de audit asistat de calculator (IDEA, TeamMate, ACL sau alte aplicaii utilizate); Documentarea pe Internet n scopul informrii asupra unor evenimente, comunicri, evoluii legate de sistemul IT sau pentru consultarea unor documentaii tehnice.

1.3 Raportarea auditului Raportarea are ca scop punerea n eviden a punctelor slabe ale controalelor, identificate de auditor i aducerea lor la cunotina entitii auditate prin intermediul raportului de audit i al unei scrisori care conine sinteza principalelor constatri i recomandri. Raportul de audit identific aria de cuprindere, obiectivele, perioada, planificarea n timp i aria de acoperire ale activitii de auditare efectuate. Raportul de audit este elaborat de auditorii publici externi pentru fiecare misiune de audit i va include cele mai semnificative constatri, recomandri i concluzii care au rezultat n cadrul misiunii de audit cu privire la stadiul i evoluia implementrii i utilizrii sistemelor informatice existente n entitatea auditat. Raportul va include, de asemenea, opinia auditorilor cu privire la natura i extinderea punctelor slabe ale controlului intern n cadrul entitii auditate i impactul posibil al acestora asupra activitii entitii. Raportul de audit al sistemelor informatice trebuie s fie obiectiv i corect, s cuprind toate constatrile relevante, inclusiv cele pozitive, s fie constructiv i s prezinte concluziile i recomandrile formulate de echipa de audit. Entitatea auditat formuleaz punctul de vedere cu privire la constatrile i recomandrile coninute n proiectul raportului de audit i l transmite, n termen de 10 zile, structurii care a efectuat auditul. n situaia n care exist diferene de opinii ntre auditorii publici externi i conducerea entitii auditate cu privire la coninutul proiectului raportului de audit al sistemelor informatice, care nu pot fi soluionate cu ocazia reconcilierii, echipa de audit prezint n raportul de audit al sistemelor informatice, punctul de vedere al entitii auditate i explic cu claritate motivele care au stat la baza nensuirii acestora, dac este cazul. Dup discuiile purtate cu entitatea auditat, auditorii publici externi pot modifica proiectul raportului de audit al sistemelor informatice, dac entitatea auditat aduce probe de noi care s justifice modificarea constatrilor. Raportul final de audit al sistemelor informatice este semnat de auditorii publici externi care au efectuat auditul i va fi naintat entitii auditate, nsoit de o adres de naintare, pentru a fi nregistrat. Raportul de audit al sistemelor informatice, nregistrat la entitatea auditat va fi evideniat n registrul de intrri ieiri de la nivelul structurilor de specialitate respective, n Registrul
7

special privind evidena actelor ntocmite i modul de valorificare a constatrilor consemnate n acestea i n aplicaia INFOPAC. Sinteza principalelor constatri, concluzii i recomandri ale auditului, nsoit de o adres semnat de eful departamentului / directorul camerei de conturi se transmite entitii auditate nsoit de o adres n care se specific termenul la care entitatea auditat va transmite Curii de Conturi informaii privind msurile i modul de implementare a recomandrilor cuprinse n raportul de audit. Raportul de audit al sistemului informatic sau o sintez a principalelor constatri, concluzii i recomandri ale acestuia pot fi transmise, dup caz, i instituiilor publice interesate, Guvernului, comisiilor de specialitate din cadrul Parlamentului, prin intermediul departamentului n a crui competen de verificare intr domeniul respectiv.

1.4 Revizuirea auditului Revizuirea auditului se realizeaz n cadrul unei noi misiuni de audit, care are ca obiectiv evaluarea modului n care au fost implementate recomandrile formulate n raportul de audit anterior aferent misiunii de audit al sistemelor informatice. Rezultatele se consemneaz ntr-un nou raport de audit care conine concluzii, constatri i recomandri relative la stadiul implementrii recomandrilor formulate n raportul de audit iniial.

BIBLIOGRAFIE
*AUDITUL SISTEMELOR INFORMATICE MANUAL 2012 *http://www.curteadeconturi.ro