Documente Academic
Documente Profesional
Documente Cultură
TEZĂ DE DOCTORAT
CONDUCĂTOR ŞTIINŢIFIC,
PROF. UNIV. DR. ROŞCA I. IOAN
DOCTORAND,
GHEORGHE MIRELA
- BUCUREŞTI –
2004
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CUPRINS
Introducere 5
2
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
3
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Mining……………………………………………………………………………………… 182
6.3. Integrarea tehnicilor şi metodelor Data Mining în cadrul procesului de audit……….... 185
Concluzii……………………………………………………………………………………. 190
Bibliografie…………………………………………………………………………………. 195
Anexe……………………………………………………………………………………….. 198
INTRODUCERE
4
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
5
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CAPITOLUL 1
În sens etimologic, cuvântul "audit" îşi are originea în latinescul "audire", care
însemna "a asculta, a audia". Acest termen şi-a extins, în timp, aria semantică preluând
sensuri precum "a examina, a verifica, a revizui conturi".
Trebuie însă precizat că evoluţia auditului nu s-a realizat doar în sens etimologic. O
scurtă incursiune istorică evidenţiază că au existat transformări chiar în ceea ce priveşte
obiectivele şi tehnicile utilizate în cadrul activităţii de audit: 1
Perioada Obiectivele auditului Tipul verificarii Importanţa
controlului
intern
Antica – 1850 Detectarea fraudelor Verificare detaliată Nerecunoscut
1850 – 1905 Detectarea fraudelor şi a Verificare detaliată; Nerecunoscut
erorilor Se introduce
tehnica sondajului
1905 – 1933 Detectarea fraudelor şi a Verificare detaliată Uşor
erorilor; şi prin sondaj recunoscută
Exprimarea unei opinii
cu privire la
corectitudinea situaţiilor
financiare
1933 – 1940 Detectarea fraudelor şi a Verificare prin In creştere
erorilor; sondaj
1
R.G.Brown – “Changing audit objectives and techniques” studiu publicat in “The accounting review”,
citat de L.Dobroţeanu în “Audit – Concepte si Practici”, Ed. Economică, 2002.
6
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
7
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
2
Declaraţia (A Statement of Basic Auditing Concepts) este analizată de V.M. O'Reilly, M.B. Hirsch, P.L.
Defiliese, H.R. Jaenicke, în lucrarea Mongomery’s auditing, Editura John Wiley & Sons, New York, ed. a XI-
a,1990.
8
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
9
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
10
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
un studiu intelectual riguros care merită să fie numită „disciplină” în sensul curent al
acestui termen”5 Altfel spus, auditul are la bază o teorie.
În sens restrictiv, teoria auditului este o teorie normativă, deoarece furnizează un
ghid despre cum ar trebui să fie practica de audit. Cu alte cuvinte, „scopul teoriei auditului
este să furnizeze un cadru conceptual raţional şi coerent pentru determinarea procedurilor
de audit necesare pentru atingerea obiectivelor de audit definite şi pentru evaluarea
continuă a practicilor curente în scopul perfecţionării lor”.
O trecere în revistă a literaturii de specialitate evidenţiază numeroase postulate care
stau la baza teoriei auditului. „Aceste postulate nu au fost descoperite de unul sau mai
mulţi indivizi, într-un loc geografic oarecare şi într-un moment precis de timp. De
asemenea, ele nu pot fi rezultatul experienţelor ştiinţifice de laborator. Dimpotrivă, ele fac
obiectul schimbării, deoarece se bazează pe un mediu, pe o structură a utilizatorilor de
informaţii financiare şi pe necesităţile lor de informare, care evoluează în mod continu.”6
Postulatele cel mai frecvent invocate în lucrările de audit sunt:
1. Situaţiile financiare şi informaţiile financiare sunt verificabile. Dacă această
ipoteză fundamentală nu ar fi reală, auditul nu ar avea sens şi nu ar exista. Verficarea nu
implică probe de netăgăduit, dar sugerează conceptul de asigurare rezonabilă. Mautz şi
Sharaf subliniază că „doar pe baza acestui postulat, se identifică
teoria probei
procedeul de verificare
aplicarea probabilităţii teoriei de audit
stabilirea graniţelor responsabilităţii auditorului”.
2. Pe termen lung, nu există un conflict de interese între auditori şi conducerea
entităţii auditate.
Atât auditorii cât şi managerii ar trebui să fie interesaţi în prezentarea unei imagini
fidele a situaţiilor financiare, deoarece adoptarea unor decizii de investiţii bazate pe
informaţii pertinente este benefică întreprinderii pe termen lung. Trebuie însă precizat că,
pe termen scurt, pot exista conflicte în ceea ce priveşte:
dezacordul onest asupra aplicării unei politici contabile;
5
Mautz şi Sharaf citaţi de O'Reilly, M.B. Hirsch, P.L. Defiliese, H.R. Jaenicke, op. cit.
6
N. Feleagă, Îmblânzirea junglei contabilităţii, concept şi normalizare în contabilitate, Editura Economică,
1996.
11
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
12
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
13
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
AUDIT
14
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
15
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
AUDIT
Astăzi, chiar dacă Auditul Intern apare pornind de la Auditul Extern, cele două
activităţi sunt net diferenţiate, fiecare având obiective clar conturate. Astfel, se pot remarca
cel puţin opt diferenţe între Auditul Intern şi Auditul Extern:
1. Auditorul intern face parte din personalul organizaţiei, în timp ce auditorul
extern este un prestator de servicii, independent din punct de vedere juridic.
2. Auditul intern lucrează în folosul responsabililor organizaţiei, iar Auditul Extern
realizează certificarea situaţiilor financiare pentru o gamă largă de utilizatori:
investitori, manageri, salariaţi, clienţi, bănci, stat etc.
3. În timp ce obiectivul Auditului Intern este să aprecieze controlul asupra
activităţii întreprinderii şi să recomande acţiuni necesare ameliorării acestuia,
obiectivul Auditului Extern este să certifice imaginea fidelă a situaţiilor
financiare.
8
Donald Taylor, G. Glezen, op. cit.
16
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
17
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
18
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
19
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Continuitatea activităţii
În plus, trebuie precizat că angajaţii societăţii sunt implicaţi direct în desfăşurarea
procesului contabil, iar responsabilitatea finală pentru situaţiile financiare publicate revine
managerilor societăţii.
Auditul financiar apare la acea treaptă de dezvoltare a contabilităţii în care
informaţia contabilă a devenit atât de amplă şi complexă încât ideea de certitudine a
realităţii financiare nu a mai putut fi motivată cu tehnicile tradiţionale. Totodată, elaborarea
documentelor de sinteză a marcat evoluţia contabilităţii şi a prefigurat apariţia auditului
financiar. Auditul colectează şi evaluează informaţia furnizată de contabilitate, în vederea
exprimării unei opinii din partea auditorului cu privire la corectitudinea situaţiilor
financiare. În esenţă, existenţa auditului este legată de existenţa contabilităţii.
20
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
21
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
În mod concret, utilizarea tehnicilor de contabilitate creativă este unul din aspectele
urmărite de auditorul extern, datorită efectelor sale10:
9
K.Naser – „Creative financial accounting: its nature and use”, Prentice Hall, 1993 , citat de N.Feleaga,
L.Malciu în „Politici şi opţiuni contabile”, Ed. Economică, 2002.
10
O. Amat, J. Blake - „Contabilidad creativa”, citat de N.Feleaga, L.Malciu în „Politici şi opţiuni contabile”,
Ed. Economică, 2002.
22
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
23
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CAPITOLUL 2
TEORIE ŞI DIMENSIUNI PRACTICE ALE STRATEGIEI GENERALE
REFERITOARE LA O MISIUNE DE AUDIT
24
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Planificarea misiunii de audit – care are drept finalitate realizarea unui plan de audit
detaliat pe obiective, termene, responsabili şi realizarea unui program de audit ce include
bugetul financiar, fondul de timp necesar realizării misiunii, precum şi ansamblul
procedurilor, tehnicilor ce vor fi implementate pe parcursul acesteia.
Evaluarea sistemului de control intern şi contabilitate, etapă ce include şi o
evaluare a sistemului informatic, analizat ca instrument care conferă încredere
informaţiilor ce urmează a fi auditate.
Aplicarea testelor de detaliu asupra conturilor clientului– concretizată în ansamblul
tehnicilor şi procedeelor aplicate de auditor în vederea colectării probelor necesare
justificării opiniei formulate de acesta (teste de detaliu, proceduri analitice), redactarea
concluziilor iniţiale, în conformitate cu planul iniţial.
Formularea opiniei şi întocmirea raportului de audit – recunoscută ca etapa finală a
unei misiuni de audit, se rezumă la analiza concluziilor şi formularea opiniei auditorului.
Urmărirea implementării recomandărilor raportului de audit (follow-up) - o
activitate ulterioară misiunii, în care auditorul solicită şi evaluează concluziile anterioare
relevante şi recomandările pentru a stabili dacă acţiunile necesare au fost implemenate la
timp.
Etapele unei misiuni de audit sunt sintetizate în figura 2.1:
25
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Probe de audit
III. EVALUAREA
CONTROLULUI INTERN ŞI A
SISTEMULUI CONTABIL
Identificarea controalelor
Evaluarea preliminară a riscului de Raport interimar
control asupra
Selecţia eşantioanelor controlului
Realizarea testelor de control intern
Raport de audit
simplificat
V. ACTIVITATEA DE
URMĂRIRE A
RECOMANDĂRILOR
AUDITORULUI
(FOLLOW-UP)
26
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
27
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
şi discuţiile cu alţi auditori, jurişti, experţi tehnici care au oferit societăţii servicii reprezintă
doar câteva dintre tehnicile utilizate de auditor în atingerea obiectivelor precizate anterior.
3. Evaluarea integrităţii managamentului poate releva carenţe importante, fapt ce poate
induce o mare probabilitate ca erori semnificative şi alte iregularităţi să afecteze procesul
contabil care se reflectă în situaţiile financiare. Pentru un client nou, auditorii pot obţine
informaţii despre integritatea managementului prin comunicarea cu foştii auditori sau prin
efectuarea de investigaţii la terţi, cum ar fi banca unde clientul are deschise conturi sau linii
de finanţare. În cazul misiunilor succesive de audit, auditorul deţine deja un fond de
cunoştinţe despre clientul său, dar această etapă de evaluare preliminară nu poate fi
ignorată, deoarece este posibil să fi avut loc schimbări substanţiale în mediul de afaceri al
clientului, modificări care pot avea un impact decisiv asupra planificării misiunii şi a
situaţiilor financiare supuse auditării.
4. Aprecieri ce vizează asigurarea independenţei auditorului şi evaluarea competenţei
acestuia în îndeplinirea misiunii.
Independenţa este „cheia” necesară profesiei de audit, factorii care determină gradul
de independenţă fiind integritatea şi obiectivitatea auditorului. În acest sens, nu pot exercita
activităţi de audit cei care primesc o remuneraţie de la clientul respectiv pentru alte
activităţi decât cele prevăzute în contractul de audit şi cei care au legături de afaceri sau
anumite interese cu societatea în cauză (inclusiv membrii familiei).
Lipsa experienţei în anumite sectoare poate face dificilă misiunea în sine, fapt
pentru care evaluarea competenţei auditorului şi mai ales a angajaţilor sau colaboratorilor
folosiţi este necesară în asigurarea calităţii unei misiuni de audit.
5. Analiza cost – beneficiu.
6. Cerinţele clientului: constrângeri de timp, calificarea auditorilor, raportări suplimentare.
Colectarea şi analiza informaţiilor îi conferă auditorului suportul necesar pentru a
lua una dintre următoarele decizii:
acceptă angajamentul fără riscuri aparente;
acceptă angajamentul, dar sunt necesare măsuri de supraveghere
suplimentare;
refuză angajamentul.
28
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
2.3. Planificarea
Cunoaşterea activităţii
entităţii
Analiza fraudelor şi
Desfăşurarea preliminară erorilor
a procedeelor analitice
29
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
30
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Personalul afectat
Nume şi Prenume Funcţia Cod
Gheorghe Ion Şef Misiune M1
Radu Stefan Auditor A1
Iancu Alina Auditor junior AA1
Cod Ref. EA12
31
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
11
Prelucrare după sursa: Toma M., Chivulescu M – „Audit financiar şi certificare a conturilor anuale”
32
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
12
N.Feleagă, Îmblânzirea junglei contabilităţii, Editura Economică, Bucureşti 1996.
33
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
misiunii, să aprecieze dacă anomaliile, pe care le-a detectat, trebuie să fie corectate la
nivelul respectivului exerciţiu, astfel încât să poată emite o opinie fără rezervă.
În mod inevitabil, se conturează întrebarea: Cum se stabileşte mărimea acestui prag
de semnificaţie? Literatura de specialitate recunoaşte că determinarea pragului de
semnificaţie este subiectivă, iar auditorul trebuie să îşi folosească raţionamentul profesional
în aprecierea acestei mărimi deoarece, din punct de vedere practic, este impropriu a defini
pragul de semnificaţie printr-o formulă matematică atâta timp cât el vizează, în acelaşi
timp, aspecte cantitative şi aspecte calitative. Astfel, din punct de vedere calitativ, pragul de
semnificaţie trebuie luat în considerare atunci când, de exemplu, o prezentare incorectă sau
incompletă a politicilor contabile în notele explicative, ar putea genera interpretări greşite
ale acestor politici.
Normele Minimale de Audit propun alegerea unuia din referenţiale, ca o valoare
cuprinsă în intervalul:
1% - 2%* Active totale
0.5% - 1% * Cifra de afaceri
5% - 10% * Profit inainte de impozitare.
În practică, statistica arată că auditorii aleg ca element de referinţă mărimea
profitului, deoarece acesta pare să reflecte cel mai bine performanţele unei societăţi. Dacă,
de exemplu, nivelul pragului de semnificaţie este stabilit la 10% din mărimea profitului,
orice eroare care egalează sau depăşeşte acest prag, fie individual, fie cumulat este
considerată eroare semnificativă.
Pentru societăţile cu profituri care diferă semnificativ de la un an la altul, profitul
curent nu poate fi considerat ca bază în calculul pragului de semnificaţie. Atunci când
utilizatorii situaţiilor financiare sunt interesaţi de profitul întreprinderii, la calculul pragului
de semnificaţie poate fi considerată o medie a profiturilor pe ultimii 3 ani. La societăţile
care înregistreaza pierderi, pragul de semnificaţie poate fi calculat folosind media
profiturilor din anii precedenţi în condiţii normale sau folosind ca bază de calcul total
active sau cifra de afaceri.
Pragul de semnificaţie astfel determinat nu poate avea decât o semnificaţie
generală, el fiind definit ca un prag de semnificaţie global. El nu trebuie aplicat automat, ci
distribuit la nivelul conturilor şi tranzacţiilor individuale care stau la baza întocmirii
situaţiilor financiare. Nivelul pragului de semnificaţie stabilit pentru fiecare cont individual
34
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
sau fiecare tranzactie poartă numele de prag de semnificaţie individual sau eroare
tolerabilă corespunzătoare contului/tranzacţiei.
O metodă frecvent utilizată constă în divizarea valorii pragului global în funcţie de
ponderea soldului fiecărui cont în totalul conturilor analizate. Spre exemplu, considerând
valoarea de 100.000 u.m., considerată a fi pragul de semnificaţie global, cât este necesar să
se distribuie contului „ Clienţi”, în condiţiile în care acesta deţine o pondere de 20% din
totalul analizat ?:
100.000 u.m. * 20 % = 20.000 u.m
În cazul în care semnificaţia contului analizat este mai mare decât ponderea lui în
totalul conturilor, auditorul poate opta pentru o creştere a pragului de semnificaţie
individual. De asemenea, folosindu-şi experienţa şi raţionamentul profesional, auditorul
poate aprecia dacă anumite conturi sunt mai susceptibile de a prezenta erori, fapt ce-l va
determina la o corecţie similară.
Pragul de semnificaţie se analizează în două etape: în primul rând, la planificarea ariei
de cuprindere a testelor de audit şi, în al doilea rând, la exprimarea opiniei asupra
conturilor anuale.
În etapa de planificare, auditorul va stabili pragul de semnificaţie global, deoarece
această mărime are un impact invers proporţional asupra cantităţii muncii de audit ce
urmează a fi prestate, acţionând ca un ghid pentru extinderea testelor de audit. Evaluarea
pragului de semnificaţie, în raport cu soldurile specifice ale conturilor şi categoriilor de
tranzacţii, ajută auditorul să decidă :
cât de mult şi ce elemente (tranzacţii, înregistrări) să examineze
dacă să utilizeze tehnici de eşantionare
ce nivel de eroare este acceptabil pentru a-l conduce la formularea unei opinii.
La sfârşitul misiunii, valoarea pragului global îi va permite auditorului să aprecieze dacă
erorile constatate trebuie să fie corijate sau să facă obiectul unei menţiuni în raport.
Orice entitate este supusă riscurilor: riscuri legate de propria funcţionare a organizaţiei
şi riscuri specifice fiecărei activităţi. În scopul evitării riscurilor inacceptabile, organizaţia
îşi creează propriile măsuri de securitate şi control, tolerând riscurile acceptabile.
35
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Riscul de audit
13
Dominique Vincenti –„Dresser une cartographie des risques”, Revista de Audit 144, citata de Jacques
Renard în „Teoria şi practica auditului intern”.
36
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
RA = RI * RC * RND
în care:
RA - riscul de audit;
RI - riscul inerent;
RC - riscul de control;
RND -riscul de nedetectare.
Riscul inerent, reprezintă susceptibilitatea ca soldul unui cont sau al unei categorii
de tranzacţii să conţină erori semnificative, fie individual, fie cumulate cu erorile altor
solduri. Conform Standardelor internaţionale de audit, pentru evaluarea riscului inerent,
auditorul recurge la raţionamentul profesional având în vedere evoluţia clientului în ultimii
ani şi a sectorului în general. Acest risc inerent este analizat, mai întâi, ca un risc inerent
general, pe baza unui set de întrebări ce vizează 4 domenii: management, contabilitate,
afaceri şi audit. Astfel, riscul inerent general poate fi sporit sau diminuat de o serie de
factori, atât la nivelul situaţiilor financiare (reprezentaţi în figura 2.4) cât şi la nivelul
conturilor, al balanţei de verificare.
37
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Experienţa, competenţa
conducerii Risc Inerent Practicile contabile
Figura nr. 2.4 Factori de influenţă a riscului inerent, la nivelul situaţiilor financiare
După evaluarea riscului inerent general se va analiza riscul inerent specific ataşat unui
domeniu de audit (stocuri, creanţe, imobilizări corporale şi necorporale,...), ce evidenţiază
apariţia unor informaţii eronate semnificative. Aprecierea riscului inerent specific se va
realiza pe baza unui chestionar format din 6 întrebări, propus în Normele Minimale de
Audit, fiecare întrebare primind un răspuns pozitiv sau negativ:
1. Sistemele sunt predispuse la erori/sistem inadecvat/sistem manual necomputerizat?
2. Contabilii responsabili de acest domeniu sunt slab pregătiţi?
3. Tranzacţii complexe (natura tranzacţiei şi nu modul de înregistrare a acesteia)?
4. Suscpiciuni privind existenta fraudelor/pierderilor?
5. Pierderea foilor de calcul/schemelor de rationament ale clientului?
6. Tranzacţii neobişnuite (natura tranzacţiei sau natura prelucrării în afara sistemului)?
Riscul de control este riscul asociat carenţelor sistemului de control intern, care nu
va putea permite sesizarea erorilor posibile din situaţiile financiare (riscul ca sistemul
controlului intern să nu prevină sau să detecteze erori).
În general, după obţinerea înţelegerii sistemelor de contabilitate şi control intern, auditorul
va face o evaluare preliminară a riscului de control la nivelul aserţiunii, pentru fiecare sold
de cont sau categorie de tranzacţii. Apoi, după desfăşurarea testelor de control, se va
realiza o reevaluare a riscului de control pentru ca, în final, înainte de concluzionarea
auditului, pe baza procedurilor de fond şi a altor probe de audit, auditorul va aprecia dacă
evaluarea este confirmată.
38
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Riscul inerent şi riscul de control nu pot fi controlate de auditor, aceste riscuri există
independent de activitatea de audit, dar ele pot fi evaluate şi determină proiectarea
procedurilor de fond care vor menţine riscul de detecţie la un nivel acceptabil (figura 2.5).
Riscul inerent şi riscul de control sunt intercorelate iar o evaluarea separată a acestora
poate conduce la o apreciere necorespunzătoare a riscului de audit.
Documentarea si
investigarea
Riscului de Control
Analiza informatiilor
despre industrie,.. Evaluarea
Riscului de Control
Desfaşurarea Testelor
Evaluarea de Control
Riscului Inerent
Reevaluarea Riscului
de Control
Calcularea
Riscului de Nedetectare
Proiectarea
procedurilor de fond
39
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
2.3.3. Eşantionarea
40
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
extras eşantionul, în urma analizei şi evaluării acestuia. În audit, eşantionarea poate folosi
atât o abordare statistică, cât şi una non-statistică.
Eşantionarea statistică are în vedere, întotdeauna, întreaga populaţie şi este o bază
„ mai ştiinţifică” pentru exercitarea raţionamentului profesional al auditorului, obiectivul
metodei fiind determinarea mărimii eşantionului şi a criteriului de selectare.
Eşantionarea prin metode nestatistice implică o doză de subiectivism, bazându-se
pe o selecţie pe bază de hazard – auditorul folosindu-şi raţionamentul profesional atât în
determinarea mărimii eşantionului şi a criteriului de selecţie, cât şi în interpretarea
rezultatelor. Ambele metodele implică o serie de incertitudini concretizate într-un risc de
eşantionare. Întotdeauna, auditorul este supus riscului de a ajunge la concluzii diferite de
cele la care s-ar fi ajuns printr-un control exhaustiv. În esenţă, eşantionul, deşi corect
realizat, nu este reprezentativ pentru populaţia analizată; în acest sens, statistica oferă o
x x0
regulă de verificare a reprezentativităţii unui eşantion într-o populaţie *100 5% ,
x0
41
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
42
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
0 = (x i x0 ) 2
, unde x0 = x
i 1
i
i 1
N N
x i - elementele populaţiei
N – mărimea populaţiei
x 0 - media populaţiei
14
Lilea E., Goschin Z. – Statistica aplicată, Ed. Tribuna Economică, Bucureşti, 2002.
15
ACCA, Study text – Accounting and Audit Practice, nr 10, 2000
43
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
în care factorul de încredere este furnizat de tabelulul 2.2 şi depinde de cei doi parametri:
gradul de încredere şi numărul de erori estimate.
Numărul Gradul de încredere asociat eşantionării
70% 80% 90% 95% 99%
de erori
0 1.21 1.61 2.31 3.00 4.61
1 2.44 3.00 3.89 4.75 6.64
2 3.62 4.28 5.33 6.30 8.41
3 4.77 5.52 6.69 7.76 10.05
Tabelul 2.2 Valorile asociate factorului de încredere16
Precizia este, teoretic, eroarea tolerabilă, apreciată adeseori ca 75% sau 50% din pragul de
semnificaţie individual.
În acest context, un exemplu de determinare a mărimii unui eşantion, plecând de la
premisele cunoscute:
Eroarea tolerabila = 5%.
Ccoeficientul de încredere =95% Factor de încredere = 3
Nr. erori asteptate =0
conduc la următorul rezultat - Mărimea eşantionului = 3 / 5% = 60 elemente
O analiză a variaţiei acestor elemente, transpusă în tabelul 2.3 generează următoarele
concluzii:
Eroare Grad de Număr de erori Mărime
tolerabila încredere aşteptate eşantion
5% 95% 0 60
7% 95% 0 43
5% 90% 0 46
5% 95% 1 95
Tabelul nr. 2.3 Variaţia factorilor ce determină mărimea eşantionului
16
prelucrare după I.Gray, S.Manson – „The audit process: principles, practice and cases”, ed. 2000.
44
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
45
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
4. Selectarea eşantionului
Principiul care guvernează procesul de selectare a elementelor dintr-o populaţie, în
vederea formării unui eşantion, este acela că fiecare individ trebuie să aibă o şansă egală de
a fi ales. Literatura de specialitate (statistica) recunoaşte diferite metode de selecţie:
Selecţie aleatorie
Selecţie sistemică – ce urmăreşte tehnica: se stabileşte un punct de
pornire, de la care, aplicând un pas fix se alege fiecare element.
Selecţie în bloc – alegerea spre exemplu dintr-un total de 100 de
elemente pe cele corespunzătoare poziţiilor 55-70.
Selecţie pe bază de hazard „ aşa zisa alegere cu ochii închişi”.
Odată stabilit eşantionul, auditorul va proceda la testarea rezultatelor acestuia, în
conformitate cu obiective de audit stabilite.
5. Evaluarea rezultatelor
Erorile constatate asupra eşantionului se vor extrapola la populaţia din care a rezultat,
metoda de extrapolare fiind întotdeauna compatibilă cu metoda de prelevare a eşantionului.
a) Metoda valorică
46
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Valoarea populatie
Eroare în populaţie =Eroare găsită în eşantion *
Valoare esantion
Spre exemplu, să presupunem că auditorul a selectat un eşantion a cărui valoare este
apreciată la 400.000 u.m.(unităţi monetare), dintr-o populaţie de 5.000.000 u.m. În urma
aplicării procedurilor de fond, el va constata o eroare la nivelul eşantionului de 9.000 u.m.
Extrapolând această eroare, la întreaga populaţie, se va observa că aceasta este de:
5.000.000
9.000 u.m. * = 112.500 u.m.
400.000
Aşadar, valoare auditată a populaţiei = 5.000.000 u.m. – 112.500 u.m. = 4.887.500 u.m.
Asociat acestui caz, alte probleme ce pot apărea, sunt remarcate atunci când populaţia este
neomogenă, situaţie în care se impune stratificarea acesteia în vederea obţinerii unor
rezultate pertinente.
400
extrapolând-o la nivelul populaţiei va fi de: 9.000 u.m. * = 180.000 u.m.
20
Sistemul contabil al unei entităţi este format din ansamblul de metode şi documente
utilizate pentru a identifica, colecta, analiza, înregistra şi raporta tranzacţiile acesteia.
Auditorul trebuie să dispună de o înţelegere suficientă a acestuia pentru a putea identifica
categoriile de tranzacţii, înregistrările semnificative din contabilitate, documentele
justificative, fluxul contabil şi raportarea situaţiilor financiare – toate acestea având drept
scop minimizarea posibilităţilor de producere a erorilor, lipsurilor din gestiune şi a
fraudelor. De asemenea, el este interesat de referenţialul contabil aplicat în cadrul
societăţii, pentru a putea realiza o verificare a realităţii cu reglementările legale.
47
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
48
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
17
Audit financiar 2000 – Standarde de audit, Ed. Economică, 2000.
18
Graham W. Cosserat – „Modern Auditing”, Ed. John Wiley & Sons, New York, 2000.
19
citat de Jacques Renard – „Theorie et pratique de l'audit interne”, Ed. d 'Organisation, Paris, 2002.
49
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
50
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Mediul de
control
Separarea îndatoririlor
Structura organizatorică a
entităţii este cel mai adesea
rezultatul filozofiei manageriale
Funcţia de audit intern
şi ea reprezintă cadrul general
în care activităţile entităţii pot
fi planificate, executate,
controlate şi monitorizate.
51
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
20
Toma Marin, Marius Chivulescu – Audit financiar şi certificare a conturilor anuale
52
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
53
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
PROBE
DE AUDIT
Documentele contabile
şi primare ce stau la baza Reglementări
situaţiilor financiare contabile
(facturi, chitante,
contracte, procese
verbale, balanţa de
verificare, registrul jurnal)
54
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Figura nr.2.8 Relatia între riscul de audit, pragul de semnificaţie şi probele de audit21
Astfel, dacă menţinem, de exemplu, riscul de audit constant, dar reducem mărimea
pragului de semnificaţie se observă necesitatea creşterii probelor de audit. Similar, dacă
menţinem mărimea pragului de semnificaţie constantă şi reducem probele de audit,
impactul se răsfrânge asupra riscului de audit, prin creşterea acestuia.
21
Graham W. Cosserat – „Modern Auditing”, Ed. John Wiley & Sons, New York, 2000.
55
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Auditorul poate obţine probe de audit prin aplicarea uneia sau mai multor
proceduri : inspecţia, observaţia, investigarea şi confirmarea, calcule şi proceduri analitice.
Adesea, în cursul aceleiaşi misiuni, se pot utiliza două procedee pentru acelaşi obiectiv în
vederea validării, rezultatele uneia certificând rezultatele celeilalte proceduri.
În viziunea Standardului de audit 500 “Probe de audit”, inspecţia “constă în
examinarea documentelor, înregistrărilor sau imobilizărilor corporale. Inspecţia
înregistrărilor şi documentelor furnizează probe de audit cu grade de credibilitate variate,
depinzând de natura şi sursa lor, precum şi de funcţionarea efectivă a controalelor interne
în timpul procesării informaţiilor”.
Probele de audit cu caracter documentar care furnizează grade diferite de
credibilitate pentru auditor sunt cele:
elaborate şi păstrate de terţe părţi;
elaborate de terţi şi păstrate de entitate;
elaborate şi păstrate de entitate.
Inspecţia imobilizărilor corporale poate furniza probe de audit credibile în ceea ce priveşte
existenţa lor, însă nu în ceea ce priveşte proprietatea sau valoarea lor.
Observaţia este un instrument cu aplicare universală, deoarece totul este observabil.
Procedura constă în “urmărirea unui proces sau a unei proceduri efectuate de către alte
persoane, cum ar fi spre exemplu observarea de către auditor a inventarierii stocurilor, de
către personalul organizaţiei”22.
Investigarea şi confirmarea.
Investigarea constă în obţinerea de informaţii prin adresarea de întrebări, scrise sau
verbale, persoanelor din interiorul sau exteriorul entităţii. Răspunsurile la investigaţii pot
oferi auditorilor informaţii noi, informaţii care se coroborează cu alte probe de audit. O
misiune de audit care s-ar limita numai la interviuri ar putea fi considerată drept un sondaj
de opinie.
Confirmarea constă în răspunsul la o investigaţie pentru a corobora informaţiile
conţinute în documentele contabile justificative. Aceste confirmări sunt adresate, în
general, terţilor, un exemplu în acest sens, frecvent întâlnit în cadrul unei misiuni de audit,
22
Audit financiar 2000 – Standarde de audit, Ed. Economică, 2000.
56
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
57
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Testele de control
58
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
acestui control (permanenţa sa). Abaterile semnalate pot fi cauzate de factori, cum ar fi
schimbări ale personalului cheie, fluctuaţii sezoniere semnificative în volumul tranzacţiilor
şi erori umane, ceea ce implică din partea auditorului efectuarea unor cercetări detaliate
privind aceste aspecte, în special cercetări privind schimbările personalului din funcţiile
cheie ale controlului intern.
Într-un mediu informatizat, obiectivele testelor de control nu diferă de cele
corespunzătoare unui mediu manual ; cu toate acestea, unele proceduri se pot nuanţa
incluzând şi viziunea controlului "instrumentului informatic " : controlul general al
sistemului informaţional şi controlul aplicaţiilor informatice, cu testele de control specifice.
Tehnicile clasice de audit sunt reprezentate de : descrieri narative, chestionare
(chestionarul de control intern), diagramele de flux de date (flowchart) care pot fi utilizate
în mod singular sau în mod combinat. Astăzi, se constată un ritm accelerat de înlocuire a
acestora cu tehnicile moderne, asistate de calculator. Astfel, instrumente de interogare a
datelor pot fi adecvate atunci cînd sistemul de control intern şi de contabilitate nu
furnizează probe evidente care să documenteze performanţa controalelor interne.
59
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
23
Microsoft Encarta Online Encyclopedia 2001 http://encarta.msn.com
24
citat Munteanu, A. – Auditul sistemelor informaţionale contabile, Ed. Polirom, 2001.
60
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
societăţii auditate cu media pe ramura din care face parte aceasta. Aceste proceduri, în
conformitate cu Standardul de audit 520 constau în analiza tendinţelor şi indicatorilor
semnificativi, examinarea variaţiilor (fluctuaţiilor) ce pot scoate în evidenţă domeniile
semnificative de auditat.
În aplicarea procedurilor analitice, este necesar ca auditorul să ia în considerare
testarea controalelor, pentru că atunci când controalele sunt eficiente, acesta va avea o
încredere mai mare în credibilitatea informaţiilor şi, prin urmare, în rezultatele procedurilor
analitice.
Procedurile analitice sunt utilizate în diferite scopuri :
în etapa de planificare, sprijinind eforturile auditorului de înţelegere a mediului de
afaceri cât şi de identificare a domeniilor cu risc potenţial.
ca proceduri de fond, atunci când utilizarea lor poate fi mai eficientă decât a testelor
de detaliu, în vederea reducerii riscului de nedetectare.
în etapa de revizuire generală a auditului, atunci când auditorul poate formula o
concluzie generală privind conformitatea situaţiilor financiare.
Eficienţa şi eficacitatea procedurilor analitice depinde de disponibilitatea, relevanţa,
credibilitatea informaţiilor furnizate pentru aplicarea procedurilor analitice cât şi de
acurateţea cu care pot fi previzionate rezultatele.
Într-un cadru general, frauda poate fi definită ca un act de rea credinţă săvârşit de o
persoană, de obicei pentru a realiza un profit material de pe urma atingerii drepturilor
altuia, adică o acţiune comisă cu intenţia de a înşela. Normele internaţionale de audit
menţioneză că termenul de “fraudă se referă la o acţiune cu caracter intenţionat întreprinsă
de una sau mai multe persoane din rândul conducerii, salariaţilor sau terţilor, acţiune ce are
ca efect o interpretare eronată a situaţiilor financiare” şi ea poate apărea ca urmare a unor
evenimente de genul:
manipularea, falsificarea sau modificarea înregistrarilor contabile, a
documentelor;
eliminarea sau omiterea unor tranzacţii (tranzacţii neautorizate) în scopul
cosmetizării situaţiilor financiare;
deturnarea sau furtul unor active;
61
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
62
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
A evalua Controlul Intern înseamnă a lupta împotriva fraudei. Noel PONS25 enunţa
un principiu esenţial pe care auditorii, în speciali auditorii interni, nu trebuie să-l uite
“frauda creşte din lipsă de transparenţă” şi, tocmai de aceea, cea mai bună prevenire a
fraudei este controlul intern.
Responsabilitatea pentru prevenirea şi detectarea fraudelor aparţine conducerii,
auditorul extern putând juca un rol pozitiv în prevenirea acestora, dar nu el are
responsabilitatea de a detecta şi demonstra frauda.
Un interes aparte apare astăzi, când evoluţia tehnică a cunoscut o creştere fără
precedent, asupra fraudei cu ajutorul calculatorului – cunoscută în literatura de specialitate
şi sub denumirea de “criminalitate informatică”. Pe măsură ce progresele în domeniul
tehnologiei informaţiei se înregistrau într-un ritm alert, de o amploare deosebită s-au
remarcat şi metodele, mijloacele de săvârşire a infracţiunilor cu ajutorul calculatorului.
Aceste atacuri ilicite cât şi o proastă exploatare a sistemelor informatice pot produce
pagube financiare semnificative. Grave prejudicii pot rezulta şi din divulgarea unor
informaţii sensibile sau strategice privind politicile de dezvoltare a unor noi produse,
informaţii financiare sau de clientelă. Se impune astfel asigurarea securităţii sistemelor
informaţionale cât şi a datelor stocate pe acestea.
Nu puţine sunt exemplele de fraudă cu ajutorul calculatorului, iar statisticile arată
că pierderile rezultate din prelucrările informatice sunt, de regulă, mai mari decât în cazul
fraudelor tradiţionale. O tehnică mult mediatizată şi folosită o reprezintă aşa zisa "fraudă
salam", care constă în introducerea unor linii de cod în programul ce calculează şi bonifică
dobânzile bancare, pentru a "rotunji în jos" aceste sume ale clienţilor, iar cumularea
progresivă a lor este transferată în contul infractorului. Ea poate avea o aplicabilitate şi în
calculul drepturilor salariale ale angajaţilor unei companii. Tehnicile disponibile sunt foarte
diversificate: "calul troian informatic" este un cod de program neautorizat implantat într-un
program autorizat, care îndeplineşte activităţi necunoscute de utilizator. Când programul
este executat, instrucţiunile secrete distructive, foarte dificil de detectat "ies la iveala"
cauzând probleme mai mari sau mai mici. Nu putem trece cu vederea şi alte actiuni
precum:
utilizarea, accesarea sau distrugerea neautorizata a software-ului;
furtul sau distrugerea componentelor hardware;
25
Citat în Renaerd J. - Teoria si practica auditului intern, 2002, Ed. d 'Organisation, Paris, 2002.
63
intenţia de a obţine pe căi ilegale, cu ajutorul calculatorului, informaţii
tangibile.
În acest sens, controale de detectare a fraudei vizează: segregarea funcţiilor, rotaţia
funcţiilor, encriptarea datelor şi programelor, controlul datelor senzitive, audit-uri
frecvente.
Se mai pune întrebarea dacă este necesară această activitate de auditare a sistemelor
informatice de gestiune ? Răspunsul vine singur - DA - şi la această concluzie au ajuns şi
managerii organizaţiilor, recunoscând că "tot ce ţine de tehnologiile informaţionale
reprezintă resurse şi, prin urmare, trebuie controlate ca orice altă resursă din cadrul
organizaţiei" (Weber, 1988).
Printre aplicaţiile informatice dezvoltate în sensul detectării acţiunilor frauduloase
amintim: Auto-Audit, Fraud and Abuse Management System by IBM, ACL ce are
încorporate analize a legii lui Benford.
În loc de încheiere…
67
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
68
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
F. Exprimarea opiniei.
Practica recunoaşte două tipuri de opinii formulate de auditor: una statutară şi una non
statutară.
Etapa 11. Raportul de audit este rezultatul final al activităţii de audit, în care auditorul
îşi exprimă, în mod clar, opinia sa independentă asupra situaţiilor fianciare auditate.
Etapa 12. Practica recunoaşte o a doua formă de raport, modelul detaliat adresat în
general managementului şi Adunării generale a Acţionarilor. Acest raport descrie într-o
formă mai amplă elementele pozitive şi negative ale societăţii, aducând în plus sugestii şi
recomandări asupra îmbunătăţirii sistemului.
CAPITOLUL 3
69
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
70
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
71
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
72
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
fiind responsabil de reducerea lui la un nivel acceptabil. În acest sens, figura 3.1 pune în
corespondenţă diferite elemente ce necesită a fi luate în calcul pentru reducerea riscului.
Ameninţările Exploatează
Care protejează
Cresc
Vulnerabilităţile
Măsurile de
securitate Reduc Cresc
Expun
Care sunt Riscurile
limitate de IT
În general, riscurile asociate unui sistem informaţional, pe care orice auditor trebuie să
le analizeze şi evalueze (tehnica frecvent utilizată în acest caz este chestionarul), în vederea
aprecierii sistemului în sine, vizează:
Riscul securităţii fizice ce va fi evaluat în funcţie de informaţiile culese, cu
privire la: existenţa sistemelor de pază, detecţie şi alarmă a incendiilor, sistemelor de
protecţie împotriva căderilor de tensiune, protecţia echipamentelor împotriva furturilor,
protecţia împotriva catastrofelor naturale (inundaţii, cutremure..), protecţia fizică a
suporţilor de memorare
Riscul de comunicaţie poate lua valenţe diferite, în funcţie de disponibilitatea
sistemului la reţeaua publică, situaţie în care auditorul e necesar să analizeze măsurile de
securitate adoptate: existenţa unui firewall, modul de configurare a acestuia, analiza
modului de transmitere a datelor prin reţeaua publică (utilizarea tehnicilor de criptare,
26
Prelucrare după INTOSAI IT AUDIT COMMITTEE – IT Security , note de curs, www.intosai.com
73
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
existenţa unei reţele virtuale private - VPN). Acest risc se poate manifesta şi la nivelul unei
reţele locale, atunci când configurarea acesteia lasă de dorit şi prin “ascultarea” liniilor de
comunicaţie, traficul acesteia poate fi compromis. Confidenţialitatea informaţiilor nu
vizează doar memorarea acestora pe staţiile de lucru sau servere, ci şi liniile de
comunicaţie.
Riscul privind integritatea datelor şi tranzacţiilor vizează toate riscurile
asociate cu autorizarea, completitudinea şi acurateţea acestora.
Riscul de acces se referă la riscul asociat accesului inadecvat la sistem, date sau
informaţii. Implicaţiile acestui risc sunt majore, el vizând confidenţialitatea informaţiilor,
integritatea datelor sau bazelor de date şi disponibilitatea acestora. În acest sens, acţiunile
auditorului presupun o analiză a managementului parolelor la nivelul organizaţiei (altfel
spus atribuirea şi schimbarea parolelor de acces fac obiectul unei aprobări formale?), o
investigare a încercărilor de accesare neautorizată a sistemului (există o jurnalizare a
acestora ?), o analiză a protecţiei staţiilor de lucru (sunt acestea dotate cu soft care să
blocheze accesul la reţea, atunci când utilizatorul nu se află la staţia sa ?).
Riscul privind protecţia antivirus ce impune o analiză a existenţei programelor
antivirus în entitate, utilizarea lor la nivel de server şi staţii de lucru, upgrade-ul acestor
programe (manual sau automat). Lupta cu viruşii este esenţială, dar nu uşor de realizat. În
ciuda numărului mare de programe antivirus existente este necesară o analiză a
caracteristicilor programului privind: scanarea în timp real a sistemului sau monitorizarea
continuă a acestuia, scanarea mesajelor e-mail, scanarea manuală.
Riscul legat de documentaţia sistemului informatic. Documentaţia generală a
unui sistem informatic vizează pe de o parte documentaţia sistemului de operare sau reţelei
şi, pe de altă parte, documentaţia aplicaţiilor instalate. Această documentaţie poate fi
diferită pentru administratori, utilizatori şi operatori astfel încât să ajute la instalarea,
operarea, administrarea şi utilizarea produsului. Riscurile asociate documentaţiei se pot
referi la faptul că, aceasta nu reflectă realitatea în ceea ce priveşte sistemul, nu este
inteligibilă, este accesibilă persoanelor neautorizate, nu este actualizată.
Riscul de personal poate fi analizat prin prisma următoarelor criterii:
Structura organizaţională la nivelul departamentului IT ce va avea în
vedere modul în care sunt distribuite sarcinile şi responsabilităţile în cadrul acestuia.
Alocarea unui număr prea mare de responsabilităţi la nivelul unei singure persoane sau
unui grup de persoane este semnul unei organizări interne defectuoase.
74
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Modelele de risc, fie ele cantitative sau calitative, reprezintă instrumente deosebit
de utile auditorilor IT pentru identificarea diferitelor tipuri de risc, oferind în acelaşi timp
informaţii pentru a le determina şi controla.
Literatura de specialitate abordează două modele de analiză a valorii riscului:
modelul cantitativ şi modelul calitativ ; acestea pornesc de la premisa că orice organizaţie
se poate aştepta la apariţia unor pierderi cauzate de ineficienţa unui sistem informatic, iar
acest risc al pierderilor, rezultă din impactul pe care îl au ameninţările asupra resurselor
organizaţiei.
Modelul cantitativ se bazează pe următoarele elementele:
valoarea monetară credibilă a activelor;
“impactul” ca procent din valoarea activelor;
probabilitatea pierderilor anuale;
pierderea anuală aşteptată;
costul controlului şi măsurilor de precauţie
incertitudinea.
Impactul generat de o singură ameninţare sau pierderea potenţială asociată unei singure
apariţii se calculează astfel:
Impact=FV * VA sau PPA = FV * VA
75
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Pierderea anuală anticipată este influenţată de rata anuală a apariţiei riscului şi poate fi
determinată astfel:
PAA = PPA * RAA
unde: FV – factor de vulnerabilitate
VA – valoarea activului
PPA – pierderea potenţială asociată unei apariţii.
PAA – pierdearea anuală anticipată
RAA - rata anuala a apariţiei
O astfel de analiză include de asemenea o evaluare a raportului cost/beneficii ce va facilita
proiectarea ratei de recuperare a investiţiilor (ROI) pentru un anumit set de controale.
ROI=Benefiii nete/Cost
Aceste modele matematice furnizează un rezultat concret, dar care trebuie inclus în mediul
economic şi observat dacă el reprezintă realitatea.
27
Modelul prezentat este descris în articolul „Modeling information risk elements” („www.theiia.org/itaudit”)
76
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
În acest caz, valoarea riscului va fi exprimată prin valorile “Foarte Scăzut, Scăzut,
Mediu, Înalt, Foarte Înalt” şi nu în valori absolute ; formula de determinare a valorii
riscului este următoarea :
VR= VF * [( Cv*Wv )+( Cc*Wc )+( Ct*Wt )
unde:
VR - valoarea de risc
VF - impactul financiar asupra organizaţiei; acesta reprezintă un cost potenţial al
organizaţiei în eventualitatea apariţiei unei erori, căderi de sistem, fraude sau alte
evenimente negative. Valoarea materială va fi dată de valoarea financiară sau valoarea
activelor. Impactul asupra organizaţiei poate fi sporit prin intermediul unui multiplicator
non financiar:
[(Cv*Wv)+(Cc*Wc)+(Ci*Wi)
Acest model de calcul poate fi privit ca un punct culminant al analizei factorilor de risc:
vulnerabilitate, complexitate şi încredere.
Cv - vulnerabilitatea, se referă pe de o parte la modul în care utilizatorii autorizaţi au
acces în sistem şi pe de altă parte la accesibilitatea sistemului şi a activelor organizaţiei de
către utilizatori neautorizaţi. Accesibilitatea unui sistem informaţional se poate evalua în
funcţie de restricţiile fizice implementate în cadrul organizaţiei şi de modalităţile de acces
prin intermediul reţelei de comunicaţie.
Cc - complexitatea - are în vedere riscul asociat tehnologiei informaţionale în sine,
numărul utilizatorilor din cadrul compartimentelor sau în termeni mai generici
complexitatea organizaţională.
Ci - încrederea, reflectă comportamentul uman din organizaţie şi vizează două aspecte:
integritatea personalului şi gradul de implicare al managerilor.
Wv, Wc, Wi - reprezintă factori de greutate (importantă) care pot fi aplicaţi la discreţia
auditorului, în funcţie de condiţiile specifice. Iniţial, aceşti factori pot fi stabiliţi la o
valoare de 0.33 în vederea determinarii unui multiplicator mediu general al riscului ;
această valoare nu este fixă şi atunci când se consideră că unul dintre elemente are un
impact mai mare decât celelalte, se pot folosi valori diferite.
Valoarea de risc calculată va fi transpusă într-un „tabel de traducere”, indicându-se
nivelul de risc; în proiectarea acestui tabel, auditorii au în vedere următoarele reguli:
valoarea cea mai scăzută de risc = 0 şi valoarea cea mai ridicată se apreciază ca fiind
valoarea totală (financiară) a organizaţiei multiplicată cu 3.
77
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Soluţia prezentată anterior nu este general valabilă, auditorii putând să-şi folosească
experienţa profesională în funcţie de particularităţile situaţiei analizate. Tabelul 3.2 prezintă
informaţii relevante pentru analiza riscului, în cazul ales.
78
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
VR = VF * [(Cv*Wv)+(Cc*Wc)+(Ci*Wi)
Deci,
1. VR=250.000.000*[(3*0.33)+(3*0.33)+(3*0.33)=750.000.000 $
2. VR=400.000.000*[(2*0.33)+(1*0.33)+(3*0.33)=266.666.666 $
79
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Controlul Controlul
organizaţional continuităţii
activităţii
Controlul
General
Controlul Controlul
dezvoltării şi securităţii
întreţinerii sistemului
sistemului
Figura nr.3.2 Componentele controlului general
80
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
81
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
subiectul unei autorizări stricte, unor proceduri de testare şi control. În acest sens, pentru a
se asigura eficienţa şi eficacitatea activităţilor, auditorul va verifica dacă sunt îndeplinite un
minim de cerinţe:
există proceduri care asigură documentarea şi planificarea calendaristică a oricărei
modificări aduse sistemului iniţial sau unor componente ale acestuia;
modificările necesare sistemului sunt analizate astfel încât să se determine, pe cât
posibil, tendinţele viitoare;
există proceduri prin care se asigură execuţia numai a modificărilor autorizate;
aplicaţiile modificate sunt date în exploatare numai după ce acestea, în prealabil, au
fost testate şi documentate;
după implementarea noilor modificări, se asigură utilizatorilor o perfecţionare
adecvată;
există mecanisme de control care să prevină modificarea neautorizată a sistemului;
se asigură un control al accesului la documentaţia sistemului;
achiziţionarea unui nou sistem de la terţe părţi, are la bază un studiu de fezabilitate,
este acesta un proces controlat de autorităţile interne, noul sistem este compatibil cu
sistemul existent (altfel spus organizaţia dispune de resurse hardware şi software
compatibile noului sistem), satisface acesta cerinţele organizaţiei.
Oricât de bun ar fi un sistem, dacă întreţinerea şi dezvoltarea acestuia nu reprezintă un
proces continuu şi adecvat, uzura morală a acestuia, mai devreme sau mai târziu îşi va face
simţită prezenţa, iar toate eforturile depuse pentru achiziţionarea şi implementarea lui pot fi
deşarte.
La nivelul departamentului de audit intern, se impune realizarea unui control al modificării
programelor sursă, control ce poate fi implementat din partea auditorilor, cu ajutorul
tehnicilor:
- testul de numărare a biţilor realizează o comparaţie a lungimii copiei de
siguranţă şi a programului în lucru. Testul pare a fi destul de relevant pentru că
este dificil a schimba logica unui program fără a-i afecta lungimea sa.
- testul de program logic - presupune o comparare a codului sursă a aplicaţiei în
uz cu versiunea arhivată. Cele două versiuni sunt analizate linie cu linie, lucru
destul de obositor dacă avem în vedere dimensiunea aplicaţiilor.
- testul bazat pe folosirea unor date fictive (Integrated Test Facility: ITF)
este un test mai complex ce solicită timp din partea auditorului pentru a-şi
82
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
proiecta datele de intrare; ulterior datele sunt introduse prin programul în lucru
şi se verifică ieşirile.
83
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
84
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
implică o entitate. Într-o unitate sunt necesare politici speciale pentru utilizarea Internetului
şi a e-mail-ului, pentru accesarea de la distanţă a sistemului, pentru modurile de utilizare a
unui sistem informatic, pentru protecţia informaţiilor, politica managementului
parolelor,etc. Aşadar, se poate spune că, printr-o politică de securitate informaţională se
defineşte politica de ansamblu a organizaţiei în domeniul informaţional, precum şi
responsabilităţile din sistem.
28
prelucrare după http://www.boran.com/security
85
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
29
Oprea D. – Protecţia şi securitatea informaţiilor, Ed. Polirom, 2003.
86
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
87
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
88
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Posibile impacturi:
1. Dezvăluirea secretelor companiei, a datelor despre clienţi, dezvăluirea informaţiilor
contabile.
2. Modificarea datelor contabile, datelor despre partenerii organizaţiei (furnizori,
clienţi,..).
3. Atacuri din partea unor persoane care pretind că reprezintă compania.
89
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
5. Calculul riscului
Într-un capitol anterior, au fost prezentate mai multe metode cantitative sau calitative de
determinare a riscului recunoscute în practică, conform cărora relaţia de determinare a
riscului poate fi prezentată sintetic astfel:
Risc = Impact * Probabilitate
Care este probabilitatea apariţiei ameninţărilor ? Experţii tehnici pot evalua mai bine decât
cei financiari acest element ca un număr pe o scară de la 0 ... 5.
1 – ameninţarea este foarte improbabil să apară
2 – ameninţarea e posibil să apară mai puţin de o dată pe an
3 - ameninţarea e posibil să apară o dată pe an
4 - ameninţarea e posibil să apară o dată pe lună
5 - ameninţarea e posibil să apară o dată pe săptămână
6 - ameninţarea e posibil să apară o dată pe zi
Riscul poate avea o valoare minimă 0 şi una maximă 25. Auditorul în această etapă va seta
o valoare a riscului acceptabil.
90
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Ameninţarea
Minimizarea
probabilităţii de
Control Creează Control
apariţie
restrictiv corectiv
ATAC Exploatează
Descoperă
Control
detectiv Vulnerabilitatea
30
Prelucrare după sursa: www.security-risk-analysis.com – COBRA Risk Consult
91
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Riscul rezidual ia forma unai concluzii la care s-a ajuns în urma unui proces de
analiza a lui şi trebuie să conţină:
semnalarea punctelor slabe, nevralgice ale sistemului asociate cu
ameninţările corespunzătoare şi probabilitatea lor de a avea loc;
toate măsurile (recomandările) ce se impun a fi aplicate dacă riscul rezidual
nu se încadrează la un nivel acceptabil.
31
Prelucrare după sursa: www.security-risk-analysis.com – COBRA Risk Consult
92
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
securitatea fizică
evaluarea sistemului copiilor de siguranţă(back-up)
evaluarea sistemelor de protecţie antivirus
K K'
Figura nr.3.6 Tehnica de criptare a unui mesaj
un "mesaj clar" este supus unei transformări (criptare) prin intermediul unei chei (K)
rezultând un text cifrat numit criptogramă. Textul cifrat este transmis prin mediul de
comunicaţie către un destinatar, care cu ajutorul unei chei de descifrare (K') obţine
"mesajul clar".
Sistemele criptografice se pot clasifica în sisteme simetrice şi asimetrice.
Sistemele de criptare simetrice - folosesc o singură cheie atât pentru incriptare, cât
şi pentru decriptare solicitând o încredere reciprocă a părţilor implicate. Altfel spus,
expeditorul criptează textul clar cu ajutorul unei chei secrete, iar destinatarul va decripta
mesajul criptat folosind aceeaşi cheie, reuşita fiind asigurată de secretizarea cheii. Ideal ar
93
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
fi ca o astfel de cheie simetrică să fie utilizată o singură dată. Nu în ultimul rând succesul
sistemului se bazează pe dimensiunea cheii. Astfel, dacă ea are mai mult de 128 biţi, este o
cheie sigură, ceea ce înseamnă siguranţă în exploatare.
Cel mai cunoscut sistem bazat pe chei simetrice este Data Encryption Standard
(DES), conceput în 1972, ca o dezvoltare a algoritmului Lucifer al firmei IBM.
Sistemele de criptare asimetrică folosesc două chei: una publică şi una privată, ele
reprezentând o soluţie elegantă în ceea ce priveşte distribuirea cheii. Două sisteme de
criptare asimetrică, se fac astăzi recunoscute: RSA Data Security şi Pretty Good Privacy ,
ambele folosesc acelaşi algoritm: cheia publică este produsul a două numere prime, iar
cheia privată este unul dintre cele 2 numere prime. Un utilizator care cunoaşte cheia privată
poate verifica dacă pentru crearea cheii publice s-a folosit cheia privată.
Astăzi se acordă o atenţie deosebită dezvoltării de standarde şi reguli juridice pentru
rezolvarea principalei slăbiciuni a sistemelor de criptare cu cheie publică: alăturarea unei
chei publice a unui utilizator cu identitatea acelui utilizator. Cum poate şti cu siguranţă un
receptor dacă, cheia publică a destinatarului aparţine cu adevărat acelei persoane şi nu unui
impostor?
Soluţia o reprezintă asocierea unei semnături digitale la cheia publică. O semnătură
digitală32 este „un bloc de date (alcătuit din cifre binare) ce se ataşează unui mesaj sau
document pentru a întări încrederea unei alte persoane sau entităţi, legându-le de un anumit
emiţător”. În esenţă, semnătura digitală stabileşte autenticitatea sursei mesajului.
Dincolo de managementul cheilor de criptare, criptografia trebuie însoţită de un set
de reguli, politici sub care sistemele criptografice pot opera – aşa numita infrastructură -
Public Key Infractructure (PKI).
PKI este o combinaţie de produse hardware şi software, politici şi proceduri care
asigură securitatea de bază necesară astfel încât doi utilizatori, care nu se cunosc sau se află
în puncte diferite de pe glob, să poată comunica în siguranţă. La baza PKI se află
certificatele digitale, un fel de „paşapoarte electronice” ce mapează semnătura digitală a
utilizatorului la cheia publică a acestuia, la care se mai adaugă autorităţile de certificare,
autorităţile de înregistrare, politicile şi procedurile cu chei publice, revocarea certificatelor,
nerepudierea, aplicaţiile de securitate.
32
Oprea D. – Protecţia şi securitatea informaţiilor, pag.125, Ed. Polirom, 2003
94
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
3.4.3.5 Controlul accesului se referă la metodele prin care se controlează accesul unui
utilizator autorizat la fişiere, directoare, porturi şi chiar protocoale. În acest sens se poate
vorbi pe de o parte, de un control al accesului în sistem (control fizic), iar pe de altă parte
de un control al accesului la resursele acestuia (control logic).
Controlul accesului în sistem vizează o verificare a unui utilizator autentificat de sistem
prin prisma următoarelor caracteristici: timpul din zi, ziua din săptămână, data, locul unde
se află terminalul. (Permite sistemul accesul utilizatorului la acea oră din zi?, În acea zi din
săptămână?, De la acel terminal? )
Controlul accesului la resurse. Posibilitatea de a acorda sau interzice accesul unui utilizator
la o resursă dată - trebuie să fie parte integrantă a unui sistem de operare de reţea.
Majoritatea sistemelor de reţea prezintă o anumită formă de acces al controlului bazată pe
un sistem de privilegii sau permisiuni, cum ar fi: permisiunea de a citi, scrie, şterge sau
afişa date. Auditorul va verifica sistemul de restricţii impus de administratorul reţelei -
sistem ce trebuie să asigure un filtru adecvat al utilizatorilor în procesele de prelucrare a
datelor şi nu în ultimul rând, va analiza proiectarea reţelei cât şi instrumentele de securitate
folosite în cadrul ei.
O bună gestiune a accesului utilizatorilor presupune ca în fiecare moment să se
cunoască cine are acces în reţea, ce execută, de cât timp accesează resursele sistemului.
Accesul utilizatorilor la un sistem presupune identificarea, autentificarea şi autorizarea
acestuia în sistem.
O serie de vulnerabilităţi, precum gestionarea incorectă a drepturilor utilizatorilor
de către administratorul retelei, nedeconectarea utilizatorilor după un număr de logări
eşuate, gestionarea incorecta a parolelor, ineficienţa mecanismului de control al
utilizatorilor, lipsa unui jurnal care să memoreze ultima logare reuşită sau nereuşită, lipsa
unui sistem de control al accesului la fişiere în funcţie de nivelul de autorizare, conduc la
un acces neautorizat, impropriu la resusele reţelei.
Accesul neautorizat constă în accesul fără drept la un sistem sau la o reţea
informatică prin violarea regulilor de securitate.
95
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
96
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
este permisă trecerea numai a traficului autorizat prin politica locală de securitate;
sistemul însuşi este imun la încercările de penetrare a securităţii acestuia.
Deoarece un firewall este dispus la intersecţia dintre două reţele, acesta poate rezolva şi
alte probleme, decât acela de control al accesului, cum ar fi:
o bună monitorizare a traficului şi o uşoară detectare a încercărilor de penetrare în
reţea. În acest sens, un firewall poate jurnaliza serviciile folosite şi cantitatea de date
transferate prin conexiuni TCP/IP între propria organizaţie şi lumea exterioară;
poate permite sau interzice anumite servicii, blocarea accesului de sau pe anumite
staţii, accesul anumitor utilizatori;
poate bloca complet traficul într-un anumit sens;
poate fi folosit pentru interceptarea şi înregistrarea tuturor comunicaţiilor dintre
reţeaua internă şi exterior
poate izola complet reţeaua internă de cea publică.
Avantajele prezentate nu trebuie să ne conducă la idea că un firewall este o soluţie
pentru toate problemele de securitate, dar el reprezintã o "primã linie" de apărare împotriva
atacurilor externe. Acest mediu de securitate avansată, poate implementa măsuri de
securitate prea stricte generând o funcţionare necorespunzatoare a reţelei. În acest sens,
spre exemplu, nu este indicat un firewall în mediile care folosesc aplicaţii distribuite,
deoarece politica de securitate strict implementată, va conduce la o exploatare greoaie a
acestora.
Evaluarea unui firewall impune:
verificarea configurării corecte a acestuia;
verificarea regulilor de filtrare a informaţiilor;
verificarea canalelor de comunicaţie deschise;
verificarea aplicaţiilor de tip IRC (Internet Relay Chat) sau Instant Messaging,
pentru că acestea constituie căi prin intermediul cărora se lansează diferite atacuri.
Reţele private virtuale (VPN). Vulnerabilităţile reţelei Internet pot fi eliminate prin
utilizarea unui VPN, instrument ce asigură confidenţialitatea datelor prin criptarea şi
încapsularea datelor în timpul transmiterii. O reţea privată virtuală conectează
componentele şi resursele unei reţele private prin intermediul unei reţele publice. Altfel
spus, o reţea privată virtuală este o extensie a Intranetului unei firme peste o reţea publică,
cum este Internetul. VPN permite utilizatorilor să comunice prin aşa numitele “tuneluri”
care străbat Internetul, oferind participanţilor să se bucure de aceeaşi securitate ca a reţelei
97
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
private. „Tunelul” este invizibil utilizatorilor din afara reţelei şi în plus toate datele
transmise prin el sunt criptate. Fiecare utilizator al VPN-ului este verificat şi comparat cu o
bază de date existentă pentru a i se aplica nivelul de securitate specific. În esenţă, soluţia
trebuie să asigure securitatea şi integritatea datelor când traversează Internetul.
O reţea privată virtuală va oferi garanţia următoarelor funcţionalităţi:
autentificarea utilizatorului, accesul prin VPN fiind permis numai utilizatorilor
autorizaţi; mai mult „instrumentul” va permite monitorizarea şi jurnalizarea activităţilor,
pentru a arăta cine şi când a accesat o informaţie.
gestionarea adreselor: unui utilizator autorizat i se va asocia o adresă din reţeaua
privată, iar soluţia trebuie să garanteze confideţialitatea lor.
criptarea datelor: datele transferate prin reţeaua publică trebuie făcute invizibile
utilizatorilor neautorizaţi.
gestiunea cheilor de criptare; Soluţia trebuie să genereze şi să actualizeze cheile de
criptare pentru client şi pentru server.
recunoaşterea protocoalelor existente în reţeaua publică (cum ar fi Internet
Protocol, Internet Paccket Exchange.)
Implementarea unui VPN oferă unei organizaţii o serie de avantaje importante:
flexibilitate, uşurinţa administrării, ignorarea uzurii morale a tehnologiei, conectivitate
globală. În acest context, tehnologia VPN vine în întâmpinarea noilor cerinţe impuse de
operarea afacerilor de la distanţă, operaţii de parteneriat interdependente, în care
participanţii trebuie să se poată conecta la resursele centrale, să comunice unul cu altul.
Controlul securităţii fizice include măsuri ce vor face ca procesarea datelor să nu fie
afectată de dezastre naturale (foc, inundatii), accidente tehnice (căderi de tensiune), condiţii
de mediu (umiditate, lipsa ventilaţiei). Auditorul verifică măsura în care accesul fizic la
date şi resursele hardware sunt restricţionate corespunzător:
spaţii speciale pentru amenajarea calculatoarelor cu protecţie la incendii, inundaţii,
etc.
analiza mediilor de stocare a datelor. Existenta unor programe gen Easy Recovery
sau Lost & Found care permit recuperarea datelor şterse de pe mediile de stocare
pot genera prejudicii importante.
98
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
99
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Tot mai multe organizaţii realizează că informaţiile reprezintă unul din activele
critice ale unei companii şi că supravieţuirea companiei depinde de disponibilitatea
acestora, pentru că fără o refacere completă a datelor şi informaţiilor, sistemul hardware
este irelevant. Un plan de continuitate a afacerii (Business Continuity) şi recuperare în
urma dezastrelor (Disaster Recovery) este soluţia unei astfel de probleme. Orice astfel de
plan trebuie să răspundă la următoarele întrebări:
Ce reprezintă un dezastru în opinia conducerii organizaţiei?
Cine răspunde de punerea în practică a unui astfel de plan?
Ce acţiuni se întreprind?
Motivul principal pentru ca o entitate să se angajeze în planificarea continuităţii
activităţii şi a recuperării în caz de dezastre este asigurarea abilităţii organizaţiei de a
funcţiona eficient în cazul unei întreruperi severe a operaţiunilor normale. Întreruperile
severe pot apărea din diferite surse:
dezastre naturale (incendii, inundatii, cutremure etc.);
căderi de echipamente sau procese (discuri, programe, baze de date etc.);
greşeli de operare, sabotaj sau erori de apreciere;
acte de terorism sau criminalitate informatică premeditate (de exemplu, atacuri de
genul ''denial of service'', hacking, viruşi viermi şi cai troieni etc.)
Prevenirea unor astfel de evenimente nu este posibilă, astfel încât existenţa unui astfel
de plan permite reluarea operaţiilor esenţiale mult mai rapid. Important este să remarcăm
încă de la început diferenţele între planurile de prevenire a pierderilor şi planurile de
recuperare în caz de dezastre.
Planurile de prevenire a pierderilor se focalizează pe minimizarea expunerii
organizaţiei la elementele care pot ameninţa operaţiunile normale, ele în esenţă incluzând
activităţi planificate cu regularitate cum ar fi backup-urile de sistem, autentificarea şi
autorizarea în sistem, scanarea împotriva viruşilor şi monitorizarea utilizării sistemului.
Planurile de recuperare în caz de dezastru se focalizează pe un set de acţiuni care
trebuie realizate de o organizaţie pentru a restaura serviciile şi operaţiunile normale în
100
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
cazul apariţiei unei pierderi serioase. În general, un astfel de plan nu va descrie acţiunile
pentru fiecare tip de dezastru posibil ci mai curând caută elemente comune în fiecare
dezastru, cum ar fi spre exemplu pierderea informatiei, pierderea de personal, pierderea de
echipament, pierderea de acces la informaţii şi facilităţi. Planul va specifica setul de acţiuni
pentru implementarea fiecărei activităţi în eventualitatea apariţiei oricărui tip de dezastru
pentru reluarea activităţilor în cel mai scurt timp.
În elaborarea unui plan de recuperare în caz de dezastre se disting 3 faze importante, cu
acţiunile proprii, reprezentate în figura 3.7:
1.Culegerea informatiilor necesare pentru a
identifica sistemele critice, impacturile şi
riscurile potentiale, resursele şi procedurile
de recuperare;
organizarea proiectului
analiza impactului asupra activităţii
analiza riscurilor
dezvoltarea strategiei de recuperare
back-up şi a procedurilor de recuperare
selectarea facilităţilor alternative
Plan de
recuperare in caz
de dezastre
Figura nr. 3.7. Etapele de realizare ale unui plan de recuperare în caz de dezastre
101
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Controlul Controlul
autorizării acurateţei
Controlul
datelor de
intrare
Corectarea şi
Controlul sesizarea
completitudinii erorilor
102
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
103
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
restricţii asupra valorilor mai multor câmpuri ce provin din aceeaşi tabelă;
exemplu: cantitate * pret > 1000000
TIP_CONT =”ACTIV” SOLD_I_CREDITOR = 0
restricţii asupra valorilor mai multor câmpuri ce provin din tabele diferite;
exemplu: data_facturii>=data_contract
restricţii asupra unor valori obţinute pe baza operaţiilor de sintetizare;
exemplu: valplatita<=valfactura.
testul cifrei de control
104
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
2. Natura prelucrărilor
a. Actualizarea bazei de date
b. Sortarea
c. Consultarea
d. Calcule
e. Salvarea şi restaurarea bazei de date.
3. Nivelul descentralizat al prelucrărilor
4. Tipologia sistemelor informatice
Instrumentele auditorului în această etapă sunt:
Controlul totalurilor, test ce va verifica dacă toate datele din set sunt prelucrate.
Testul numară înregistrările înainte şi după prelucrare şi compară totalul
înregistrarilor intrate cu totalul celor prelucrate.
Testul de verificare secvenţială
Testul "Hash-Total" determină dacă identitatea datelor rămâne neschimbată în
timpul prelucrării. Acest test verifică dacă sumele se înscriu în conturile corecte. Se
compară totalul sumelor de înscris cu totalul determinat automat. O diferenţă arată
că o parte din sume nu s-au prelucrat sau contul a fost incorect.
Testul de identificare a etichetei fişierelor utilizate - se verifică dacă se lucrează cu
fişierul corect (versiunea corecta, autorizata).
105
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
106
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Eficienţa şi
eficacitatea
operaţională
Obiectivele
Controlului Conformitatea
Încrederea în Intern cu legile în
raportările
vigoare.
financiare
107
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
108
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Domenii
Procese
Activitati
109
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
110
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
În loc de încheiere…
111
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CAPITOLUL 4
TEHNICI DE AUDIT ASISTATE DE CALCULATOR
Mediul informatizat în care îşi desfăşoară astăzi activitatea orice entitate auditată
influenţează în mod continuu munca auditorilor, prin faptul că el creează noi oportunităţi şi
noi riscuri, reguli suplimentare în ceea ce priveşte securitatea, corectitudinea şi marjele de
eroare acceptabile. Creşterea complexităţii sistemelor, în special a sistemelor de
contabilitate informatizată, de tip ERP34 (Enterprise Resource Planning) cât şi volumul
mare al tranzacţiilor înregistrate în prezent au condus la înlocuirea cu o frecvenţă accelerată
a tehnicilor de audit clasic, „manuale”, cu tehnici moderne, asistate de calculator cunoscute
sub numele de CAAT (Computer Assisted Audit Techniques).
Tehnicile de audit asistate de calculator pot fi definite ca instrumente care au drept
bază calculatorul şi au drept scop îmbunătăţirea eficienţei şi eficacităţii procesului de audit;
o definiţie alternativă ar fi aceea de „tehnici folosite de auditorii care utilizează calculatorul
drept instrument pentru culegerea şi analiza datelor necesare auditului”.
Dezvoltarea tehnologiilor informaţionale şi specializarea continuă a auditorilor au
trasat două direcţii de utilizare a calculatoarelor:
ca instrument de lucru al auditorului, în cadrul misiunii sale permiţând o
creştere a eficienţei şi eficacităţii activităţii depuse.
ca obiectiv al unei misiuni de audit (obiect de control), pentru a analiza
acurateţea, integritatea şi completitudinea informaţiilor financiar contabile.
Folosirea iniţială a datelor prelucrate electronic, în cadrul marilor cabinete de audit, a
condus la realizarea unui „audit în jurul calculatorului”. Într-o primă etapă, reacţia
auditorului a fost de a ignora total calculatorul, tratându-l ca pe o „cutie neagră”, care
oferea un acces rapid la documente şi înregistrările contabile. Interesul major al acestuia
era concentrat pe datele şi informaţiile prelucrate de calculator şi în nici un caz pe structura
internă a aplicaţiilor informatice.
34
ERP-urile sunt recunoscute ca sisteme informatice financiar-contabile integrate, specifice organizaţiilor
mari şi foarte mari. În general, ele încearcă să integreze toate departamentele şi ariile funcţionale din cadrul
unei organizaţii într-un singur sistem informatic, care să răspundă necesităţilor tuturor, înlocuind multitudinea
sistemelor divergente, complexe, mai mult sau mai puţin compatibile.
112
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Tehnica propriu-zisă de auditare era caracterizată astfel: auditorii selectau anumite date
de intrare, calculau manual rezultatele şi le comparau ulterior cu datele de ieşire generate în
mod automat de calculator.
Abordarea calculatorului ca instrument al auditorului în îndeplinirea sarcinilor acestuia
este cunoscută în literatura de specialitate ca fiind auditarea "cu ajutorul"
calculatorului. În acest moment, se remarcă apariţia în cadrul marilor cabinete de audit a
software-ului de audit generalizat - instrument CAAT, ce permite compararea conţinutului
a două fişiere, examinarea conţinutului unui fişier, determinarea unor deprecieri, calcularea
mărimii eşantionului de testat, etc. Totuşi, trebuie remarcat că nici în această fază auditorul
nu era interesat de „instrumentul informatic” şi de modul în care se realizează procesarea
datelor.
Astăzi, dezvoltarea noilor tehnologii informaţionale şi utilizarea pe scară tot mai
largă a calculatoarelor i-a forţat pe auditori să trateze calculatorul ca pe ţinta auditării şi să
auditeze "prin" el şi implicit sistemul informatic. Ce înseamnă această nouă abordare?
Aceasta cere auditorului să introducă datele în calculator pentru procesare, apoi verifică
modul în care sunt procesate datele, structura fişierelor, a bazelor de date, a căilor de
comunicaţie, etc. Rezultatele sunt analizate pentru a se constata, dacă utilizatorii şi
conducerea organizaţiei se pot baza pe procesarea şi acurateţea programelor.
În aceste condiţii, se impune precizarea tehnicilor care au impus această abordare:
Introducerea datelor on-line, proces ce nu mai implică existenţa documentelor
sursă. Auditorul este obligat să "pătrundă" în sistem pentru a determina gradul de
siguranţă şi acurateţea procesării şi a controlului, deoarece nu mai poate parcurge
traseul „documente sursă - documente de ieşire”.
Reducerea sau chiar lipsa ieşirilor tipărite.
Actualizarea fişierelor în timp real, tehnică prin intermediul căreia tranzacţiile apar
imediat ce au loc. O ieşire tiparită, prezentând conţinutul unor astfel de fişiere şi
furnizată auditorului ar putea să nu fie corectă. În timpul listării conţinutului unui
fişier, datele acestuia ar putea fi schimbate - lucru ce-l determină pe auditor "să
acceseze" sistemul pentru a realiza auditarea.
113
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
114
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
115
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
116
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
117
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
35
David Coderre – Articolul „Analiza ratelor – O înţelegere a tehnicii de analiză a datelor”, www.theiia.org
118
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
O rată egală sau superioară cifrei 5 devine suspectă pentru auditori şi impune o analiză detaliată
a tranzacţiilor furnizorului SC A SRL; acest aspect capătă un plus de relevanţă dacă în urma
analizei se constată, spre exemplu, că din 100 de tranzacţii, 99 au valori cuprinse între 10.000
u.m. şi 20.000 u.m., iar cea mai mare este de 100.000 u.m.
Legea lui Benford. Tehnici mai avansate conduc analiza datelor către un nivel superior,
prin examinarea frecvenţei reale a cifrelor în structura datelor. Legea lui Benford, având la
origini teoria lui Frank Benford din anii 1920, prezice apariţia cifrelor în date. Astfel, legea
subliniază faptul că prima cifră într-o populaţie mare de tranzacţii (> 10000) va fi cel mai
des 1, mai puţin frecvent va apărea cifra 2 s.a.m.d. Benford a calculat probabilitatea de
apariţie a fiecărui număr pe post de primă cifră şi a decis că aceasta descreşte invers
proporţional cu valoarea sa. Astfel, într-o populaţie mai mare de 10000 de elemente,
probabilitatea de apariţie a cifrei 1 pe prima poziţie este la 30% din elemente, în timp ce 9
are o frecvenţă de 4.5% ca primă cifră.
Legea lui Benford calculează frecvenţele aşteptate pentru prima şi a doua cifră conform
tabelului 4.3:
119
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Analiza distribuţiei frecvenţelor primei sau celei de-a doua cifre determină combinaţiile de
date obscure şi identifică posibila fraudă. Un algoritm şi mai detaliat se poate folosi pentru
a observa frecvenţa de apariţie a primelor 2 cifre, pe baza formulei:
Frecvenţa de apariţie36 = log (1+1/N)
De exemplu, frecvenţa de apariţie a "combinaţiei" 13.. este log (1+1/13) = 0.032184
Mark Nigrinni, exemplifica în cadrul articolului citat Legea lui Benford în cadrul
unui departament de contracte. În urma analizei valorii contractelor încheiate, într-o
anumită perioadă, rezultatul a arătat că numerele 49 apăreau cu o frecvenţă mai mare decât
cea aşteptată. S-a descoperit că managerul companiei încheia contracte de 49.000$ –
49.999$ pentru a evita legea contractelor, în care se menţiona că, contractele cu valori mai
mari de 50.000$ erau supuse licitaţiei.
Aplicarea acestui raţionament nu este întotdeauna valid; astfel există şi situaţii în care nu
toate datele vor avea distribuţii ca în predicţiile Legii lui Benford.
Aceste instrumente şi tehnici moderne pot asista auditorul în orice etapă a misiunii sale,
fiind utilizate pentru:
verificarea corectitudinii prelucrărilor contabile;
testarea măsurilor de securitate dintr-un sistem;
36
Mark Nigrini – Articolul „Analiza digitala – Tehnologii de analiza a datelor asistate de calculator pentru
auditorii interni”, www.theiia.org/itaudit
120
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
37
prelucrare după sursa : Richard Baskervill – EDP Auditing, Georgia State University
121
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Mapare(Mapping)
CAAT
pentru analiza si
testarea sistemului
informatic
122
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
123
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
al instituţiei bancare, confirmând în acest fel că acestea din urmă au fost procesate corect.
Aplicaţia auditorului se va concentra doar pe calculul dobânzii (nu şi o actualizare a
conturilor clienţilor cu aceste valori), urmărindu-se o replicare doar a componentelor
principale ale aplicaţiei de bază.
124
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Printre avantajele metodei putem aminti că revederea codului sursă nu este necesară şi
totodată tehnica solicită cunoştinţe minime de informatică din partea auditorului, asigurând
o verificare a întregului sistem.
Exista şi limite în utilizarea testului de date:
în cazul aplicaţiilor complexe, testul de date poate să nu acopere toate
funcţionalităţile aplicaţiei astfel încât devine aproape imposibilă detectarea
fraudelor sau manipularea datelor;
adeseori, este greu de determinat dacă aplicaţia ce urmează a fi testată este chiar
versiunea de lucru sau există situaţii în care auditorul nu poate utiliza versiunea
curentă pentru realizarea testelor (cazul sistemelor on-line).
125
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
126
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
127
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
128
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
38
Pigford, D.V., Baur, Expert systems for Business.
129
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
130
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
1. ACL (Audit Command Language)39 este unanim acceptat ca fiind liderul între
pachetele software de audit, iar popularitatea sa este rezultatul flexibilităţii, simplei utilizări
şi încrederii pe care o oferă. Ea a fost dezvoltată de ACL Service şi permite auditorilor să-şi
conecteze propriul laptop la sistemul clientului şi apoi să-şi descarce datele acestuia pentru
o analiză viitoare. Aplicaţia furnizează jurnale detaliate ale auditului efectuat, care se
tipăresc, fiind folosite ulterior ca referinţă şi punct de plecare pentru documentele de audit
ce urmează a fi întocmite.
ACL permite asistenţa auditorului în orice fază a procesului de audit, tabelul4.4
ilustrând funcţiile ACL şi modul în care ele pot fi utilizate.
Etape Audit Functii ACL
I. Planificare „Statistics”- realizează a analiză statistică a
- evaluarea riscului datelor unui fişier
II. Evaluarea controlului intern
- teste de control Meniul „Sampling” cu comenzi specifice de
determinare a mărimii eşantionului şi a
- selectarea eşantioanelor criteriului de selecţie
Meniul „Analyze” include funcţii de
- evaluarea rezultatelor numărare, totalizare, statistice, duplicate,
verificări, căutari, expresii construite de
auditor pentru filtrarea datelor
III. Teste de audit detaliate „Statistics”
39
Analiza funcţionalităţilor aplicaţiei a fost posibilă prin consultarea sursei www.acl.com
131
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Se poate observa că aplicaţia oferă o gamă diversificată de teste ce fac obiectul unei
misiuni de audit precum: testarea datelor din punct de vedere al integrităţii, completitudinii,
unicităţii acestora. Înaintea unei astfel de analize, auditorul trebuie să se asigure că datele
sunt complete pentru că lipsa unor tranzacţii va genera o investigaţie invalidă. Opţiunea
Gaps din meniul Analyze permite testarea completitudinii datelor analizate care, în
esenţă, poate fi descrisă astfel: sistemul asociază fiecărei înregistrări dintr-un fişier un
număr secvenţial unic, iar rezultatul comenzii va fi o transpunere a tranzacţiilor lipsă (figura
nr. 4.6 ).
132
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
133
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
2. IDEA (Interactive Data Extraction & Analysis) este recunoscut tot ca un standard în
analiza datelor. Aplicaţia oferă auditorului o serie de funcţionalităţi ce vor permite:
realizarea obiectivelor de audit privind situaţiile financiare oferind instrumente de
verificare şi calcul pline de acurateţe, verificări încrucişate a datelor, opţiuni de
calcul a eşantioanelor şi selecţie a acestora;
investigarea fraudelor;
testarea normelor de securitate;
analize şi rapoarte manageriale: clasificarea datelor pe clienţi, produse, măsurarea
performanţelor.
134
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
40
sursa: www.pentana.com
135
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
5. ProAudit Advisor este o altă aplicaţie utilizabilă într-o misiune de audit care permite:
Crearea universului entităţii auditate;
Determinarea abordării unui audit;
Evaluarea riscului şi a controalelor
41
sursa: www.paisleyconsulting.com
136
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CAPITOLUL 5
42
sursa: www.methodware.com/products/proaudit
137
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
138
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
139
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
43
H.E.Eriksson, M.Penker, UML Toolkit, John Wiley & Sons, 2000 citat de D. Zaharie, I. Rosca –
Proiectarea obiectuală a sistemelor informatice, Dual Tech, 2002
140
setarea pragului de semnificaţie;
desfăşurarea procedurilor analitice preliminare;
evaluarea riscurilor;
elaborarea planului de lucru (programului de audit).
Evaluarea riscurilor este o activitate esenţială oricărei misiuni de audit, indiferent
de obiectivul său. Astfel, riscurile unei entităţi pot fi evaluate la nivel general, iar o analiză
detaliată a lor va presupune asocierea acestor riscuri domeniilor semnificative (vânzări,
cumpărări, personal, producţie, trezorerie, imobilizări). Această evaluare se va realiza pe
baza unor chestionare standardizate, preluate din Normele Minimale de Audit.
Finalitatea etapei o reprezintă elaborarea unui plan de lucru, în care vor fi cuprinse
lucrările ce se vor desfăşura, cu orele estimate, tarifele/lucrare şi asistenţii/ auditorii ce vor
fi angajaţi în execuţia lor. Responsabilitatea acestei etape de planificare revine în sarcina
şefului misiunii, dar ea poate fi analizată şi verificată de managerul sau partenerul
cabinetului. Lucrările asociate planului de audit, odată realizate vor fi înscrise în Dosarul
Permanent sau Dosarul Exerciţiului, dosare caracterizate prin secţiuni proprii pentru care se
vor întocmi foi de lucru, codificate într-o manieră corespunzătoare.
Testarea tranzacţiilor clientului constituie, de asemenea, o funcţionalitate distinctă a
sistemului ce se va concretiza în selectarea unor eşantioane pentru desfăşurarea testelor de
control şi /sau a procedurilor de fond.
Analiza situaţiilor financiare din punct de vedere al completitudinii şi acurateţii va
fi o altă caracteristică identificată pentru sistemul curent. Această analiză va sta la baza
calculului indicatorilor economico-financiari, pentru că interpretarea lor constituie
elemente ce justifică opinia finală formulată.
***
Inregistreaza
clientul
Verifica (Modifica)
planificarea si realizarea
Partenerul procesului de audit
Stabileste componenta
echipei de audit
Verifica scrisoare
de angajament
Verifica (Modifica)
programul de audit
Manager
(Director)
Verifica/Semneaza
Rapoartele finale
Seteaza pragul
de semnificatie
Elaboreaza «include»
Introduce
planul de audit lucrarile de audit
Auditor
senior
Verifica aprecierea
riscurilor:
RC, RI, RND, RA
Elaboreaza Raportele
finale
142
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Evalueaza riscul
«include» Evalueaza
informatic chestionare
«include»
Evalueaza controlul
intern in mediul
informatic «include»
Evalueaza riscul
de control
Calculeaza marimea
esantioanelor pentru
Selecteaza «include» testele de control
Asistent esantioanele
Control Intern pentru testele de control «extend»
Intocmeste foi
de lucru
Intocmeste raportul
de apreciere a controlului
intern
Selecteaza
«include» Calculeaza marimea
esantioanele clientului esantioanelor
«include»
Analiza esantionului Verifica acuratetea
Asistent ce matematica
executa proceduri «extend»
de fond
Introduce date
istorice
143
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
144
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
145
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
146
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
punct de start
Creeaza plan
audit
Identifica
scrisoare de
angajament
[Riscuri majore]
[Date modificate]
[Angajament nou]
Actualizare Creeaza
scrisoare scrisoare
Ataseaza
scrisoare la
plan
subactivitate
Indica
Lucrare
Ore_planificate,
Tarif_orar
[Auditor disponibil]
Indica
auditor
executant
[Confirmare Lucrare]
Ataseaza lucrare
la planul de audit
Inregistrare Anuleaza
plan de audit plan de audit
punct final
figura nr. 5.2 Diagrama de activităţi asociată cazului de utilizare “Elaborează planul de audit”
dacă scrisoarea există şi are o soluţie favorabilă (“accept”), auditorul va stabili
lucrările ce fac obiectul misiunii, asociindu-le un tarif/orar şi un număr de
ore_planificate. Totodată fiecărei lucrări i se asociază un auditor executant, în
condiţiile în care acesta este disponibil.
procesul apelează o buclă repetitivă – subactivitate – pentru că un plan de audit
conţine mai multe lucrări_misiune;
o dată procesul validat, planul este verificat şi salvat, generând realizarea unei
tranzacţii.
147
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Diagrama de secvente are rolul de a reflecta modul intern de realizare a unui caz de
utilizare, ilustrând interacţiunea dintre obiecte din punct de vedere temporal, acestea fiind
prezentate la un nivel general, sintetic, fără precizarea argumentelor şi a tipului de rezultat
returnat. O diagramă de secvenţe este formată dintr-un set de mesaje schimbate între
diverse obiecte, identificând astfel operaţiile ce trebuie să intre în comportamentul fiecăreia
dintre clasele de obiecte participante.
Cerere acceptata
Transmite Cod_lucrare
Verifica
Asociaza auditor Cauta auditor disponibilitate
148
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
149
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
149
5.1.2.3. Proiectarea
5.1.2.3.1 Diagrama de stări serveşte pentru a reprezenta suita de stări prin care poate trece
un element de modelare – fie acesta obiect sau interacţiune – în cursul existenţei sale, ca
reacţie la evenimentele survenite în exteriorul său. În acest sens, figura 5.5 prezintă toate
stările prin care poate trece o instanţă a clasei „Misiune” precum şi evenimentele ce
schimbă starea unui obiect .
/asistent intocmeste plan /auditor senior verifica plan Plan Misiune /semneaza plan
Plan Misiune
Modificat
Creat
Plan Misiune
Avizat
/executa plan
Plan Misiune
Realizat
printr-o reprezentare grafică. Figura 5.6 prezintă derularea operaţiilor necesare pentru
elaborarea unui nou plan de misiune, sub forma unei diagrame de colaborări.
Formular Principal
Auditor Asistent
8. Creeaza lucrari misiune
3. Creeaza misiune noua 9. Date lucrare
5. Date misiune 10. Salveaza lucrare misiune
6. Salveaza Misiune 12. Asociaza auditor
Figura nr. 5.6 Diagrama de colaborări asociată cazului de utilizare “Elaborează planul de
audit”
44
D. Zaharie, I. Rosca – Proiectarea obiectuală a sistemelor informatice, Dual Tech, 2002
151
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CLIENT
(client.cls)
Scrisoare Anagajament
(scris.cls)
Misiune
(misiune.cls)
Lucrari Misiune
(lucr_misiune.cls)
Lucrare
(lucrare.cls)
Foi Lucru
(foil.cls)
Auditor
(auditor.cls)
Dosar Audit
(dosar.cls)
Riscuri Generale
AUDIT (riscurig.cls)
(audit.dll)
Riscuri Specifice
(riscuri_sp.cls)
Domenii Semnificative
(domenii.cls)
Date Istorice
(date_ist.cls)
Situatii Financiare
(situatii.cls)
Balanta
(balanta.cls)
Bilant
(bilant.cls)
Cont
(cont.cls)
Continut Balanta
(cont_bal.cls)
152
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
153
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Clienti
Scrisoare Angajament
Misiune
Lucrari Misiune
Lucrare
Dosar Audit
IDODosar DenSectiune
Riscuri Generale
IDORisc DenRisc
Riscuri Specifice
Domenii Semnificative
IDODomeniu DenDomeniu
ISTORIC DATE
Rand SitFin
Bilant
Continut Balanta
154
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
1. Acceptarea Clientului este prima etapă a unei misiuni de audit, în care auditorul va
înregistra entitatea auditată şi apoi va documenta riscurile majore ale acesteia. Aplicaţia
debutează pentru această opţiune cu un formular “Actualizare Clienţi”, afişat în figura 5.9,
în care utilizatorul poate realiza fie crearea unui nou Client, modificarea datelor unui client
existent sau ştergerea acestuia. Atât operaţia de “Adauga”, cât şi cea de “Modifica”, vor fi
urmate de o “Salvare” a datelor noi introduse sau de o “Anulare” a acestora.
155
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
156
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
157
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Proceduri Analitice
158
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
159
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
160
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
161
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
162
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
După evaluarea riscului inerent general este important să se considere dacă există
vreun domeniu de audit care să aibă ataşat un risc specific. Riscul inerent specific
reprezintă posibilitatea apariţiei unei informaţii eronate semnificative într-un anumit
domeniu. Acest risc specific este evaluat pe baza a 6 întrebări 45 ce sunt concentrate către
justificarea “de ce sunt erori”, întrebări ce pot primi un răspuns pozitiv sau negativ
(DA/NU), răspunsul pozitiv indicând întotdeauna un risc. Riscul inerent specific va fi
apreciat în funcţie de calificativul riscului inerent general şi numărul de răspunsuri pozitive
pentru cele 6 întrebări; rezultatul va fi apreciat printr-un procent conform tabelului 5.1.
Număr de riscuri Nivel general de risc inerent
inerent specifice
identificate
Foarte Scazut Mediu Ridicat
scazut
0,1 sau 2 riscuri 23% 50% 70% 100%
3 sau 4 riscuri 50% 70% 100% 100%
5 sau 6 riscuri 70% 100% 100% 100%
Tabelul nr. 5.1 Factori de risc asociaţi riscului inerent specific
45
Se regăsesc specificate în capitolul al II-lea.
163
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Banda de risc
164
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Determinarea eşantioanelor
Comparativ cu soluţia propusă de Normele Minimale de Audit, prezentată anterior,
aplicaţia furnizează şi alte metode de determinare a eşantioanelor, folosite frecvent în
practica cabinetelor de audit, soluţii prezentate la un nivel teoretic şi exemplificate în
cadrul capitolului al II-lea. Formularul – prezentat în figura 5.19 - are la bază formulele de
calcul pentru determinarea eşantioanelor, atunci când se cunoaşte mărimea valorică a
întregii populaţii sau numărul de înregistrări existente în cadrul populaţiei, coeficientul de
încredere (complementul riscului de nedetectare legat de eşantionare), eroarea tolerabilă
(pragul de semnificaţie individual la nivelul aserţiunii verificate) şi numărul de erori
aşteptate.
165
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
166
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
167
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Rezultatul acestei operaţii este deschiderea unui formular Tabele, prezentat în figura 5.22,
ce va permite, în panoul din stânga afişarea conţinutului bazei de date alese în pasul
anterior, cât şi a înregistrărilor existente pentru una din tabelele selectate, într-un ListView
- panoul din dreapta. Opţiunile utilizatorului în cadrul acestui formular se pot rezuma
astfel:
Stergerea unei tabele selectate din cadrul bazei de date,
Selectarea unui eşantion de date, în mod aleator – în vederea realizării Testelor de
Control
Selectarea unui eşantion de date, printr-o metodă proporţională de selecţie – în
vederea realizării Testelor de Detaliu asupra soldului unui cont
168
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
169
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
For I = 1 To NrInregTotal
rs.MoveFirst
rs.Move Int(Rnd * NrInregTotal)
rsNou.AddNew
For Each fld In rs.Fields
campvalue = fld.Name
rsNou.Fields(campvalue).Value = rs.Fields(campvalue).Value
Next
rsNou.Update
rs.Delete
rs.MoveNext
Next
Exit Sub
err:
MsgBox err.Description, vbCritical, err.Number
End Sub
170
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
AfisareInregistrariTabel rs1
End If
rs1.Close
Set rs1 = Nothing
Exit Sub
errdesc:
MsgBox "Eroare: " & vbCrLf & err.Description, vbInformation
End Sub
End Sub
rs.MoveFirst
Do While Not rs.EOF
I=0
For Each Camp In rs.Fields
campvalue = Camp.Name
If I = 0 Then
Set Item = lstesant.ListItems.add(, , IIf(Len(rs.Fields(campvalue).Value) > 0,
rs.Fields(campvalue).Value, 0))
Else
Item.ListSubItems.add , , IIf(Len(rs.Fields(campvalue).Value) > 0, rs.Fields(campvalue).Value, 0)
End If
I=I+1
Next
rs.MoveNext
Loop
Set Item = Nothing
Set Camp = Nothing
End Sub
rs.Open "Select * from " & txtNumeTabel, cnn, adOpenStatic, adLockOptimistic, adCmdText
171
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
iFileNum1 = FreeFile
sFileName = App.Path & "\ESANTION1.txt"
Open sFileName For Output As #iFileNum1
sInputLine = "Selectie Esantion - Tabela " & txtNumeTabel
Print #iFileNum1, Space(70) & sInputLine
Print #iFileNum1, "________________________________________________________"
For Each Camp In rs.Fields
campvalue = campvalue & Camp.Name & Space(14)
Next
Print #iFileNum1, campvalue
Print #iFileNum1, "________________________________________________________"
rs.MoveFirst
Do While Not rs.EOF
I=0
For Each Camp In rs.Fields
campvalue = Camp.Name
If I = 0 Then
s = IIf(Len(rs.Fields(campvalue).Value) > 0, rs.Fields(campvalue).Value, 0)
Else
s = s & Space(7) & IIf(Len(rs.Fields(campvalue).Value) > 0, rs.Fields(campvalue).Value, 0)
End If
I=I+1
Next
Print #iFileNum1, s
rs.MoveNext
Loop
Print #iFileNum1, "________________________________________________________"
Print #iFileNum1, "TOTAL INREGISTRARI " & Space(7) & rs.RecordCount
Print #iFileNum1, "________________________________________________________"
rs.Close
Set Camp = Nothing
End Sub
172
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
173
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Figura nr.
174
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CAPITOLUL 6
TENDINŢE ÎN DEZVOLTAREA SOFTWARE-ULUI DE AUDIT
175
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
176
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
46
D. Zaharie – Sisteme informatice pentru asistarea deciziei, Ed. Dual Tech, 2001.
177
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Analiza excepţiilor. Detectarea fraudei, utilizarea unor modele neobişnuite sunt doar
câteva rezultate ale unei astfel de analize. O astfel de analiză nu se poate realiza în mod
singular, ci aplicarea ei trebuie să fie precedată de analiza cluster-elor. În viziunea unui
proces de audit, având drept sursă rezultatele exemplului anterior (obţinute prin analiza
cluster-elor) şi completând aceste informaţii cu datele neobişnuite identificate prin metode
de analiză a excepţiilor, auditorul poate selecta eşantioanele de analizat, eşantioane care
putem afirma vor reprezenta cel mai fidel realitatea.
Aceste operaţii descrise pot asigura o analiză complexă a tranzacţiilor clientului,
identificarea tranzacţiilor neobişnuite, sau chiar frauduloase, definirea unor trenduri,
previziuni, fapt pentru care, integrarea acestei tehnologii poate reprezenta un instrument
extrem de util îndeosebi auditorilor interni din cadrul oricărei organizaţii.
În literatura de specialitate se disting diferite modele care au fost propuse pentru a servi
drept ghid al procesului de exploatare a datelor. Între acestea, două modele se impun ca
standarde în domeniu: CRISP – DM şi SEMMA.
Abordarea propusă de SAS Institute este recunoscută sub apelativul SEMMA (Sample –
Explore – Modify – Model – Assess) şi ea se caracterizează prin următoarele etape:
Eşantionarea – Explorarea – Modificarea – Modelarea – Evaluarea. Particularitatea acestei
metode se concretizează în importanţa pe care o acordă activităţilor tehnice tipice asociate
unui proiect Data Mining.
CRISP (CRoss Industry Standard Process for Data Mining) a fost propus la mijlocul
anului 1990 de un consorţiu European de companii pentru a servi ca un standard asociat
procesului de Data Mining. Această abordare propune o derulare secvenţială a următoarelor
etape, reprezentate schematic în figura 6.1:
178
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
1. analiza problemei
2. identificarea datelor
3. pregătirea datelor
4. modelarea
5. evaluarea
6. integrarea noilor cunoştinţe
1. Analiza problemei.
În abordarea CRISP, această etapă identifică următoarele faze:
Determinarea obiectivelor. Declanşarea unui astfel de proces este
determinată de sesizarea unei oportunităţi sau necesităţi de afaceri, ceea ce impune
delimitarea exactă a ceea ce se urmăreşte de rezolvat prin data mining, care sunt obiectivele
urmărite şi rezultatele aşteptate. Problemele pot fi diverse: optimizarea răspunsului
clienţilor în cadrul unei campanii de marketing, prevenirea utilizării frauduloase a
cardurilor bancare, detectarea intrărilor ostile într-un sistem informaţional.
179
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Scopul general al
Scopul „data mining”
problemei de rezolvat
Determinarea caracteristicilor clienţilor în
Creşterea vânzărilor
funcţie de puterea acestora de cumpărare
Determinarea modelelor critice de
utilizare frauduloasă a cărţilor de credit
Prevenirea fraudării
sau
cărţilor de credit
Construirea unui algoritm precis pentru
detectarea automată a fraudelor
Tabelul 6.1 Exemple de transpunere a scopurilor generale ale unei probleme de rezolvat în
scop „data mining”
Scopul „data mining” este într-o relaţie directă cu principalele categorii de operaţii, ce
caracterizează acest proces: descrierea datelor, clasificarea, predicţia, analiza
dependenţelor, analiza cluster-elor, analiza excepţiilor.
180
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
adeseori că este vorba de date dispersate în diverse sisteme operaţionale, stocate în formate
diferite, administrate cu produse software diferite, uneori disponibile doar pe hârtie. Etapa
în sine implică realizarea următoarelor acţiuni: colectarea iniţială a datelor, descrierea
datelor şi verificarea calităţii acestora. Aceste acţiuni, în ansamblul lor, permit extragerea şi
plasarea tuturor datelor într-o bază comună ce urmează a fi folosită, verificarea conţinutului
fiecăreia dintre surse pentru o identificare a eventualelor incoerenţe sau probleme de
definire, “elemente” care ar putea compromite rezultatele analizelor viitoare.
3. Pregătirea datelor. Datele selectate în etapa anterioară trebuie supuse unui proces
preliminar de pregătire înainte de a fi realizată extracţia prin data mining. Acţiunile
importante ce caracterizează această etapă se pot rezuma la: selectarea datelor, „curăţirea
datelor”, obţinerea noilor date şi formatarea lor. „Curăţirea datelor” se distinge ca o fază
importantă a etapei, recunoscută ca mare consumatoare de timp datorită tehnicilor
diversificate ce pot fi implementate pentru asigurarea fiabilităţii datelor. Aceste tehnici
vizează:
normalizarea datelor
omogenizarea datelor
Adesea, însă, această soluţie nu asigură valoarea optimă fapt pentru care datele vor
fi afectate. Dacă valorile lipsă pot fi reduse la doar câteva caracteristici, atunci se poate
încerca o soluţionare prin ştergerea exemplelor continând valori lipsă, sau ştergerea
atributelor ce conţin majoritatea valorilor lipsă. O altă soluţie este de a se încerca predicţia
valorilor lipsă cu ajutorul unui instrument data mining. În acest caz previzionarea valorilor
lipsă reprezintă un caz special al problemei de predicţie data mining.
181
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
4. Modelarea este etapa de construire a unui model informatic care va efectua explorarea
propriu-zisă a datelor. Analizând noutatea şi abundenţa tehnicilor şi algoritmilor utilizaţi în
cadrul acestei etape, se poate considera că ea este cea mai interesantă parte a unui proces
Data Mining. Selectarea tehnicii de modelare este hotărâtoare pentru construcţia modelului
în sine, fapt pentru care în tabelul 6.2 sunt prezentate cele mai importante tehnici de
modelare asociate acţiunilor uzuale Data Mining.
182
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Tabelul 6.2. Tehnici Data Mining asociate celor mai importante operaţii Data Mining
Construirea modelului este însoţită de o fază de testare, care verifică calitatea şi
valabilitatea modelului. De exemplu, în acţiunile de clasificare a datelor este uzuală
folosirea valorilor eronate ca o măsură a calităţii modelelor de data mining. Astfel, datele
colectate în etapele anterioare vor fi divizate în seturi de „date de pregătire” şi seturi de
„date pentru testare”. Prima categorie de date va reprezenta baza construirii modelului, iar
estimarea calităţii sale va fi abordată prin prisma celei de-a doua categorii. Odată ales
instrumentul/tehnicile de modelare, acestea se vor utiliza pe setul de date de pregătire,
generând diferite tipuri de modele. În general, toate instrumentele de modelare au un număr
de parametri ce conduc procesul de generare al modelului, coeficienţi ce pot fi modificaţi
până la obţinerea rezultatelor scontate.
5. Evaluarea modelului. Această etapă validează modelul din punct de vedere al datelor
analizate. În fazele anterioare, cu precădere în faza de modelare, evaluarea
presupunea o analiză a fiabilităţii şi generalităţii modelelor generate, în timp ce
această etapă realizeză o evaluarea a modelelor prin prisma obiectivelor iniţiale ale
problemei. Această fază permite relevarea motivelor ce fac ineficientă construirea
modelelor, recomandându-se în acest sens testarea lor pe probleme reale. Se vor
analiza şi interpreta atât rezultatele direct legate de obiectivele de soluţionare a
problemei cât şi alte constatări efectuate, acest lucru putând oferi sugestii pentru
modelele viitoare şi alte informaţii suplimentare.
În general, aceste aplicaţii sunt dezvoltate în cadrul marilor cabinete de audit şi, aşa
cum menţionam în cadrul capitolului 4, pagragraful 4.3.2.1, prezintă, în esenţă, următoarele
caracteristici:
183
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
O serie de aplicaţii, precum DB2 Intelligent Miner for Data, DB Miner, Microsoft
Data Analyzer, SAS Enterprise Miner, SAS Analytic Intelligence, având încorporate tehnici
Data Mining şi fiind recunoscute ca instrumente pentru analiza datelor, prezintă o serie de
caracteristici cum ar fi:
Capabilităţi de automatizare. Obiectivul central al tehnologiilor Data Mining
se rezumă în descoperirea automată a unor informaţii ascunse, utile într-un set de date.
Astăzi, pachetele Data Mining nu sunt complet automatizate, prezentând doar caracteristici
de ghidare a utilizatorului în descoperirea de noi informaţii.
Complexitate înaltă. Tehnicile de analiză avansată ce includ algoritmi
statistici, inteligenţă artificială, reţele neuronale, logică fuzzy, algoritmi genetici sunt
extrem de complexe şi adesea, explicaţiile sărace legate de logica acestora conduc la un
grad redus de încredere în rezultatele lor.
184
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
185
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Conceptele dezvoltate anterior sunt comparate în mod sintetic, în cadrul tabelului 6.3 şi
constituie fundamentul pentru integrarea tehnicilor Data Mining în cadrul aplicaţiilor
asociate unei misiuni de audit.
Caracteristici GAS Data Mining
Orientare pe activitate de Da Nu
audit
Asistarea tuturor Da Nu
procedurilor de audit
Interfaţă prietenoasă cu Mai mult Mai puţin
utilizatorul
Aptitudini tehnice cerute Mai mult Mai puţin
Automatizare Nu Da
Capabil de învăţare Nu Da
Cost Mai scăzut Mai ridicat
Tabelul 6.3 Sinteza caracteristicilor GAS - pachete Data Mining
47
Elemente prelucrate după sursa: Sirikulvadhana S. - Data Mining As A Financial Auditing Tool
186
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
187
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
În urma analizei realizate se poate observa că fiecărei etape a unui proces de audit i se
pot asocia tehnici şi metode Data Mining. În realitate, cea mai periculoasă situaţie este dată
de absenţa datelor disponibile, mai ales în cazul primului an de audit. În construirea unui
model Data Mining este necesară utilizarea seturilor de date bazate pe informaţii istorice,
188
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
informaţii ce pot include atât datele anului anterior, cât şi date ale altor clienţi ce aparţin
aceleiaşi ramuri industriale. Singurele informaţii disponibile în mod cert, în cazul tuturor
angajamentelor de audit sunt tranzacţiile contabile ale perioadei curente şi situaţiile
financiare ale aceluiaşi an. În acest context, se subliniază ideea conform căreia anumite
etape, precum acceptarea clientului şi planificarea nu pot fi abordate întotdeauna prin
prisma tehnologiei Data Mining. În schimb, realizarea etapelor de evaluare a controlului
intern şi aplicarea testelor de detaliu, permit o analiză complexă a datelor ce conduce
adeseori la detectarea fraudelor, descoperirea informaţiilor ascunse în spatele datelor
clasice, oferind astfel noi oportunităţi auditorilor.
189
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
sezonier, ratei inflaţiei, ratei dobânzii şi indicelui industrial. Exemple de tipare interesante
sunt:
cifrele aşteptate în cazul existenţei unei tendinţe stabile
cifrele aşteptate în cazul unei tendinţe instabile
În cazul testelor de detaliu a tranzacţiilor:
cifrele vânzărilor din anumite luni ce sunt considerate excesiv de ridicate sau
scăzute în raport cu alte luni.
tranzacţii mici ce sunt executate în mod repetat într-o anumită perioadă a lunii
tranzacţii ce nu se încadrează în clustere (excepţiile)
grupul tranzacţiilor ce deţin un procentaj mare din populaţie
volum mare de tranzacţii ce se desfăşoară la aceeaşi dată
tranzacţii neobişnuite, de valori similare, ce au loc repetat. Spre exemplu,
vânzarea unor active fixe, de valori apropiate, la fiecare sfârşit de lună.
Şirul exemplelor poate continua, dar astfel de analize aduc, în mod cert, un plus de valoare
clientului auditat.
În concluzie, se poate aprecia că integrarea tehnologiilor Data Mining în cadrul
procesului de audit, merită cercetată şi în condiţiile în care rezultatele se dovedesc a fi
eficiente, atunci se poate vorbi de o dezvoltare a pachetelor Data Mining individualizate pentru
misiuni de audit. Aşa cum se observă şi în tabelul 6.4., selectarea eşantioanelor se detaşează ca
fiind funcţionalitatea esenţială care poate fi abordată prin prisma acestei tehnologii deoarece o
analiză clustering va permite auditorilor identificarea eşantioanelor din câteva grupuri
reprezentative clasificate într-un mod nesesizabil cu alte instrumente.
190
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CONCLUZII
Lucrarea de faţă a urmărit, pe parcursul celor şase capitole, să ofere o imagine clară
asupra unui proces de audit al informaţiei contabile într-un mediu informatizat şi, totodată,
să sublinieze necesitatea crescândă a utilizării tehnicilor moderne de audit (tehnici
informatizate), în vederea eficientizării acestui proces.
Etimologic, termenul “audit” îşi are originea în limba latină, însemnând “a asculta,
a audia”, dar practica anglo-saxonă l-a transformat, desemnând astăzi, într-un sens larg, o
activitate de verificare a unei informaţii, desfăşurată de experţi independenţi, în vederea
exprimării unei opinii asupra sincerităţii şi conformităţii acesteia cu criterii standard de
calitate.
Necesitatea realizării unui audit financiar, la nivelul unei organizaţii, este
accentuată de conflictul de interese, de asimetria informaţională creată între diverşi
utilizatori ai informaţiilor financiare şi, nu în ultimul rând, de caracterul din ce în ce mai
complex al contabilităţii.
Studiul cadrului teoretic şi conceptual al unei astfel de misiuni a constituit premisa
abordării acestei lucrări.
191
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
192
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
o distincţie între cele două tipuri de control pentru că, în realitate, ele se completează
reciproc, iar evaluarea acestui control va conferi auditorului financiar încrederea asupra
datelor ce urmeză a fi auditate.
Astăzi, într-o eră informatizată, în care complexitatea sistemelor de contabilitate
informatizată şi volumul tranzacţiilor au crescut semnificativ, este recunoscută necesitatea
unor tehnici de audit asistate de calculator care să permită o creştere a eficienţei misiunii de
audit.
Literatura de specialitate distinge două categorii de tehnici:
pentru analiza şi testarea sistemului informatic;
pentru analiza datelor de auditat.
Studiul şi analiza acestor tehnici şi instrumente, în special a celor utilizate în
practica cabinetelor internaţionale de audit – prezentate în cadrul capitolului 4, precum şi
întreaga cercetare desfăşurată până în acest punct au condus la formarea unei imagini a
viitorului sistem informatic, conceput şi realizat într-o viziune personală în cadrul
capitolului 5. Sistemul oferă o soluţie de rezolvare a unor probleme strict legate de auditul
financiar, privite prin prisma auditorului extern, dar este de la sine înţeles că o activitate
cum este auditul, unde raţionamentul şi experienţa profesională a celui care o practică au
un rol esenţial în aprecierea aspectelor economice, nu poate fi integral informatizată.
Determinarea pragului de semnificaţie, evaluarea riscului de audit, selecţia eşantioanelor,
analiza situaţiilor financiare sunt doar câteva din funcţionalităţile sistemului care vor
permite auditorului să-şi formeze, să-şi exprime şi să-şi susţină o opinie cu mai multă
acurateţe.
193
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
*
* *
194
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
clasice de audit, singure. Alianţa cu tehnicile de audit asistate de calculator este una
naturală şi benefică scopurilor auditului. Simbioza dintre audit şi tehnologia informaţională
era una previzibilă şi benefică.
Cercetarea de faţă urmăreşte cu satisfacţie acest proces şi îndrăzneşte mai mult decât un
pariu, o predicţie: orice auditor al viitorului care va dispreţui sau neglija tehnicile asistate
de calculator va rata scopul ultim al misiunii sale: o opinie cu adevărat calificată într-un
mediu cu dimensiuni informatice globale.
BIBLIOGRAFIE
195
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
196
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
F0
Dosar de audit financiar REF: 2.1
la: PRAGUL DE SEMNIFICATIE Data:
Intocmit de:
Exerciţiul: Verificat de:
Situaţii financiare Buget
exerciţiu curent Exerciţiu Exerciţii anterioare
curent 2002
Lei Lei Lei
Active totale (înainte de
scăderea datoriilor) 226.348.371.000 216.804.082.000
197
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
1 1% 2.263.483.710 2.168.040.820
2 2% 4.526.967.420 4.336.081.640
Profit înainte de
impozitare 745.512.000 -21.485.104.000
5 5% 37.275.600 -1.074.255.200
6 10% 74.551.200 -2.148.510.400
Etapa de planificare
Note:
1. Pragurile de semnificaţie ar trebui, în mod normal, să se situeze în intervalul indicat de factorii 1
până la 6. Nu se vor lua în considerare factorii 5 şi 6 dacă există pierderi sau dacă profitul nu este
corect prezentat, oricare ar fi motivul pentru distorsionarea sa. Se pot utiliza şi alţi factori, dacă se
vor considera că sunt mai adecvaţi.
4. Dacă nu există estimări sau un buget pentru exerciţiul în curs, pragul de semnificaţie din etapa de
planificare se va baza pe sumele aferente exerciţiului anterior. Acest prag trebuie revizuit după ce
vor putea fi consultate sumele aferente exerciţiului în curs.
Secţiunea
F1
Da Nu
198
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
1. Managementul
(a) Le lipsesc managerilor cunoştinţele şi experienţa necesare pentru a X
conduce societatea?
(b) Au managerii tendinţa de a angaja societatea în asocieri cu grad de X
risc ridicat?
(c) Au avut loc schimbări ale managerilor cu funcţii-cheie în cursul X
exerciţiului financiar?
(d) Există anumite cerinţe privind menţinerea unui nivel al rentabilităţii X
sau îndeplinirea unor obiective? (de ex. Pentru îndeplinirea unor
cerinţe din partea creditorilor)
(e) Are rezultatul raportat o semnificaţie personală pentru manageri? X
(de ex. prime legate de profit)
(f) Controlul administrativ şi cel exercitat de manageri sunt slabe? X
FOARTE SCĂZUT/SCĂZUT/MEDIU/RIDICAT
Explicaţii
Da Nu
CONTINUARE
2. Contabilitate
(a) Este funcţia contabilităţii descentralizată? X
199
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
FOARTE SCĂZUT/SCĂZUT/MEDIU/RIDICAT
Explicaţii
FOARTE SCĂZUT/SCĂZUT/MEDIU/RIDICAT
Explicaţii
Da Nu
CONTINUARE
4. Auditul societăţii
(a) Este prima dată când firma va audita acest client? X
200
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
FOARTE SCĂZUT/SCĂZUT/MEDIU/RIDICAT
Explicaţii
FOARTE SCĂZUT/SCĂZUT/MEDIU/RIDICAT
201
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Iniţiale Data
Client: Întocmit de
Perioada: Revizuit de:
RDNE Riscul de
Risc inerent Calculul benzii Dimensiunea
(RI): sursa control eşantionului
de
F2 (RC) ri
sc
RI x RDNE x
RC
Imobilizările corporale şi necorporale 70% 56% 100% 39.2% 38
202
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
203