Documente Academic
Documente Profesional
Documente Cultură
activitate deosebit de importantă datorită rezultatelor procesului de auditare care stau la baza
fundamentării deciziilor pe termen lung privind politicile companiei
auditul sistemelor informatice- activitate de colectare şi evaluare a unor probe pentru a
determina dacă sistemul informatic:
este securizat,
menţine integritatea datelor prelucrate şi stocate,
permite atingerea obiectivelor strategice ale organizaţiei,
utilizează eficient resursele informaţionale.
anterior realizării auditului: teste pentru a se asigura că există un control adecvat asupra
sistemului informatic (reducerea riscul erorilor de analiză/control a produsului informatic)
se defineşte planul de audit general (sarcini, proceduri analitice pe module, standarde, sub
formă de listă de activităţi care trebuie executate)
se defineşte programul de audit (etape, teste)
raportul de audit (listă de calificative)
Procesul de auditare
Auditul informatic
Obiectul auditului: analiza elementelor sistemului informatic şi concordanţa cu cerinţele
formulate în contractul în baza căruia s-a efectuat investiţia.
Condiţii pentru un audit de calitate:
- echipa de auditare trebuie să primească toate informaţiile considerate intrări ale procesului
de auditare;
- tehnicile şi metodele de auditare trebuie să fie utilizate corect;
- delimitarea clară a ceea ce trebuie să realizeze sistemul informatic şi ceea ce realizează
efectiv;
Auditarea sistemelor informatice de management
Sistemele informatice pentru management sunt construcţii deosebit de complexe care au
ca obiectiv ridicarea la cote maxime a procesului de informatizare la nivelul organizaţiilor
Tehnicile şi metodele de analiză şi proiectare au la bază o cunoaştere în detaliu a stadiului
actual atins de procesul de informatizare la nivelul organizaţiei.
Standarde
Information Systems Audit and Control Association (ISACA)
Standarde care definesc cerinţele obligatorii pentru realizarea unei misiuni de audit şi
asigurare IT.
Ghiduri oferă informaţii suplimentare pentru implementarea şi respectarea
standardelor
Proceduri care oferă diverse metode prin care auditorul unui sistem informaţional le
poate utiliza în activitatea de audit
Standardele ISACA (Information Systems Audit and Control Association) pot fi folosite ca
referențiale pentru activități precum.
ASI
Audit financiar
Audit intern
Audit securitate
Alte servicii
Standardele de audit (IFAC, 2009) consideră controalele de aplicaţii ca fiind forme ale
controalelor detective şi preventive şi vizează integritatea înregistrărilor contabile.
Din această perspectivă acestea sunt considerate proceduri utilizate pentru a iniţia, înregistra,
procesa şi raporta tranzacţiile sau alte date financiare. IIA GTAG 8 (2007) consideră controalele de
aplicaţii ca fiind acele controale care se referă la obiectivele proceselor şi aplicaţiilor individuale,
inclusiv editarea datelor, separarea sarcinilor, înregistrarea tranzacţiilor efectuate şi raportarea
erorilor.
Controalele de aplicaţii asigură faptul că:
datele introduse sunt exacte, complete, autorizate şi corecte;
datele sunt procesate conform cerinţelor într-o perioadă de timp rezonabilă;
informaţiile obţinute şi păstrate sunt exacte şi complete;
se poate urmări şi reconstitui traseul urmat de date din momentul intrării, prelucrării şi
obţinerii informaţiilor din sistem.
Principalele categorii ale controalelor de aplicaţii sunt:
controlul intrărilor – acele controale sunt utilizate în special pentru a verifica integritatea
datelor introduse în aplicaţii;
controlul prelucrărilor – acestea oferă mijloace automate pentru a oferi o asigurare asupra
faptului că prelucrările sunt complete, exacte şi autorizate;
controlul ieşirilor – acestea vizează rezultatul procesărilor şi presupune verificarea
concordanţei cu datele de intrare;
Controlul intrărilor este componenta cea mai importantă din cadrul controalelor de aplicaţii
deoarece acestea trebuie să asigure faptul că sunt introduse în sistem doar date care reflectă
operaţiuni reale, evaluate în mod corect, de către personal autorizat.
Pentru un auditor aceste controale sunt importante deoarece:
în majoritatea sistemelor controalele de aplicaţii sunt cele mai frecvente;
activităţile realizate de personal/utilizatori sunt caracterizate de repetitivitate şi chiar
monotonie ceea ce poate fi o premisă a prelucrării eronate a datelor;
majoritatea tentativelor de fraudare a sistemelor informaţionale au loc în această fază
deoarece nu necesită cunoştinţe specializate în informatică
Controalele vizând datele de intrare pot fi atât manuale şi automate.
Controalele manuale pot fi sub forma:
autorizării operaţiunilor,
întocmirii şi sistematizării documentelor justificative, angajarea de personal competent,
recalcularea manuală a totalurilor pe categorii de operaţiuni,
urmărirea traseului unei operaţiuni în documentele de sinteză (Jurnalul de cumpărări sau de
vânzări, Registrul de casă, Jurnalul de bancă).
Controalele automate sunt fie :
specifice mediului în care operează aplicaţiile informatice: domenii de utilizatori sau
conturi de utilizatori şi parole pentru sistemele de operare, programe antivirus şi firewall),
controale implementate în cadrul aplicaţiilor care prelucrează date provenind din
activităţile şi procesele entităţii (atât cele financiare cât şi cele nefinanciare)
O categorie importantă de controale de aplicaţii automate vizează asigurarea acurateței, a
completitudinii şi integrităţii datelor.
Printre acestea se numără:
ferestre de lucru cu câmpuri predefinite (de exemplu lista furnizorilor) care pot fi
modificate doar de către personalul cu atribuţii în acest sens;
corelarea câmpurilor de preluare (asocierea dintre codul unui terţ şi contul analitic);
limitarea tipului de date introduse prin definirea unor câmpuri care permit doar
introducerea de date numerice sau caractere sau alfanumerice;
validarea calculelor şi a operaţiunilor (pornind de la parametri predefiniţi, cotele de TVA
sau cursurile valutare);
Fixarea unor limite minime sau maxime privind valorile unor câmpuri (de exemplu
plafonul plăţii în numerar către o persoana juridică);
mesajele de confirmare a preluării şi validării datelor introduse (în condiţiile în care
câmpurile esenţiale identificării şi urmăririi datelor au fost introduse);mesaje de eroare sau
de atenţionare privind lipsa sau caracterul incomplet al datelor prin care se reflectă o
operaţiune.
Controalele prelucrărilor sunt de regulă automate şi au menirea de a asigura faptul că datele
procesate sunt complete, exacte şi au fost autorizate facilitând în acelaşi timp preîntâmpinarea şi
detectarea erorilor produse în timpul prelucrării acestora.
Prin natura lor, aceste controale contribuie la asigurarea integrităţii datelor care reflectă
operaţiunile entităţii. Din perspectivă informatică, operaţiunea se identifică cu noţiunea de
tranzacţie şi are patru proprietăţi:
consistenţă: tranzacţia trebuie să-şi păstreze toate proprietăţile invariabile;
atomicitate: o tranzacţie trebuie acceptată la procesare sau respinsă în totalitate şi fără
ambiguitate. În eventualitatea eşecului oricărei operaţii, datele trebuie aduse la starea lor
iniţială;
izolare: fiecare tranzacţie trebuie să se execute independent de alte tranzacţii ce se pot
executa în mod concurent, în acelaşi mediu;
durabilitatea: efectele rezultate în urma execuţiei unei tranzacţii trebuie să fie persistente.
Controalele asupra ieşirilor din sistem (controlul informaţiilor obţinute) trebuie să ofere siguranţa
că datele oferite sunt corecte, şi distribuite numai persoanelor autorizate, în condiţii de siguranţă.
Printre modalităţile de asigurare a corectitudinii şi acurateței informaţiilor obţinute este
compararea acestora cu datele de intrare.
Alt aspect vizat de controalele asupra ieşirilor, distribuirea informaţiilor doar către persoanele
autorizate. Din această perspectivă se are în vedere clasificarea informaţiilor în funcţie de:
importanţa acestora privind securitatea informaţiei
natura utilizatorilor vizaţi.
Astfel informaţiile pot fi secrete/confidenţiale, disponibile, sau publice. Măsurile de control se vor
concentra în special pentru limitarea divulgării informaţiilor confidenţiale şi a celor disponibile.
În cadrul standardelor internaţionale de audit emise de IFAC se fac referiri la situaţiile în care
auditorul financiar apelează la cunoştinţele şi abilităţile unor experţi pentru atingerea obiectivelor
misiunii de audit:
"Auditorul poate răspunde riscurilor identificate de denaturări semnificative datorate fraudei, spre
exemplu, prin desemnarea unor persoane suplimentare cu aptitudini şi cunoştinţe de specialitate,
cum ar fi experţi specializaţi în domeniul IT, sau prin desemnarea unor persoane cu mai multă
experienţă care să participe la misiune."
Un alt organism profesional care a emis standarde de audit care tratează impactul tehnologiei
sistemelor informaţionale asupra situaţiilor financiare este American Institute of Certified Public
Accountants [AICPA] prin documentul de lucru AU Section 319 (2006) "Considerarea controlului
intern într-un audit al situaţiilor financiare":
"Auditorul trebuie să determine dacă sunt necesare cunoştinţe specializate în determinarea
riscurilor IT asupra auditului, să înţeleagă controalele IT sau să stabilească şi să aplice teste ale
controalelor IT sau teste substantive/de detaliu. Un expert care să aibă abilităţi în domeniul IT
poate să fie un membru al echipei sau un profesionist extern.
Pentru a stabili dacă e nevoie de un asemenea profesionist în echipa de audit, auditorul (financiar )
ia în considerare următorii factori:
complexitatea sistemelor utilizate de entitate şi a controalelor IT precum şi maniera în care
acestea sunt utilizate în activitatea entităţii;
schimbările semnificative aduse sistemelor existente sau implementarea noilor sisteme;
măsura în care datele sunt utilizate în comun de mai multe sisteme;
măsura în care entitatea este implicată în comerţul electronic;
utilizarea tehnologiilor emergente;
importanţa probelor de audit care sunt disponibile numai în format electronic.
Procedurile pe care auditorul (financiar) le realizează sau le pune în sarcina profesionistului care
deţine cunoştinţe IT includ:
interogarea personalului IT asupra modului în care tranzacţiile sunt iniţiate, înregistrate,
procesate şi raportate;
analiza controalelor IT descrise de entitate;
inspectarea documentaţiei de sistem;
observarea controalelor IT;
planificarea şi realizarea testelor de control IT.
Dacă se ia în calcul apelarea la un profesionist auditorul trebuie să aibă suficiente cunoştinţe în
domeniul IT:
pentru a comunica profesionistului obiectivele auditului;
pentru a putea stabili dacă procedurile specificate vor duce la atingerea obiectivelor;
pentru a evalua rezultatul procedurilor IT în corelaţie cu natura şi durata altor proceduri
planificate.
În procesul de identificare şi de evaluare a riscurilor un loc important îl ocupă sistemul
informaţional ca și componentă a controlului intern.
“Auditorul va obţine o înţelegere a sistemului informaţional, inclusiv a proceselor aferente ale
întreprinderii, relevante pentru raportarea financiară, inclusiv următoarele domenii:
clasele de tranzacţii din operaţiunile entităţii care sunt semnificative pentru situaţiile
financiare;
procedurile, atât cele din domeniul tehnologiei informaţionale (IT), cât şi sistemele
manuale prin care sunt iniţiat, înregistrate, procesate, corectate, dacă este necesar,
transferate în registrul general şi raportate în situaţiile financiare.
înregistrările contabile aferente, informaţiile de susţinere şi conturile specifice din situaţiile
financiare care sunt folosite pentru a iniţia, înregistra, procesa şi raporta tranzacţiile;
aceasta include corectarea informaţiilor incorecte şi modul în care sunt transferate
informaţiile în rapoarte. Înregistrările se pot face fie manual, fie în formă electronică;
modul în care sistemul captează evenimentele şi condiţiile, altele decât tranzacţiile, care
sunt semnificative pentru situaţiile financiare;
procesul de raportare financiară folosit pentru întocmirea situaţiilor financiare ale entităţii,
inclusiv estimările şi evidenţierile contabile semnificative;
controalele care sunt în jurul înregistrărilor în jurnale, inclusiv înregistrările din jurnale care
nu sunt standard şi care sunt folosite pentru a înregistra tranzacţiile care nu apar în mod
frecvent, cele neobişnuite sau ajustările.”(ISA 315, 2007:par.18)