Sunteți pe pagina 1din 210

ACADEMIA DE STUDII ECONOMICE

Facultatea de Contabilitate şi Informatică de Gestiune

TEZĂ DE DOCTORAT

AUDITUL INFORMAŢIEI CONTABILE ÎN CONDIŢIILE


UTILIZĂRII SISTEMELOR INFORMATICE

CONDUCĂTOR ŞTIINŢIFIC,
PROF. UNIV. DR. ROŞCA I. IOAN

DOCTORAND,
GHEORGHE MIRELA

- BUCUREŞTI –
2004
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

CUPRINS

Introducere 5

CAPITOLUL 1 Auditul calităţii informaţiei contabile: obiective, realizări şi limite


1.1. Repere istorice privind conceptul de audit………………………………………….. 7
1.2. Arhitectura conceptului de audit…………………………………………………… 8
1.3. Cadrul conceptual al auditului……………………………………………………… 11
1.4. Dimensiunile auditului………………………………………………………………. 14
1.5. Obiectivele auditului financiar-contabil şi responsabilităţile auditorului…………… 17
1.6. Convergenţe şi divergenţe între activităţile de contabilitate şi de audit…………….. 19
1.7. Necesitatea realizării activităţii de audit financiar-contabil…………………………. 20

CAPITOLUL 2 Teorie şi dimensiuni practice ale strategiei generale referitoare la o


misiune de audit
2.1 Cadrul general al unei misiuni de audit………………………………………………… 25
2.2. Acceptarea misiunii…………………………………………………………………… 27
2.3. Planificarea…………………………………………………………………………….. 29
2.3.1. Pragul de semnificaţie………………………………………………………….. 33
2.3.2. Analiza riscului ………………………………………………………………… 36
2.3.3. Eşantionarea…………………………………………………………………….. 40
2.4. Evaluarea controlului intern şi a sistemului contabil 48
2.4.1. Analiza structurii şi funcţionalităţii sistemului contabil 49
2.4.2.Analiza structurii şi funcţionalităţii controlului intern: evaluarea performanţelor
controlului intern……………………………………………………………………………. 50
2.5 Probe şi teste de audit…………………………………………………………………… 54
2.5.1. Probe de audit…………………………………………………………………… 54
2.5.2. Proceduri specifice pentru obţinerea probelor de audit…………………………. 56
2.5.3. Teste de audit…………………………………………………………………… 58
2.6. Analiza fraudei şi erorii în audit………………………………………………………... 61
2.7. Particularităţi ale întocmirii, prezentării şi publicării raportului de audit……………… 64

CAPITOLUL 3 Particularităţi ale controlului intern într-un mediu informatizat


3.1 Analiza mediului de control într-un sistem informatizat……………………………... 70
3.2 Analiza riscului într-un mediu informatizat………………………………………….. 72
3.3. Metode cantitative şi calitative de evaluare a riscurilor IT …………………………. 75
3.4. Controlul general ……………………………………………………………………. 80
3.4.1. Controlul organizaţional……………………………………………………... 80
3.4.2. Controlul dezvoltării şi întreţinerii sistemului……………………………….. 81
3.4.3. Controlul securităţii sistemului………………………………………………. 83
3.4.3.1 Politica de securitate informaţională…………………………………… 84
3.4.3.2 Clasificarea informaţiilor………………………………………………. 85
3.4.3.3 Strategia de control a securităţii sistemului…………………………….. 87
3.4.3.4 Securitatea comunicaţiilor……………………………………………… 93
3.4.3.5 Controlul accesului……………………………………………………... 95

2
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

3.4.3.6 Securitatea fizica………………………………………………………. 98


3.4.3.7 Evaluarea sistemului de back-up……………………………………….. 99
3.4.3.8 Evaluarea sistemelor de protecţie antivirus…………………………….. 99
3.4.4. Controlul continuităţii activităţii…………………………………………….. 10
0
3.5 Controlul aplicaţiilor ………………………………………………………………… 10
1
3.5.1. Controlul datelor de intrare…………………………………………………. 10
2
3.5.2 Controlul prelucrării datelor…………………………………………………. 10
4
3.5.3 Controlul datelor de ieşire…………………………………………………… 10
6
3.6 Sistemul de control intern într-un mediu informatizat, în accepţiunea COBIT……… 10
7

CAPITOLUL 4. Tehnici de audit asistate de calculator


4.1 Consideraţii generale privind tehnicile de audit asistate de calculator……………….. 112
4.2. Repere privind obiectivele utilizării tehnicilor de audit asistate de calculator ……… 11
4
4.2.1 Importanţa utilizării CAAT………………………………………………….. 11
5
4.2.2 Rolul CAAT-urilor în detectarea fraudei…………………………………….. 11
8
4.3. Descrierea tehnicilor şi instrumentelor de audit asistate de calculator ……………… 12
1
4.3.1. CAAT pentru analiza şi testarea sistemului informatic……………………… 12
2
4.3.1.1. Tehnici de examinare a fluxurilor de date…………………………….. 12
3
4.3.1.2. Tehnici de verificare a integrităţii datelor şi fişierelor………………… 12
3
4.3.1.3 Module de audit încorporat ………......................................................... 12
7
4.3.1.4 Alte instrumente pentru examinarea fluxurilor de date………………… 12
7
4.3.2. CAAT pentru analiza datelor………………………………………………… 12
7
4.3.2.1 Software generalizat de audit (GAS)…………………………………… 12
8

3
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

4.3.2.2 Programe dezvoltate la cerere………………………………………….. 12


9
4.3.2.3 Inteligenţa artificială şi sistemele expert………………………………. 12
9
4.4. Analiza unor CAAT-uri utilizate în cabinetele internaţionale de audit……………… 13
1

CAPITOLUL 5. Proiectarea şi realizarea unui sistem informatic privind întocmirii,


prezentării şi publicării situaţiilor financiare
5.1 Proiectarea obiectuală a sistemului…………………………………………………... 13
8
5.1.1 Procesul de dezvoltare a unui sistem informatic folosind UML ..................... 13
9
5.1.2.1. Definirea cerinţelor sistemului - Diagrama cazurilor de utilizare……. 14
0
5.1.2.2. Analiza sistemului……………………………………………………... 14
5
5.1.2.2.1. Diagrama de activităţi………………………………………….. 14
6
5.1.2.2.2. Diagrama de secvenţe…………………………………………… 14
7
5.1.2.2.3. Diagrama claselor de obiecte…………………………………… 14
9
5.1.2.3. Proiectarea sistemului………………………………………………… 15
0
5.1.2.3.1 Diagrama de stări............................................................................ 15
0
5.1.2.3.2 Diagrama de colaborare………………………………………….. 15
0
5.1.2.3.3.Diagrama de componente……………………………………….. 15
1
5.1.2.3.4.Modelul de persistenţă…………………………………………… 15
3
5.1.2.4. Implementarea sistemului…………………………………………….. 15
4

CAPITOLUL 6. Tendinţe în dezvoltarea software-ului de audit


6.1. Data Mining……………………………………………………………………………. 17
4

4
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

6.2. Analiza caracteristicilor software-ului de audit generalizabil şi a pachetelor Data


Mining……………………………………………………………………………………… 18
2
6.3. Integrarea tehnicilor şi metodelor Data Mining în cadrul procesului de audit……….... 18
5
Concluzii……………………………………………………………………………………. 19
0
Bibliografie…………………………………………………………………………………. 19
5
Anexe……………………………………………………………………………………….. 19
8

INTRODUCERE

Informaţiile furnizate de întreprinderi stau la baza a numeroase decizii economice şi


politice de importanţă considerabilă. Din acest motiv, situaţiile financiare întocmite şi
publicate de organizaţii interesează o gamă largă de utilizatori: investitori, manageri,
salariaţi, clienţi, creditori bancari, stat. Practica a demonstrat, în mod explicit, că există un
conflict de interese între cei care culeg, prelucrează şi sintetizeză informaţiile contabile şi
utilizatorii acestor informaţii. Adesea, utilizatorii manifestă o lipsă de încredere în
informaţiile furnizate de contabilitate, deoarece producătorii de informaţii contabile nu
sunt, de regulă, independenţi în raport cu operaţiunile efectuate şi situaţiile prezentate.
Consecinţele economice majore care pot rezulta, au făcut necesară interpunerea activităţii
auditorilor financiari, aceştia având menirea de a mări credibilitatea situaţiilor financiare
publicate de către întreprinderi.
„Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice” este
o lucrare, structurată în şase capitole, prin intermediul căreia se urmăreşte accentuarea
necesităţii informatizării unei misiuni de audit a informaţiei contabile şi evidenţierea
particularităţilor unui astfel de proces într-un mediu informatizat.

5
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

În cadrul primului capitol, intitulat „Auditul calităţii informaţiei contabile:


obiective, realizări şi limite ” este analizat cadrul teoretic şi conceptual al auditului,
considerat a fi o referinţă raţională şi logică pentru determinarea procedurilor de audit ce
vor fi necesare atingerii obiectivului de audit definit. În acest context, se impune
necesitatea prezentării acestor elemente pentru că auditul, indiferent de forma pe care o
îmbracă: audit financiar, auditul mediului, auditul sistemelor informaţionale, auditul
calităţii, auditul capitalului intelectual - se bazează pe o teorie şi, ca orice teorie, ea se
fundamentează pe baza unor postulate, principii şi reguli.
Capitolul 2 denumit „Teorie şi dimensiuni practice ale strategiei generale
referitoare la o misiune de audit” dezbate etapele de desfăşurare ale unui astfel de proces.
La acest nivel, cercetarea se bazează mai mult pe elemente teoretice şi oferă o imagine
coerentă, clară şi concisă asupra unei misiuni de audit.
Capitolul 3 intitulat „Particularităţi ale controlului intern într-un mediu
informatizat” constituie o dezbatere asupra necesităţii verificării şi aprecierii acestui
control, la nivelul unei organizaţii, acesta reprezentând „cheia” care îi conferă auditorului
financiar încrederea asupra datelor ce urmeză a fi auditate. Verificarea integrităţii datelor
este o etapă premergătoare îndeplinirii obiectivelor unei misiuni de audit, deoarece
auditorii trebuie să se asigure că rezultatele din rapoartele finale sunt bazate pe date
complete, precise şi fiabile.
Creşterea complexităţii sistemelor, în special a sistemelor de contabilitate
informatizată, cât şi volumul mare al tranzacţiilor înregistrate în prezent, au condus la
înlocuirea cu o frecvenţă accelerată a tehnicilor clasice de audit, „manuale”, cu tehnici
moderne, asistate de calculator, subiectul făcând obiectul dezbaterilor din capitolul 4
„Tehnici de audit asistate de calculator”. Necesitatea utilizării instrumentelor informatice
în cadrul unei misiuni de audit a devenit vitală şi, se poate aprecia că, o combinaţie a
tehnicilor manuale cu cele asistate de calculator asigură reuşita unei misiuni de audit, într-
un timp optim şi cu costuri reduse.
Capitolul 5 dezvoltă într-o viziune personală conceperea şi realizarea unui sistem
informatic privind auditul situaţiilor financiare. Soluţia propusă asistă auditorul extern în
fazele importante ale unui proces de audit, oferindu-i acestuia un instrument care permite
eficientizarea muncii sale. Testarea sistemului s-a realizat cu informaţii reale, pornind de la
balanţa de verificare a unui client şi alte date istorice, sistemul oferindu-i auditorului

6
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

facilitatea de a completa în timp oportun foile de lucru recomandate de Normele minimale


de audit şi generarea situaţiilor de sinteză, calculul indicatorilor economico-financiari.
Capitolul final denumit „Tendinţe în dezvoltarea software-ului de audit” studiază o
posibilă integrare a tehnicilor şi metodologiilor Data Mining în cadrul aplicaţiilor de audit,
încercând să sublinieze analiza complexă pe care o pot oferi acestea asupra datelor
clientului auditat.
Cercetarea îşi asumă dorinţa de a oferi o imagine coerentă asupra procesului de
audit într-un mediu informatizat şi să evidenţieze necesitatea informatizării unei astfel de
misiuni.

CAPITOLUL 1

AUDITUL CALITĂŢII INFORMAŢIEI CONTABILE: OBIECTIVE, REALIZĂRI


ŞI LIMITE

1.1. Repere istorice privind conceptul de audit

În sens etimologic, cuvântul "audit" îşi are originea în latinescul "audire", care
însemna "a asculta, a audia". Acest termen şi-a extins, în timp, aria semantică preluând
sensuri precum "a examina, a verifica, a revizui conturi".
Trebuie însă precizat că evoluţia auditului nu s-a realizat doar în sens etimologic. O
scurtă incursiune istorică evidenţiază că au existat transformări chiar în ceea ce priveşte
obiectivele şi tehnicile utilizate în cadrul activităţii de audit: 1
Perioada Obiectivele auditului Tipul verificarii Importanţa
controlului
intern
Antica – 1850 Detectarea fraudelor Verificare detaliată Nerecunoscut
1850 – 1905 Detectarea fraudelor şi a Verificare detaliată; Nerecunoscut
erorilor Se introduce

1
R.G.Brown – “Changing audit objectives and techniques” studiu publicat in “The accounting review”,
citat de L.Dobroţeanu în “Audit – Concepte si Practici”, Ed. Economică, 2002.

7
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

tehnica sondajului
1905 – 1933 Detectarea fraudelor şi a Verificare detaliată
Uşor
erorilor; şi prin sondaj recunoscută
Exprimarea unei opinii
cu privire la
corectitudinea situaţiilor
financiare
1933 – 1940 Detectarea fraudelor şi a Verificare prin In creştere
erorilor; sondaj
Exprimarea unei opinii
cu privire la
corectitudinea situaţiilor
financiare
Dupa 1940 Determinarea gradului de Verificare prin Accent puternic
sinceritate în raportarea sondaj
situaţiilor financiare;
detectarea fraudelor şi
erorilor
Tabel 1.1. Formele incipiente ale auditului
Se observă că, în timp, obiectivul primordial al auditului a evoluat de la detectarea
fraudelor şi erorilor la certificarea situaţiilor financiare, la verificarea conformitaţii acestora
cu anumite criterii prestabilite. Schimbarea obiectivului auditului a necesitat evoluţia
tehnicilor de audit. În condiţiile globalizării economiilor şi internaţionalizării pieţelor
financiare, metodele tradiţionale de verificare, care implicau un control exhaustiv al
tranzacţiilor s-au dovedit mult prea costisitoare şi de durată. Din acest motiv, ele au fost
înlocuite cu tehnici de eşantionare şi sondaj statistic, tehnici asistate de calculator, auditorul
punând, în acelaşi timp, un accent deosebit pe eficienţa şi eficacitatea controlului intern.
În plus, pentru a veni în întâmpinarea complexităţii informaţiilor solicitate de
utilizatori, auditorul nu trebuie să asigure numai o ameliorare a credibilităţii situaţiilor
financiare ci şi servicii care să aducă un plus de valoare, precum raportarea iregularităţilor,
identificarea riscurilor afacerii şi oferirea unei consultanţe în ceea ce priveşte punctele
nevralgice ale controlului intern. În auditul modern, evaluarea situaţiilor financiare este,
adesea, completată cu constatări rezultate din auditul fluxurilor financiare, ceea ce asigură
un supliment de informaţii financiare fiabile.
Elementele prezentate anterior evidenţiază că paradigma auditului extern s-a
modificat iar rolul auditorului a fost redefinit. Schimbările vizează, în principal,
următoarele aspecte:
 scopul activităţii de audit;
 caracteristicile esenţiale ale independenţei misiunii de audit;

8
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 promovarea tehnicilor statistice şi matematice, iar mai recent şi cele


informatice (recunoscute sub numele de tehnici de audit asistate de
calculator - Computer Assisted Audit Techniques: CAAT);
 factorul definitoriu al responsabilităţilor auditorilor.

1.2. Arhitectura conceptului de audit

În mediul academic şi practic nu există un punct de vedere comun în ceea ce


priveşte definirea conceptului de audit. Definiţia cea mai des invocată este însă cea
prezentată în 1973 de Asociaţia Americană de Contabilitate (American Accounting
Association: AAA) în cadrul "Declaraţiei privind conceptele de bază ale auditului". În
declaraţia respectivă se precizează că "auditul este un proces sistematic de obţinere şi
evaluare obiectivă a unor afirmaţii privind acţiunile şi evenimentele cu caracter economic,
în vederea aprecierii gradului de conformitate a acestor afirmaţii cu criteriile prestabilite,
precum şi de comunicare a rezultatelor către utilizatorii interesaţi "2.
O analiză detaliată a acestei definiţii evidenţiază elementele principale ale activităţii
de audit:
1. „Auditul este un proces sistematic”. Orice activitate de audit, indiferent de
obiectivul său, include, din punct de vedere metodologic, etape fundamentale precum:
planificarea, dezvoltarea unei strategii, selectarea probelor şi evaluarea acestora în raport
cu obiectivele specifice ale misiunii.
În Declaraţia privind conceptele de bază ale auditului se subliniază : „ faza de
proces sistematic sugerează că auditul este bazat, cel puţin în parte, pe disciplina şi
filozofia unei metode ştiinţifice”. Mulţi auditori nu consideră însă că ei aplică o metodă
ştiinţifică, deoarece o asemenea metodă ar implica un grad mai ridicat de structurare decât
se doreşte în audit. Deşi un audit are la bază o strategie, strategia respectivă se poate
modifica pe parcursul misiunii, datorită schimbării condiţiilor sau a apariţiei unor rezultate
neaşteptate ale procedurilor de audit.
2. „Obţinerea şi evaluarea în mod obiectiv a unor afirmaţii”. În esenţă, auditul
constă în colectarea şi evaluarea probelor care vor fi suportul opiniei auditorului. De
exemplu, într-un audit financiar, exerciţiul de „culegere a probelor” presupune, adesea, o
2
Declaraţia (A Statement of Basic Auditing Concepts) este analizată de V.M. O'Reilly, M.B. Hirsch, P.L.
Defiliese, H.R. Jaenicke, în lucrarea Mongomery’s auditing, Editura John Wiley & Sons, New York, ed. a XI-
a,1990.

9
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

verificare a principiilor şi metodelor contabile folosite în întocmirea situaţiilor financiare


cu principiile contabile general acceptate (Generally Accepted Accounting Principles:
GAAP), fapt ce implică o urmărire a informaţiilor în documentele contabile şi compararea
acestora cu valorile obţinute prin inventar, prin verificare încrucişată cu clienţii sau prin
investigare.
În acest context, dacă o societate prezintă de exemplu, în bilanţ, postul „Instalaţii”,
auditorul trebuie să examineze contractele de achiziţie, pentru a verifica faptul că societatea
este proprietara instalaţiilor, să procedeze la inventarierea fizică a acestora pentru
verificarea existenţei lor faptice şi, în cazul în care instalaţiile au fost achiziţionate în
valută, să verifice dacă societatea a ales un curs de schimb adecvat. De asemenea, se va
verifica dacă amortizarea contabilizată în numele instalaţiilor corespunde cu cea prevăzută
în planul de amortizare.
Evaluarea afirmaţiilor de către auditor presupune exercitarea judecăţii profesionale
a acestuia, ceea ce necesită o capacitate deosebită de interpretare şi analiză. De exemplu,
pentru a aprecia dacă instalaţiile sunt evaluate la valoarea cea mai mică dintre cost şi
valoarea recuperabilă3, auditorul trebuie să înţeleagă modul în care societatea determină
valorile respective, lucru ce poate fi extrem de dificil având în vedere estimările pe care le
implică determinarea valorii recuperabile.
Deşi practica a demonstrat că există foarte rar probe care să susţină judecăţile
auditorului, aceste judecăţi sunt cruciale pentru auditarea informaţiilor contabile.
3. „Afirmaţii privind acţiunile cu caracter economic”: se referă la acele afirmaţii
şi estimări pe care managementul unei entităţi le face şi care, de altfel, se regăsesc incluse
în situaţiile financiare supuse auditului.
De exemplu, prezentarea în bilanţ a sumei de 2000 u.m. la poziţia „Terenuri”
implică următoarele afirmaţii:
 terenurile există în întreprindere;
 2000 u.m. reprezintă valoarea totală a terenurilor deţinute de societate;
 valoarea de 2000 u.m. este valoarea cea mai mică dintre valoarea contabilă
şi valoarea recuperabilă;
 valoarea de 2000 u.m. reprezintă valoarea justă4 a terenurilor.
3
Valoarea recuperabilă reprezintă valoarea cea mai mare dintre preţul net de vânzare şi valoarea de utilitate
(IAS 36 – Deprecierea activelor).
4
Valoarea justă reprezintă „ valoarea la care poate fi tranzacţionat un activ sau decontată o datorie, de bună
voie, între părţi informate în cadrul unei tranzacţii în care preţul este determinat obiectiv” (IAS 18 – Venituri
din actviităţi ordinare”).

10
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

În concluzie, se poate afirma că declaraţiile făcute de conducerea unei entităţi se


bazează pe contabilizarea tranzacţiilor şi a evenimentelor economice, proces care implică
colectarea, clasificarea, înregistrarea şi raportarea informaţiilor de natură contabilă.
4. „Aprecierea gradului de conformitate a afirmaţiilor cu criterii prestabilite”.
Orice misiune de audit are ca obiectiv principal formularea unei opinii de către auditor
asupra afirmaţiilor privind faptele şi evenimentele economice ce urmează a fi auditate; în
acest mod se va preciza în ce măsură afirmaţiile amintite sunt conforme cu criteriile sau
standardele existente.
De exemplu, în cazul în care toate afirmaţii implicate de expresia „stocuri....3000
u.m.” sunt conforme cu GAAP-urile (stocurile există şi sunt în proprietatea întreprinderii,
stocurile sunt evaluate la cea mai mică valoare dintre cost şi valoarea netă de realizare etc.),
auditorul va concluziona că există o corespondenţă între afirmaţiile respective şi criteriile
stabilite.
GAAP –urile sunt, de regulă, explicite şi definite în mod clar şi concis, deoarece ele
reprezintă criteriul pentru înţelegerea altor concepte contabile (de exemplu, discuţiile
referitoare la prezentarea fidelă în conformitate cu GAAP-urile).
5. „ comunicarea rezultatelor către utilizatorii interesaţi ”. „Episodul” final al
oricărei misiuni de audit este întocmirea unui raport care informează cititorul asupra
gradului în care afirmaţiile clientului corespund cu criteriile agreate sau impuse.
Într-un audit financiar, prin opinia sa neutră exprimată, auditorul devine un garant
al situaţiilor financiare în faţa utilizatorilor externi, iar raportul de audit prezintă concluziile
asupra gradului în care situaţiile financiare sunt sau nu conforme cu principiile contabile
general acceptate.
În România, Normele Naţionale de Audit, inspirate din referenţialul internaţional,
au definit auditul ca fiind „examinarea profesională a unei informaţii în vederea exprimării
unei opinii responsabile şi independente, prin raportarea la un criteriu standard de calitate”.
Ca un corolar al celor două definiţii, se poate aprecia că auditul este o activitate
desfăşurată de profesioniştii în domeniu, care colectează şi evaluează probe, în vederea
exprimării unei opinii independente privind comparaţia dintre aspectele observate şi cele
prestabilite, conform unui criteriu de calitate.
Plecând de la aceste aspecte generale, se poate observa astăzi că noţiunea de audit a
fost asociată unor domenii diferite precum: auditul financiar, auditul mediului, auditul
sistemelor informaţionale, auditul calităţii, auditul capitalului intelectual etc.

11
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

1.3. Cadrul conceptual al auditului

„Auditul operează cu idei abstracte; el îşi are bazele în numeroase tipuri de


învăţare... are o structură raţională de postulate, concepte, tehnici şi reguli, bazându-se pe
un studiu intelectual riguros care merită să fie numită „disciplină” în sensul curent al
acestui termen”5 Altfel spus, auditul are la bază o teorie.
În sens restrictiv, teoria auditului este o teorie normativă, deoarece furnizează un
ghid despre cum ar trebui să fie practica de audit. Cu alte cuvinte, „scopul teoriei auditului
este să furnizeze un cadru conceptual raţional şi coerent pentru determinarea procedurilor
de audit necesare pentru atingerea obiectivelor de audit definite şi pentru evaluarea
continuă a practicilor curente în scopul perfecţionării lor”.
O trecere în revistă a literaturii de specialitate evidenţiază numeroase postulate care
stau la baza teoriei auditului. „Aceste postulate nu au fost descoperite de unul sau mai
mulţi indivizi, într-un loc geografic oarecare şi într-un moment precis de timp. De
asemenea, ele nu pot fi rezultatul experienţelor ştiinţifice de laborator. Dimpotrivă, ele fac
obiectul schimbării, deoarece se bazează pe un mediu, pe o structură a utilizatorilor de
informaţii financiare şi pe necesităţile lor de informare, care evoluează în mod continu.”6
Postulatele cel mai frecvent invocate în lucrările de audit sunt:
1. Situaţiile financiare şi informaţiile financiare sunt verificabile. Dacă această
ipoteză fundamentală nu ar fi reală, auditul nu ar avea sens şi nu ar exista. Verficarea nu
implică probe de netăgăduit, dar sugerează conceptul de asigurare rezonabilă. Mautz şi
Sharaf subliniază că „doar pe baza acestui postulat, se identifică
 teoria probei
 procedeul de verificare
 aplicarea probabilităţii teoriei de audit
 stabilirea graniţelor responsabilităţii auditorului”.
2. Pe termen lung, nu există un conflict de interese între auditori şi conducerea
entităţii auditate.

5
Mautz şi Sharaf citaţi de O'Reilly, M.B. Hirsch, P.L. Defiliese, H.R. Jaenicke, op. cit.
6
N. Feleagă, Îmblânzirea junglei contabilităţii, concept şi normalizare în contabilitate, Editura Economică,
1996.

12
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Atât auditorii cât şi managerii ar trebui să fie interesaţi în prezentarea unei imagini
fidele a situaţiilor financiare, deoarece adoptarea unor decizii de investiţii bazate pe
informaţii pertinente este benefică întreprinderii pe termen lung. Trebuie însă precizat că,
pe termen scurt, pot exista conflicte în ceea ce priveşte:
 dezacordul onest asupra aplicării unei politici contabile;
 încercarea managerilor de a cosmetiza situaţiile financiare, prin ameliorarea
performanţei publicate sau a gradului de atingere a altor obiective, pentru a-
şi spori propria remuneraţie sau acordarea unor bonificaţii suplimentare;
 fraude manageriale.
Din acest motiv, pe tot parcursul activităţii desfăşurate, auditorii trebuie să
manifeste o atitudine sceptică faţă de informaţiile furnizate de conducerea entităţii.
3. Rezultatul unei misiuni furnizează asigurări rezonabile dar nu absolute că vor
fi detectate erori semnificative cauzate, în special, de nereguli.
Standardul de audit ISA 200 ajută la corelarea acestui postulat cu responsabilităţile
unui audit modern. Norma prevede că, un audit efectuat în conformitate cu standardele de
audit, are ca scop detectarea erorilor semnificative, inclusiv a fraudelor care pot afecta
situaţiile financiare. Auditorul nu este un garant. Responsabilitatea sa constă în a-şi exercita
îndatoririle cu maximă grijă şi competenţă, având un grad adecvat de scepticism
profesional.
4. Existenţa unui sistem de control intern satisfăcător reduce posibilitatea fraudei
şi erorilor.
Un sistem de control intern se bazează pe două elemente definitorii: separarea
responsabilităţilor în cadrul unei organizaţii şi verificarea internă propriu-zisă. Aceste două
elemente considerate împreună nu pot fi eficiente 100%, fapt care conduce la ipoteza că
este mai corect a spune că un sistem de control intern bun reduce eroarea, frauda,
manipularea rezultatelor, pierderea activelor, fără a elimina total riscul de apariţie a
acestora. În aceste condiţii, auditorul are nevoie de probe suplimentare faţă de cele
solicitate de un control intern, pentru a-şi fundamenta aprecierea rezonabilă despre
situaţiile financiare auditate.
5. Aplicarea constantă a principiilor general acceptate de contabilitate oferă o
imagine fidelă a situaţiilor financiare.
În momentul în care auditorul îşi exprimă opinia sa în legătură cu situaţiile auditate,
el consideră ca element de referinţă aplicarea principiilor contabile general acceptate în

13
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

evaluarea gradului de fidelitate a situaţiilor sau informaţiilor analizate. Fără un astfel de


criteriu, ar fi deosebit de dificil să se stabilească, cu obiectivitate, dacă situaţiile financiare
prezintă sau nu o imagine fidelă.
6. Activitatea curentă de audit este structurată în funcţie de experienţa şi
cunoştinţele acumulate din auditarea clientului în anii precedenţi.
În conformitate cu acest postulat, în lipsa unei probe contrarii, auditorul poate să
presupună că ceea ce a fost adevărat în trecut, pentru o societate auditată, va rămâne valabil
şi în viitor. Altfel spus, în absenţa unor schimbări în controlul intern operaţional şi de
personal al clientului, auditorii îşi pot planifica angajamentele curente, pe probele cumulate
din misiunile de audit anterioare, ceea ce măreşte eficienţa unei misiuni de audit.
7. Independenţa este esenţială în misiunea de audit. Independenţa este „piatra de
încercare” a profesiei de auditor. Fără o independenţă profesională de necontestat, opinia
auditorului devine suspectă. Din punct de vedere teoretic, factorii care permit determinarea
gradului de independenţă sunt integritatea şi obiectivitatea auditorului.
8. Statutul profesional de auditor independent impune anumite obligaţii
profesionale.
În conformitate cu acest postulat, auditorul trebuie să respecte Codul privind
conduita etică şi profesională în domeniul auditului.

1.4 Dimensiunile auditului

Într-un cadru restrâns, auditul poate fi clasificat, în conformitate cu obiectivul


funcţiei pe care o realizează, în:
 Audit de conformitate
 Audit al performanţei
 Auditul de atestare a situaţiilor financiare (audit financiar)

Auditul de conformitate are ca scop verificarea bunei aplicări a regulilor şi


procedurilor, în raport cu un sistem de referinţă dat (regulile şi regulamentele interne ale
unei organizaţii, dispoziţii legale şi reglementare).
Auditul performanţei reprezintă o revizuire sistematică a activităţilor unei
organizaţii în corelaţie cu anumite obiective stabilite de management, în scopul de a evalua

14
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

performanţele, de a identifica posibilele ameliorări şi de a elabora recomandări de


dezvoltare a acestor activităţi.
Măsurarea performanţelor prin prisma economicităţii, eficacităţii şi eficienţei
constituie o necesitate pentru manageri, în scopul unei evaluări continue a rezultatelor
obţinute în raport cu obiectivele propuse.
Auditul atestării situaţiilor financiare, cunoscutul sub denumirea de audit
financiar, are ca obiectiv atestarea sau comunicarea unei opinii, de către o persoană
independentă, potrivit căreia situaţiile financiare sunt întocmite, sub toate aspectele
semnificative, în conformitate cu un cadru general de raportare.
O sinteză grafică a acestei clasificări se regăseşte în figura 1.1:

AUDIT

Auditul Audit de Auditul


financiar conformitate performanţei

Examinarea Examinarea Examinarea


situaţiilor personalului şi totală sau
financiare a activităţilor parţială a
entităţii activităţilor
organizaţiei

Criteriul – Criteriul – Criteriul –


Principiile Politicile, obiectivul
contabile general regulamentele specific al
acceptate interne organizaţiei

Raport despre Raport despre Raport


corectitudinea conformitatea despre
situaţiilor cu criteriul ales sugestii,
financiare în recomandări
conformitate cu şi
principiile perfecţionări
general acceptate

Figura nr.1.1 Clasificarea auditului în funcţie de obicetivul urmărit 7


Din punct de vedere al modului de afiliere al auditorilor în realizarea misiunii,
auditul poate fi:
 Audit extern
 Audit intern
 Audit guvernamental
7
Donald Taylor, G. Glezen, Auditing: integrated concepts and procedures, Editura John Wiley & Sons, New
York, 1988.

15
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Auditul extern, recunoscut sub numele de audit independent, este efectuat pe bază
contractuală de către auditori independenţi, fie persoane fizice, fie persoane juridice, care
au misiunea de a certifica situaţiile financiare ale unei organizaţii.
Auditul intern, este „o activitate de evaluare în cadrul unei entităţi, activitate care
reprezintă un serviciu efectuat în favoarea entităţii. Funcţiile sale includ, printre altele,
examinarea, evaluarea şi monitorizarea corectitudinii şi eficienţei sistemului contabil şi a
sistemului de control intern”.
Importanţa actuală a auditului intern este subliniată şi de existenţa Institutului
Internaţional de Audit Intern (The Institute of Internal Auditors: IIA). Acestă instituţie
definea în 1999 auditul intern ca fiind "o activitate independentă şi obiectivă, care dă
asigurare unei organizaţii în ceea ce priveşte gradul de control deţinut asupra operaţiunilor,
o îndrumă pentru a-i îmbunătăţi operaţiunile…o ajută să-şi atingă obiectivele evaluând
procesele sale de management al riscurilor, de control şi de conducere şi avansând
propuneri pentru a le consolida eficacitatea".
Definiţia subliniază rolul de „consiliere” al auditorului intern, el realizând diferite
recomandări, pentru a ajuta la atingerea obiectivelor Controlului Intern.
Întrebarea care se pune este când şi de ce a apărut acest concept?
Funcţia de audit intern este una relativ recentă, apariţia ei fiind recunoscută în
perioada crizei economice din 1929-1933. Pentru a certifica situaţiile financiare, auditorii
externi trebuiau să desfăşoare numeroase activităţi pregătitoare: inventare de orice natură,
analize de conturi, sondaje variate, care necesitau timp îndelungat şi cheltuieli mari. Din
acest motiv, s-a sugerat ca anumite activităţi pregătitoare să fie preluate de personalul
întreprinderii. Cabinetele de Audit Extern şi-au dat acordul cu condiţia unei anumite
supervizări.

16
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

AUDIT

Auditul Auditul
Auditul intern
extern guvernamental

Realizat de
angajaţii
Efectuat de Realizat de
instituţiilor
auditori angajaţii
guvernamentale
independenţi, permanenţi ai
(Ministerul
pe o bază organizaţiei
Finanţelor
contractuală
Publice, Curtea
de Conturi)

Include diferite Include atât


Include atât
tipuri de audit, auditul de
auditul de
majoritatea fiind conformitate
conformitate
focalizate pe cât şi auditul
cât şi auditul
auditul situaţiilor operaţional
operaţional
financiare

Figura nr.1.2. Clasificarea auditului în funcţie de afilierea auditorilor8

Relaţia Audit intern-Audit extern

Astăzi, chiar dacă Auditul Intern apare pornind de la Auditul Extern, cele două
activităţi sunt net diferenţiate, fiecare având obiective clar conturate. Astfel, se pot remarca
cel puţin opt diferenţe între Auditul Intern şi Auditul Extern:
1. Auditorul intern face parte din personalul organizaţiei, în timp ce auditorul
extern este un prestator de servicii, independent din punct de vedere juridic.
2. Auditul intern lucrează în folosul responsabililor organizaţiei, iar Auditul Extern
realizează certificarea situaţiilor financiare pentru o gamă largă de utilizatori:
investitori, manageri, salariaţi, clienţi, bănci, stat etc.
3. În timp ce obiectivul Auditului Intern este să aprecieze controlul asupra
activităţii întreprinderii şi să recomande acţiuni necesare ameliorării acestuia,
obiectivul Auditului Extern este să certifice imaginea fidelă a situaţiilor
financiare.
8
Donald Taylor, G. Glezen, op. cit.

17
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

4. Domeniul de aplicare a auditului extern înglobează tot ceea ce participă la


elaborarea situaţiilor financiare, dar nu presupune investigaţii şi observaţii doar
asupra domeniului contabil. Domeniul Auditului Intern este mult mai vast, el
incluzând toate funcţiile unei întreprinderi.
5. Auditul Extern se preocupă de orice fraudă, dacă aceasta are o influenţă asupra
rezultatelor financiare.
6. Independenţa celor două activităţi este recunoscută, dar ea nu este de acelaşi tip;
astfel independenţa Auditului Extern este una juridică şi statutară, în timp ce a
Auditului Intern are restricţii.
7. Periodicitatea auditului. Auditul Extern îşi efectuează misiunile intermitent şi la
anumite momente adecvate certificării conturilor: sfârşit de an, sfârşit de
semestru, sfârşit de trimestru. Auditul Intern se desfăşoară în mod permanent.
8. Tehnicile şi procedurile de audit adoptate sunt, adesea, diferite.

1.5 Obiectivele auditului financiar contabil şi responsabilităţile auditorului

Obiectivul auditului a evoluat de la detectarea fraudelor şi erorilor, proces care


presupunea o verificare detaliată a tuturor operaţiunilor patrimoniale şi a înregistrării lor
contabile, la exprimarea unei opinii asupra imaginii fidele a patrimoniului, a situaţiei
financiare şi a rezultatelor obţinute de către societate. Se urmăreşte, în acest sens, măsura în
care informaţiile înregistrate în contabilitate reflectă evenimentele economice care au avut
loc într-o anumită perioadă, iar eforturile auditorului sunt intensificate pentru identificarea
eventualelor manipulări ale informaţiilor furnizate de sistemul financiar, pentru prevenirea
cazurilor de contabilitate creativă sau fraudă.
Conform standardelor de audit, “obiectivul unui audit al situaţiilor financiare este
acela de a da posibilitatea auditorului să exprime o opinie privind întocmirea situaţiilor
financiare respective, sub toate aspectele semnificative, în conformitate cu un cadrul
general de raportare identificat. Cu toate că opinia auditorului sporeşte credibilitatea
situaţiilor financiare, utilizatorul nu trebuie să considere că această opinie este o garanţie a
viabilităţii viitoare a entităţii.”
Utilizatorul extern nu trebuie să atribuie opiniei formulate de auditor o garanţie
absolută, pentru că este imposibil să nu conştientizăm că acesta nu-şi va întoarce armele
împotriva propriului client. Astăzi, când 90% din piaţa financiară este dominată de cei
“Patru Mari” (The Big Four: KPMG, ErnstYoung, Deloitte Touche Tomahatsu,

18
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

PricewaterhouseCoopers), între restul auditorilor există o concurenţă acerbă. Pe o piaţă


concurenţială, clientul ar putea găsi uşor un alt auditor care să-i servească interesele, fapt
ce-l determină pe auditor să treacă cu vederea anumite iregularităţi. El nu va accepta însă
erori semnificative care pot afecta substanţial imaginea fidelă a situaţiilor financiare, pentru
că astfel de evenimente deteriorează reputaţia sa pe termen lung.
Pentru a înţelege ceea ce este un audit şi modul în care acesta se desfăşoară, este
necesar să se cunoască rolul auditului şi responsabilităţile profesionale ale auditorilor. O
asemenea analiză implică, înainte de toate, o cunoaştere a mediului economic, social şi
instituţional în care se desfaşoară procesul de audit. În plus, trebuie să se aibă în vedere
faptul că scopul auditului, rolul său precum şi mijloacele şi tehnicile utilizate sunt într-o
continuă evoluţie şi adaptare la transformările din mediul existent, ceea ce implică o
pregătire continuă din partea auditorilor.
În esenţă, rolul auditorului, în special al auditorului extern, este acela de a spori
încrederea utilizatorului în informaţia contabilă, de a aduce un plus de siguranţă faptului că
informaţia contabila a fost prelucrată şi prezentată în conformitate cu standardele şi
principiile contabile general acceptate. Standardul de audit 120 precizeză:”… situaţiile
financiare sunt întocmite şi prezentate anual şi sunt destinate nevoilor comune de
informaţii ale unei game largi de utilizatori. Mulţi dintre utilizatori se bazează pe aceste
situaţii financiare ca fiind sursa lor principală de informaţii, deoarece ei nu au posibilitatea
să obţină informaţii adiţionale care să le satisfacă nevoile informaţionale specifice…” Din
această precizare rezultă rolul semnificativ pe care îl joacă auditul vis-à-vis de utilizatorii
informaţiei contabile: auditorul este singurul care, independent de conducerea întreprinderii
care a întocmit situaţiile financiare de sinteză, este în măsură să dea o asigurare rezonabilă
asupra faptului că situaţiile respective nu sunt viciate de fraude sau erori semnificative şi,
prin urmare, pot fi utilizate cu suficientă încredere în procesul de fundamentare a deciziilor.
Responsabilitatea auditorilor vizează acţionarii şi alte grupuri interesate care vor câştiga
sau pierde de pe urma “sănătăţii” companiei.
Astfel, auditul este privit nu numai ca o materie interdisciplinară dar şi ca un
domeniu de activitate în care, în mod implicit, se impun rigori, standarde de pregătire
profesională, o anumită conduită etică, de la care auditorul nu se poate abate fără a suferi
consecinţe profesionale sau materiale.
Referindu-se la acest aspect, Mario Manti, Comisionar al Pietei Unice, comenta:
”Auditorul financiar are un rol esenţial în conferirea credibilităţii situaţiilor financiare ale

19
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

societăţii comerciale, deoarece utilizatorii acestor situaţii consideră raportul auditorului


drept asigurare şi garanţie a credibilităţii şi veridicităţii lor. Informaţia financiar-contabilă
este crucială pentru încurajarea investitorilor străini în cadrul unei pieţe, mai cu seamă în
contextul monedei unice. Rolul auditorilor financiari este crucial pentru consolidarea
pieţelor mondiale de capital, iar reglementarea independentă a profesiei este necesară
pentru a câştiga încrederea publicului în informaţiile conţinute de situaţiile financiare
elaborate de societatea comercială”.
Complexitatea activităţii de audit derivă din faptul că nu există o tehnică universal
valabilă care, o dată aplicată, poate să asigure un audit complet şi un rezultat garantat.
Acest punct nevralgic este precizat chiar în prefaţa Normelor Naţionale de Audit: ”Este
imposibil să se stabilească norme de audit şi de servicii conexe care să se aplice de o
manieră universală la toate situaţiile cu care un auditor se poate confrunta; în consecinţă,
auditorul trebuie să considere normele adoptate ca principii fundamentale ce trebuiesc
urmărite în activitatea lor. Procedurile necesare pentru aplicarea acestor norme sunt lăsate
la judecata fiecărui membru şi variază în funcţie de circumstanţele fiecărui caz”.

1.6 Convergenţe şi divergenţe între activităţile de contabilitate şi de audit

Într-o anumită perioadă, auditul a fost considerat o subdiviziune a contabilităţii. În


timp, s-a demonstrat însă că cele două procese se caracterizează prin obiective şi metode
diferite. Astfel, contabilitatea poate fi definită ca procesul care presupune identificarea
tranzacţiilor ce afectează o societate, înregistrarea, clasificarea şi rezumarea acestora în
înregistrări contabile, având drept rezultat întocmirea şi prezentarea situaţiilor financiare,
realizate în concordanţă cu Standardele contabile şi reglementările legale. Obiectivul final
al contabilităţii este comunicarea unor informaţii relevante şi fiabile pentru fundamentarea
procesului decizional. Asigurarea acestor calităţi ale informaţiei financiare, se sprijină pe
două concepte fundamentale ale contabilităţii:
 Contabilitatea de angajamente, care consemnează şi recunoaşte în situaţiile
financiare, efectele certe ale tranzacţiilor în momentul în care acestea au avut
loc şi nu în momentul încasării sau plăţii acestora.

20
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 Continuitatea activităţii
În plus, trebuie precizat că angajaţii societăţii sunt implicaţi direct în desfăşurarea
procesului contabil, iar responsabilitatea finală pentru situaţiile financiare publicate revine
managerilor societăţii.
Auditul financiar apare la acea treaptă de dezvoltare a contabilităţii în care
informaţia contabilă a devenit atât de amplă şi complexă încât ideea de certitudine a
realităţii financiare nu a mai putut fi motivată cu tehnicile tradiţionale. Totodată, elaborarea
documentelor de sinteză a marcat evoluţia contabilităţii şi a prefigurat apariţia auditului
financiar. Auditul colectează şi evaluează informaţia furnizată de contabilitate, în vederea
exprimării unei opinii din partea auditorului cu privire la corectitudinea situaţiilor
financiare. În esenţă, existenţa auditului este legată de existenţa contabilităţii.

1.7 Necesitatea realizării activităţii de audit financiar-contabil

Situaţiile financiare sunt elaborate şi prezentate pentru a satisface cerinţele comune


de informare financiară ale unei game largi de utilizatori: investitori, manageri, salariaţi,
clienţi, creditori bancari, stat etc. Concordanţa dintre conţinutul şi calitatea situaţiilor
financiare, pe de o parte, şi exigenţele referenţialului contabil, pe de altă parte, este
controlată de managementul societăţii şi/sau auditorii interni, iar la nivel superior de
organele de control financiar ale statului. Caracterul subiectiv al acestor forme de control,
în condiţiile asigurării nevoilor proprii de informare ale investitorilor, a constituit premisa
apariţiei instituţiilor profesionale de auditori independenţi. Necesitatea unei astfel de
activităţi a fost accentuată de:
 Conflictul de interese dintre utilizatorii externi de informaţii contabile (acţionarii,
creditorii bancari) şi cei ce pregătesc şi furnizează aceste informaţii (managerii).
Se poate afirma că interesul managerului este legat, în principal, de cota-parte
care îi revine din profit. Acest interes îl determină să aibă un comportament oportunist,
optând pentru procedurile care îi permit menţinerea drepturilor proprii la un nivel ridicat.
Beneficiind de un acces imediat, complet şi gratuit la informaţiile contabile,
managerii acordă o atenţie deosebită felului în care informaţiile publicate sunt percepute în
exterior, pentru că aceste informaţii publicate informează terţii despre felul în care
societatea a fost gestionată.

21
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Acţionarii, în calitatea lor de proprietari, vor să se asigure că managerii nu au


profitat de mandatul încredinţat pentru a-şi însuşi o parte din bogăţia societăţii. Acţionarii
nu reprezintă însă un grup omogen. Astfel, acţionarii cu acţiuni privilegiate, sunt interesaţi
de capacitatea întreprinderii de a produce câştiguri viitoare, de strategia adoptată de aceasta
pentru asigurarea “sănătăţii” pe termen lung, în timp ce acţionarii cu acţiuni ordinare, vor
fi interesaţi de mărimea dividendului ce le revine. De asemenea, acţionarii minoritari şi
majoritari nu au întotdeauna aceleaşi nevoi informaţionale şi nici aceleaşi interese.
Acţionarii minoritari sunt interesaţi de câştigul imediat sub formă de dividende, în timp ce
acţionarii majoritari sunt interesaţi de avantajele pe termen lung.
Creditorii, în special creditorii bancari, sunt interesaţi de capacitatea
întreprinderilor de a produce profit, acesta reprezentând singura sursă de acoperire a
dobânzilor şi de rambursare a împrumuturilor. În acest context, se acordă o atenţie
deosebită ratelor de lichiditate şi de îndatorare.
Controlul conflictului de interese a fost asigurat de serviciile auditorului extern.
 Fundamentarea deciziilor de investiţii, împrumut şi alte decizii necesită
informaţii despre poziţia financiară, performanţele şi fluxurile de trezorerie ale
unei societăţi, furnizate de situaţiile financiare publicate. Consecinţele economice
majore care pot rezulta, îi pot determina pe utilizatorii externi să solicite de la
auditorul extern asigurarea că situaţiile financiare sunt corecte, complete şi
conforme cu standardele contabile acceptate.
 Complexitatea crescândă pe care o cunoaşte contabilitatea determină riscul
apariţiei erorilor neintenţionate şi a interpretărilor greşite. Din acest motiv,
utilizatorii externi solicită opinia auditorului, pentru asigurarea credibilităţii
informaţiei financiar-contabile, auditul în sine permiţând reducerea, într-o măsură
semnificativă, a “riscului informaţiei”.
 Accesul selectiv la înregistrările contabile pe baza cărora sunt construite situaţiile
financiare, a accentuat în practică inegalitatea dintre categoriile de utilizatori.
Acţionarii şi băncile au dreptul la informaţii specifice (altele decât cele publicate),
adesea cu titlu gratuit, în timp ce alţi utilizatori pot beneficia de astfel de
informaţii contra cost. Chiar şi în astfel de condiţii, o examinare semnificativă a
informaţiilor, o evaluare a calităţii situaţiilor finaciare nu este certă.

22
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

În condiţiile în care informaţia contabilă permite redistribuirea bogăţiei, unele


societăţi încearcă să îşi cosmetizeze situaţiile financiare prin utilizarea unor tehnici de
contabilitate creativă.
În accepţiunea lui Naser9, contabilitatea creativă reprezintă:
„procesul prin care, dată fiind existenţa unor breşe în reguli, se manipulează
cifrele contabile şi, profitând de flexibilitate, se aleg acele practici de măsurare şi
informare ce permit transformarea documentelor de sinteză din ceea ce ele ar
trebui să fie în ceea ce managerii doresc.
 procesul prin care tranzacţiile sunt structurate de asemenea manieră încât să
permită “producerea” rezultatului contabil dorit.”
Tehnicile de contabilitate creativă se pot grupa în diverse categorii:
 Uneori, normele permit alegerea între diferite metode contabile (prelucrări
alternative), care pot conduce la rezultate diferite, la imagini diferite ale
situaţiilor financiare.
 O serie de elemente necesită estimări sau previziuni. De exemplu, durata de
utilitate a unui mijloc fix, în vederea calculării amortizării, reprezintă o
estimare realizată de societate. Această estimare permite o abordare
“pesimistă sau optimistă” ce poate conduce la reprezentări diferite ale
situaţiilor financiare.
 Se pot realiza tranzacţii artificiale pentru a manipula valorile din bilanţ sau
pentru a netezi rezultatul. De exemplu, se procedează la vânzarea unui utilaj
şi, concomitent, la preluarea imediată a acestuia în regim de închiriere
pentru durata de viaţă rămasă. Preţul de vânzare poate fi mai mare sau mai
mic decât valoarea actuală a utilajului, deoarece diferenţa se poate
compensa prin chirii mai mici sau mai mari decât preţul pieţei.
 Momentul realizării unor tranzacţii este ales cu grijă pentru a da o anumită
imagine în conturi. De exemplu, societatea deţine un imobil achiziţionat cu
1.000 u.m., a cărei valoare de piaţă este 3.000 u.m. Conducerea
întreprinderii va lua decizia de a vinde imobilul în anul în care intenţionează
să majoreze rezultatul.

9
K.Naser – „Creative financial accounting: its nature and use”, Prentice Hall, 1993 , citat de N.Feleaga,
L.Malciu în „Politici şi opţiuni contabile”, Ed. Economică, 2002.

23
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

În mod concret, utilizarea tehnicilor de contabilitate creativă este unul din aspectele
urmărite de auditorul extern, datorită efectelor sale10:
 Majorarea sau diminuarea cheltuielilor. Normele contabile lasă o anumită marjă de
manevră în cuantificarea cheltuielilor care aparţin unui exerciţiu. De exemplu, pentru
anumite active se indică doar numărul maxim de ani în care trebuie amortizate. O
durată mai mare sau mai mică de amortizare afectează mărimea rezultatului. În mod
similar, se pot analiza provizioanele şi posibilitatea activării anumitor cheltuieli.
 Majorarea sau diminuarea veniturilor. In anumite cazuri, se poate grăbi sau încetini
recunoaşterea veniturilor prin aplicarea principiului prudenţei sau a principiului
conectării cheltuielilor la venituri.
 Majorarea sau diminuarea activelor. Existenţa unei flexibilităţi, în ceea ce priveşte
calculul amortizării si provizioanelor, crează posibilitatea majorării sau diminuării
valorii nete a activelor. De asemenea, stocurile se pot evalua prin diferite metode şi, ca
urmare, valoarea lor poate fi diferită, cu efecte asupra contului de profit şi pierdere.
 Majorarea sau diminuarea fondurilor proprietarilor. Modificarea veniturilor şi
cheltuielilor afectează mărimea rezultatului, şi în consecinţă, mărimea rezervelor. Se
modifică, astfel, valoarea fondurilor proprietarilor şi toate ratele calculate pe baza
acestora.
 Majorarea sau diminuarea datoriilor. În unele ţări, normele contabile lasă posibilitatea
regularizării anumitor datorii, precum cele legate de pensionare, pe un interval de timp.
Ca urmare, o întreprindere interesată în majorarea rezultatului va proceda la
repartizarea datoriei pe o perioadă maxim permisă.
 Reclasificarea activelor şi datoriilor. Uneori, pot exista dubii în ceea ce priveşte
încadrarea unui element într-o categorie sau alta. Este, de exemplu, cazul titlurilor, care
în funcţie de intenţia întreprinderii, trebuie înscrise în activele curente sau activele
necurente.
 Manipularea informaţiilor prezentate în anexă. Lipsa unor informaţii relevante poate
afecta deciziile utilizatorilor externi.
 Prezentarea informaţiilor. Criteriile utilizate în prezentarea informaţiilor contabile pot
reprezenta o portiţă pentru manifestarea creativităţii.

10
O. Amat, J. Blake - „Contabilidad creativa”, citat de N.Feleaga, L.Malciu în „Politici şi opţiuni contabile”,
Ed. Economică, 2002.

24
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Analiza elementelor prezentate relevă faptul că, adesea societăţile profită de breşele
existente în norme şi de flexibilitatea acestora în vederea distorsionării informaţiilor
publicate. Deşi există o diferenţă clară între contabilitatea creativă şi încălcarea deliberată a
legii, ambele fenomene apar în condiţii de dificultate financiară a întreprinderilor şi au la
bază intenţia de a înşela. În consecinţă, chiar dacă utilizarea contabilităţii creative nu este
ilegală, ea indică faptul că managerii, aflaţi sub presiune financiară, caută soluţii fără a-şi
mai pune problema respectării unor standarde etice.

CAPITOLUL 2
TEORIE ŞI DIMENSIUNI PRACTICE ALE STRATEGIEI GENERALE
REFERITOARE LA O MISIUNE DE AUDIT

2.1 Cadrul general al unei misiuni de audit

25
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Definirea unei imagini de ansamblu asociată procesului de audit impune prezentarea


succintă a etapelor de desfăşurare a acestei misiuni:
Acceptarea misiunii - prin care se realizează colectarea şi evaluarea iniţială a
informaţiilor despre organizaţie, a riscurilor sectorului de activitate din care aceasta face
parte (domeniul de activitate, mărimea, reglementările specifice, date despre polititica
entităţii).
Planificarea misiunii de audit – care are drept finalitate realizarea unui plan de audit
detaliat pe obiective, termene, responsabili şi realizarea unui program de audit ce include
bugetul financiar, fondul de timp necesar realizării misiunii, precum şi ansamblul
procedurilor, tehnicilor ce vor fi implementate pe parcursul acesteia.
Evaluarea sistemului de control intern şi contabilitate, etapă ce include şi o
evaluare a sistemului informatic, analizat ca instrument care conferă încredere
informaţiilor ce urmează a fi auditate.
Aplicarea testelor de detaliu asupra conturilor clientului– concretizată în ansamblul
tehnicilor şi procedeelor aplicate de auditor în vederea colectării probelor necesare
justificării opiniei formulate de acesta (teste de detaliu, proceduri analitice), redactarea
concluziilor iniţiale, în conformitate cu planul iniţial.
Formularea opiniei şi întocmirea raportului de audit – recunoscută ca etapa finală a
unei misiuni de audit, se rezumă la analiza concluziilor şi formularea opiniei auditorului.
Urmărirea implementării recomandărilor raportului de audit (follow-up) - o
activitate ulterioară misiunii, în care auditorul solicită şi evaluează concluziile anterioare
relevante şi recomandările pentru a stabili dacă acţiunile necesare au fost implemenate la
timp.
Etapele unei misiuni de audit sunt sintetizate în figura 2.1:

26
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

I. ACCEPTAREA MISIUNII Scrisoare de


angajament
Colectarea informaţiilor
Evaluarea informaţiilor

II. PLANIFICAREA Plan de audit


Culegerea informaţiilor în detaliu
Calculul pragului de semnificaţie
Evaluarea riscului de audit
Desfăşurarea procedeelor analitice Program de
audit
Dezvoltarea planului de audit şi a
programului de lucru în detaliu

- Elaborarea planului de audit

Probe de audit
III. EVALUAREA
CONTROLULUI INTERN ŞI A
SISTEMULUI CONTABIL
Identificarea controalelor
Evaluarea preliminară a riscului de Raport interimar
control asupra
Selecţia eşantioanelor controlului
Realizarea testelor de control intern

IV. APLICAREA TESTELOR DE


Probe de
DETALIU
audit
Teste de detaliu privind tranzacţiile
Teste de detaliu privind soldurile
Proceduri analitice

IV. FORMULAREA OPINIEI ŞI Raport de audit


ÎNTOCMIREA RAPORTULUI DE detaliat
AUDIT

Raport de audit
simplificat
V. ACTIVITATEA DE
URMĂRIRE A
RECOMANDĂRILOR
AUDITORULUI
(FOLLOW-UP)

Figura nr.2.1 Etapele unei misiuni de audit

27
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

2.2. Acceptarea misiunii

O etapă preliminară în orice misiune de audit, indiferent de obiectivul acesteia, o


reprezintă „acceptarea misiunii”, în care auditorul realizează o documentare referitoare la
client, pentru o evaluare globală a riscurilor inerente şi de control, o analiză a mediului de
afaceri şi a particularităţilor sectorului de activitate în care acesta îşi desfăşoară activitatea.
Fondul de informaţii culese, care încearcă să evalueze „sănătatea” entităţii,
constituie elemente care îi permit auditorului acceptarea unei scrisori de angajament sau
refuzul acesteia. În interesul clientului, dar şi al auditorului, este necesar ca o astfel de
scrisoare să fie pregătită înaintea începerii misiunii, pentru a evita orice neînţelegeri în
legătură cu aceasta, deoarece documentul în sine, confirmă acceptarea de către auditor a
nominalizării sale şi descrie obiectivele auditului, aria auditului şi responsabilităţile
auditorului faţă de client.
În cadrul acestei etape, auditorul îşi va concentra atenţia asupra unor elemente
majore cum ar fi:
1. Identificarea particularităţilor societăţii, a specificului activităţii şi a sectorului de
activitate, a mărimii acesteia şi a modului de organizare.
2. Stabilirea riscurilor pe care auditorul şi le-ar asuma acceptând misiunea. Auditorul
caută să obţină elemente care îi vor permite aprecierea celor mai importante riscuri,
reţinând observaţii referitoare la:
 un control intern insuficient sau carenţe notabile
 contabilitate neţinută corect şi la timp
 personal incompetent şi rotaţia mare a cadrelor din compartimentele finanaciar-
contabilitate
 dezechilibre financiare, scăderea cifrei de afaceri, credite restante, pierderi mari,
activităţi în declin, ceea ce compromite viitorul exploatării
 riscuri fiscale
 conflicte sociale
 riscuri juridice
 nerespectarea independenţei exerciţiilor

28
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Analiza rentabilităţii, a solvabilităţii şi a gradului de îndatorare pe ultimii 3 ani,


completarea unui chestionar pentru evaluarea integrităţii şi a competenţei managementului
şi discuţiile cu alţi auditori, jurişti, experţi tehnici care au oferit societăţii servicii reprezintă
doar câteva dintre tehnicile utilizate de auditor în atingerea obiectivelor precizate anterior.
3. Evaluarea integrităţii managamentului poate releva carenţe importante, fapt ce poate
induce o mare probabilitate ca erori semnificative şi alte iregularităţi să afecteze procesul
contabil care se reflectă în situaţiile financiare. Pentru un client nou, auditorii pot obţine
informaţii despre integritatea managementului prin comunicarea cu foştii auditori sau prin
efectuarea de investigaţii la terţi, cum ar fi banca unde clientul are deschise conturi sau linii
de finanţare. În cazul misiunilor succesive de audit, auditorul deţine deja un fond de
cunoştinţe despre clientul său, dar această etapă de evaluare preliminară nu poate fi
ignorată, deoarece este posibil să fi avut loc schimbări substanţiale în mediul de afaceri al
clientului, modificări care pot avea un impact decisiv asupra planificării misiunii şi a
situaţiilor financiare supuse auditării.
4. Aprecieri ce vizează asigurarea independenţei auditorului şi evaluarea competenţei
acestuia în îndeplinirea misiunii.
Independenţa este „cheia” necesară profesiei de audit, factorii care determină gradul
de independenţă fiind integritatea şi obiectivitatea auditorului. În acest sens, nu pot exercita
activităţi de audit cei care primesc o remuneraţie de la clientul respectiv pentru alte
activităţi decât cele prevăzute în contractul de audit şi cei care au legături de afaceri sau
anumite interese cu societatea în cauză (inclusiv membrii familiei).
Lipsa experienţei în anumite sectoare poate face dificilă misiunea în sine, fapt
pentru care evaluarea competenţei auditorului şi mai ales a angajaţilor sau colaboratorilor
folosiţi este necesară în asigurarea calităţii unei misiuni de audit.
5. Analiza cost – beneficiu.
6. Cerinţele clientului: constrângeri de timp, calificarea auditorilor, raportări suplimentare.
Colectarea şi analiza informaţiilor îi conferă auditorului suportul necesar pentru a
lua una dintre următoarele decizii:
 acceptă angajamentul fără riscuri aparente;
 acceptă angajamentul, dar sunt necesare măsuri de supraveghere
suplimentare;
 refuză angajamentul.

29
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

2.3. Planificarea

După o cunoaştere globală a entităţii, auditorul are posibilitatea să-şi formuleze o


strategie generală de audit, concretizată într-un plan orientativ al activităţii sale, care la
rândul său, reprezintă baza elaborării programului de audit.
O planificare adecvată a activităţii de audit permite identificarea domeniilor
semnificative de audit, a punctelor slabe şi forte din cadrul sistemului. Această acţiune va fi
diferită în funcţie de mărimea entităţii, complexitatea auditului, experienţa auditorului şi,
nu în ultimul rând, de cunoaşterea activităţii desfăşurate de entitate.
În acest sens, demersul metodologic impune parcurgerea următorilor paşi:
1. Analiza şi documentarea modelului de audit – etapă în care auditorul va
urmări realizarea următoarelor proceduri:

Cunoaşterea activităţii
entităţii
Analiza fraudelor şi
Desfăşurarea preliminară
erorilor
a procedeelor analitice

PLANIFICARE Evaluarea estimărilor


A contabile realizate de
Calculul pragului de
management
semnificaţie

Evaluarea riscului de audit


Aprecierea nivelului de şi a componentelor sale
eşantionare

Figura nr. 2.2 Procedeele specifice etapei de planificare

 Cunoaşterea activităţii entităţii reprezintă un proces continuu, cumulativ, de culegere şi


evaluare a informaţiilor, care presupune atât o analiză a factorilor economici generali
cât şi a condiţiilor specifice sectorului economic ce influenţează activitatea entităţii
auditate şi nivelul de competenţă al conducerii. Acest volum de informaţii permite
identificarea domeniilor şi sistemelor semnificative.

30
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 Desfăşurarea preliminară a procedeelor analitice este identificată ca o procedură


fundamentală a oricărui proces de audit. Auditorului i se solicită ca, în paralel cu
cunoaşterea activităţii entităţii, să realizeze o analiză preliminară a bilanţului, a
indicatorilor de risc, lichiditate, activitate, profitabilitate şi rezultate, informaţii care îl
vor determina să pătrundă în aşa-zisele „secrete ale situaţiilor financiare”. O astfel de
analiză ar putea deveni mai pertinentă dacă s-ar compara date curente cu cele din anul
precedent pentru elemente precum: cifra de afaceri, costul vânzărilor, profitul brut şi
net, activele imobilizate, stocuri, creanţe, disponibilităţi şi datorii. Scopul acestei
proceduri este de a identifica erorile probabile şi elementele care necesită informaţii
suplimentare sau testări detaliate.
 Evaluarea preliminară a principiului continuităţii activităţii. Abordarea auditului
depinde, în mare măsură de evaluarea preliminară a continuităţii activităţii. În cazul în
care continuitatea activităţii nu mai este sigură, auditorul va analiza toate domeniile
asupra cărora aceast lucru ar avea un impact (standardul de audit 570 „Principiul
continuităţii activităţii”).
 Calculul pragului de semnificaţie. Relevanţa informaţiei este influenţată, în egală
măsură, de natura şi de pragul de semnificaţie a informaţiei respective. Detalii
referitoare la importanţa pragului de semnificaţie global şi la modul de calcul sunt
prezentate în paragraful 2.2.1.
 Analiza posibilelor fraude şi erori
 Evaluarea estimărilor contabile realizate de management. Multe elemente ale
situaţiilor financiare nu pot fi măsurate cu precizie, ci doar estimate. „Estimările
contabile” reprezintă o aproximare a valorii unui element în absenţa unor mijloace de
estimare precise. De exemplu, pot fi necesare estimări referitoare la valoarea creanţelor
incerte, la deprecierea stocurilor, la mărimea valorii reziduale a unei imobilizări
corporale, la durata de viaţă utilă sau la metoda de amortizare. În vederea exprimării
unei opinii cât mai adecvate, auditorul poate să dezvolte un model independent de
evaluare a estimărilor şi să compare rezultatele obţinute cu estimarea contabilă
întocmită de conducerea întreprinderii. În această situaţie, auditorul trebuie să evalueze
datele, să considere ipotezele şi să testeze procedurile de calcul folosite, în vederea
validării deciziilor managementului. Datorită incertitudinilor inerente în estimările
contabile, evaluarea diferenţelor poate fi adesea mai dificilă; acolo unde există o
diferenţă între aprecierea auditorului şi valoarea estimată inclusă în situaţiile financiare,

31
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

auditorul trebuie să determine în ce măsură această diferenţă necesită o ajustare. Dacă


managerul societăţii refuză să revizuiască estimarea, diferenţa va fi considerată o
eroare. Standardul internaţional de contabilitate IAS 8 “Rezultatul net al perioadei –
erori fundamentale şi schimbări de politici contabile” este standardul care dezvoltă
tratamentul contabil al modificărilor în estimările managementului, precizând că o
schimbare de estimare contabilă nu repune în discuţie situaţiile financiare întocmite în
exerciţiile precedente, ci afectează rezultatul exerciţiului curent şi, eventual rezultatul
exerciţiilor viitoare.
 Evaluarea riscului de audit şi a componentelor sale
 Aprecierea nivelului de eşantionare şi a selecţiei acestora.
Pe baza datelor culese de către auditor în cadrul acestei etape, se vor determina
natura şi aria de întindere a lucrărilor ce urmează a fi desfăşurate de către auditor pe
parcursul misiunii şi se vor stabili măsurile organizatorice necesare pentru executarea lor în
condiţii de eficienţă maximă.
2. Alegerea membrilor echipei se va realiza în funcţie de experienţa şi specializarea
lor în sectorul de activitate al entităţii respective, avându-se în vedere gradul de
disponibilitate al acestora şi necesitatea respectării regulilor de etică profesională cu privire
la integritatea, obiectivitatea şi independenţa auditorilor.
3. Repartizarea lucrărilor pe oameni, în timp şi spaţiu: (stabilirea bugetului de timp)
conform modelului prezentat în tabelul 2.1
4. Aprobarea planului de audit din partea partenerului şi informarea în detaliu a
membrilor echipei de audit.
Planul de audit stabilit va sta la baza elaborării unui program detaliat de audit ce va
servi pe de o parte ca un set de instrucţiuni adresat asistenţilor implicaţi în cadrul misiunii,
iar pe de altă parte ca un mijloc de control şi evidenţă a desfăşurării activităţii. Programul
de audit (de lucru), spre deosebire de planul de audit, stabileşte în detaliu lucrările necesare
pentru implementarea strategiei, numărul de ore estimate pentru realizarea fiecărei lucrări
şi persoanele responsabile de execuţia lor.

Modelul unui program de lucru privind lucrările de audit pe anul…..


Client…….
Contract Nr.………..

32
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Personalul afectat
Nume şi Prenume Funcţia Cod
Gheorghe Ion Şef Misiune M1
Radu Stefan Auditor A1
Iancu Alina Auditor junior AA1
Cod Ref. EA12
Nr Cod LUCRAREA Data Buget ore estimate
crt M1 A1 AA1 Total
L. prevăzută
I PA1 Orientarea şi planificarea 2004 7 15 8 30
auditului
1 Cunoaşterea societăţii Feb. 4 3 3 10
1.1 Identificarea domeniilor Feb. 3 6 6 15
semnificative
3 Redactarea planului de audit Feb. 3 2 - 5
II PA1. Contractarea lucrarilor Feb. 6 - - 6
III PA1/ Aprecierea auditului intern Mart. 9 13 18 40
EB.
3.1 Descrierea procedurilor, testelor Mart. 4 10 16 30
de “urmărire”, evaluarea
preliminară
3.2 Teste de control asupra Mart. 5 3 2 10
domeniilor semnificative,
evaluarea finală
IV PC1/ Controlul conturilor Apr. 25 25 10 60
EB1
4.1 Imobilizări necorporale
4.2 Imobilizări corporale
Imobilizări financiare
Stocuri şi produse în curs
…..
V. EA1. Verificarea bilanţului Apr. 15 15 - 30
VI. EA1 Evenimente posterioare Apr. 8 2 - 10
închiderii exerciţiului financiar
VII EA1 Chestionar al sfârşitului Apr. 10 5 - 15
lucrărilor
VIII EA1 Scrisoare de afirmare Apr. 10 - - 10
IX. EA1 Nota de sinteză Apr. 5 10 - 15
X. EA1 Raport de audit Apr. 8 12 - 20
10.1 Raport “scurt” Apr. 2 - - 2
10.2 Raport “lung” Apr. 6 12 - 18
Total buget ore 236
Tabelul nr. 2.1 Modelul unui program de audit11
2.3.1. Pragul de semnificaţie

Practica a demonstrat, în general, că nu există timp suficient pentru a realiza un


audit detaliat. Acesta este şi motivul pentru care auditorul acceptă încă de la începutul

11
Prelucrare după sursa: Toma M., Chivulescu M – „Audit financiar şi certificare a conturilor anuale”

33
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

misiunii sale că va lucra cu o anumită marjă de eroare. El trebuie să stabilească însă care
este mărimea erorii pe care o poate accepta, în cadrul fiecărei misiuni individuale.
Dimensiunea marjei de eroare determină pragul de semnificaţie, recunoscut ca o „graniţă”
de la care auditorul va trebui să detecteze eventualele anomalii semnificative, mărimea şi
natura acestora.
Printre categoriile de risc cu care se confruntă auditorul, se poate aminti şi riscul de
importanţă relativă, caracterizat în documentaţia grupului francez de expertiză şi audit
„Guerard –Viala”12 astfel: „Importanţa relativă nu este un risc în sine, ci un factor
important care permite auditorului să aprecieze amploarea altor riscuri (riscul economic,
riscuri legate de sisteme). Ea se referă, în principal, la valoarea operaţiilor prelucrate sau
susceptibile de a fi prelucrate, dar trebuie să ţină cont, de asemenea, de anumite elemente
calitative (natura rezultatului: profit sau pierdere, inversarea tendinţelor)”.
În abordarea sa, este necesar ca auditorul să ţină cont de acest concept, pentru a
determina:
 sistemele semnificative, pentru care va trebui să se asigure că riscul legat de
controlul intern este cât mai mic posibil. În majoritatea societăţilor, sistemele
semnificative sunt: „vânzări-clienţi”, „cumpărări-furnizori”, „salarizare-
personal”, „producţie-stocuri”, „trezorerie”.
 conturile semnificative, pe care va trebui să le verifice cu o rigoare mai mare. În
general, aceastea sunt toate acele conturi a căror valoare reprezintă o parte
importantă din conturile anuale, cât şi cele care prin natura lor, ar putea fi
susceptibile să reprezinte o parte importantă (ex: provizioane, amortizarea
imobilizărilor, etc.)
 pragul de semnificaţie, care îi va permite să aprecieze dacă erorile dezvăluite
trebuie să fie corectate sau nu, pentru a emite o opinie fără rezerve.
Compania naţională a comisarilor de conturi din Franţa a definit pragul de
semnificaţie astfel: „Pragul de semnificaţie este măsura pe care o poate da auditorul
mărimii, de la care plecând, o eroare, o inexactitate sau o omisiune poate să afecteze
conformitatea cu regulile şi sinceritatea conturilor anuale, cât şi imaginea fidelă a
rezultatului operaţiilor, situaţiei financiare şi patrimoniului întreprinderii”. Astfel el poate fi
privit ca un filtru al calităţii prin care trebuie analizate toate informaţiile furnizate în
situaţiile financiare.
12
N.Feleagă, Îmblânzirea junglei contabilităţii, Editura Economică, Bucureşti 1996.

34
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Definiţia acestui prag permite auditorului, la începutul misiunii, să aprecieze mai


bine sistemele şi conturile susceptibile să conţină erori semnificative, şi la sfârşitul
misiunii, să aprecieze dacă anomaliile, pe care le-a detectat, trebuie să fie corectate la
nivelul respectivului exerciţiu, astfel încât să poată emite o opinie fără rezervă.
În mod inevitabil, se conturează întrebarea: Cum se stabileşte mărimea acestui prag
de semnificaţie? Literatura de specialitate recunoaşte că determinarea pragului de
semnificaţie este subiectivă, iar auditorul trebuie să îşi folosească raţionamentul profesional
în aprecierea acestei mărimi deoarece, din punct de vedere practic, este impropriu a defini
pragul de semnificaţie printr-o formulă matematică atâta timp cât el vizează, în acelaşi
timp, aspecte cantitative şi aspecte calitative. Astfel, din punct de vedere calitativ, pragul de
semnificaţie trebuie luat în considerare atunci când, de exemplu, o prezentare incorectă sau
incompletă a politicilor contabile în notele explicative, ar putea genera interpretări greşite
ale acestor politici.
Normele Minimale de Audit propun alegerea unuia din referenţiale, ca o valoare
cuprinsă în intervalul:
1% - 2%* Active totale
0.5% - 1% * Cifra de afaceri
5% - 10% * Profit inainte de impozitare.
În practică, statistica arată că auditorii aleg ca element de referinţă mărimea
profitului, deoarece acesta pare să reflecte cel mai bine performanţele unei societăţi. Dacă,
de exemplu, nivelul pragului de semnificaţie este stabilit la 10% din mărimea profitului,
orice eroare care egalează sau depăşeşte acest prag, fie individual, fie cumulat este
considerată eroare semnificativă.
Pentru societăţile cu profituri care diferă semnificativ de la un an la altul, profitul
curent nu poate fi considerat ca bază în calculul pragului de semnificaţie. Atunci când
utilizatorii situaţiilor financiare sunt interesaţi de profitul întreprinderii, la calculul pragului
de semnificaţie poate fi considerată o medie a profiturilor pe ultimii 3 ani. La societăţile
care înregistreaza pierderi, pragul de semnificaţie poate fi calculat folosind media
profiturilor din anii precedenţi în condiţii normale sau folosind ca bază de calcul total
active sau cifra de afaceri.
Pragul de semnificaţie astfel determinat nu poate avea decât o semnificaţie
generală, el fiind definit ca un prag de semnificaţie global. El nu trebuie aplicat automat, ci
distribuit la nivelul conturilor şi tranzacţiilor individuale care stau la baza întocmirii

35
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

situaţiilor financiare. Nivelul pragului de semnificaţie stabilit pentru fiecare cont individual
sau fiecare tranzactie poartă numele de prag de semnificaţie individual sau eroare
tolerabilă corespunzătoare contului/tranzacţiei.
O metodă frecvent utilizată constă în divizarea valorii pragului global în funcţie de
ponderea soldului fiecărui cont în totalul conturilor analizate. Spre exemplu, considerând
valoarea de 100.000 u.m., considerată a fi pragul de semnificaţie global, cât este necesar să
se distribuie contului „ Clienţi”, în condiţiile în care acesta deţine o pondere de 20% din
totalul analizat ?:
100.000 u.m. * 20 % = 20.000 u.m
În cazul în care semnificaţia contului analizat este mai mare decât ponderea lui în
totalul conturilor, auditorul poate opta pentru o creştere a pragului de semnificaţie
individual. De asemenea, folosindu-şi experienţa şi raţionamentul profesional, auditorul
poate aprecia dacă anumite conturi sunt mai susceptibile de a prezenta erori, fapt ce-l va
determina la o corecţie similară.
Pragul de semnificaţie se analizează în două etape: în primul rând, la planificarea ariei
de cuprindere a testelor de audit şi, în al doilea rând, la exprimarea opiniei asupra
conturilor anuale.
În etapa de planificare, auditorul va stabili pragul de semnificaţie global, deoarece
această mărime are un impact invers proporţional asupra cantităţii muncii de audit ce
urmează a fi prestate, acţionând ca un ghid pentru extinderea testelor de audit. Evaluarea
pragului de semnificaţie, în raport cu soldurile specifice ale conturilor şi categoriilor de
tranzacţii, ajută auditorul să decidă :
 cât de mult şi ce elemente (tranzacţii, înregistrări) să examineze
 dacă să utilizeze tehnici de eşantionare
 ce nivel de eroare este acceptabil pentru a-l conduce la formularea unei opinii.
La sfârşitul misiunii, valoarea pragului global îi va permite auditorului să aprecieze dacă
erorile constatate trebuie să fie corijate sau să facă obiectul unei menţiuni în raport.

2.3.2. Analiza riscului

Orice entitate este supusă riscurilor: riscuri legate de propria funcţionare a organizaţiei
şi riscuri specifice fiecărei activităţi. În scopul evitării riscurilor inacceptabile, organizaţia
îşi creează propriile măsuri de securitate şi control, tolerând riscurile acceptabile.

36
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

În literatura de specialitate se regăsesc mai multe definiţii asociate conceptului de risc.


Dominique Vincenti13 defineşte riscul ca fiind „ameninţarea ca un eveniment sau o acţiune
să aibă un impact defavorabil asupra capacităţii întreprinderii de a-şi îndeplini cu succes
obiectivele”. Această definiţie poate fi completată cu cea a lexicului din lucrarea „Les mots
de l'audit”: „riscul este un ansamblu de împrejurări care ar putea avea consecinţe negative
asupra unei entităţi şi al căror control intern şi audit au ca misiune tocmai asigurarea unui
bun control asupra acestora”.
Importanţa evaluării riscurilor unei entităţi este marcată atât de impactul negativ ce
poate fi evitat prin dezvoltarea unei politici de protecţie cât şi de probabilitatea ce se poate
evita prin dezvoltarea unei politici preventive. Maxima „E mai uşor să previi decât să
vindeci” îşi regăseşte, în acest context, o aplicabilitate desăvârşită.
Într-un cadrul general, la nivelul unei organizaţii, auditorul se confruntă cu următoarele
categorii de riscuri:
 riscuri legate de situaţia economică a entităţii
 riscuri legate de organizarea generală a entităţii
 ricuri legate de conceperea şi funcţionarea sistemelor precum:
o riscuri legate de complexitatea metodelor (contabile, tehnice,..)
o riscuri legate de auditul intern (ex: riscuri asociate sistemului informaţional)
o riscuri legate de atitudinea managerilor.

Riscul de audit

Riscul de audit, în concordanţă cu standardul de audit 400 "Evaluarea riscurilor şi


controlul intern", reprezintă „riscul pe care auditorul îl atribuie unei opinii de audit
neadecvate, atunci când situaţiile financiare conţin informaţii eronate semnificative.” Din
acest motiv, auditorii urmăresc încă din momentul acceptării misunii şi, ulterior, pe tot
parcursul acesteia identificarea riscurilor la care este expusă societatea. Cunoaşterea
factorilor de risc îl vor ajuta pe auditor să-şi concentreze atenţia asupra punctelor esenţiale
evitând, astfel, să omită aspectele fundamentale sau să se piardă în detalii inutile. În esenţă,
riscul de audit trebuie evaluat foarte bine, deoarece nu doar un audit superficial ci şi
aplicarea unor proceduri prea detaliate pot avea efecte negative asupra procesului de audit.

13
Dominique Vincenti –„Dresser une cartographie des risques”, Revista de Audit 144, citata de Jacques
Renard în „Teoria şi practica auditului intern”.

37
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Această etapă de identificare a riscurilor va permite auditorului să-şi creeze un plan de


acţiune ţinând cont nu doar de ameninţările sistemului în sine ci şi de ceea ce s-a
implementat deja pentru a le face faţă.
Obiectivul principal al auditorului este de a proiecta şi implementa proceduri de
audit care să-i permită reducerea riscului de audit la un nivel acceptabil. Această evaluare,
recunoscută de literatura de specialitate şi legislaţia în vigoare ca o etapă obligatorie în
cadrul unei misiuni de audit, nu se realizează cu ajutorul unei metode unice şi riguroase.
Riscul de audit se manifestă prin componentele sale de bază: risc inerent, risc de
control şi risc de nedetectare şi poate fi stabilit atât în termeni cantitativi (în procente) cât
şi în termeni calitativi (risc scăzut, moderat, ridicat sau foarte ridicat). Chiar dacă
experienţa practică evidenţiază o alegere frecventă a termenilor calitativi, standardele de
audit propun modelul matematic de determinare a riscului de audit, elaborat de AICPA
("Accounting Principles and Auditing Standards") în 1988, de forma:

RA = RI * RC * RND
în care:
RA - riscul de audit;
RI - riscul inerent;
RC - riscul de control;
RND -riscul de nedetectare.
Riscul inerent, reprezintă susceptibilitatea ca soldul unui cont sau al unei categorii
de tranzacţii să conţină erori semnificative, fie individual, fie cumulate cu erorile altor
solduri. Conform Standardelor internaţionale de audit, pentru evaluarea riscului inerent,
auditorul recurge la raţionamentul profesional având în vedere evoluţia clientului în ultimii
ani şi a sectorului în general. Acest risc inerent este analizat, mai întâi, ca un risc inerent
general, pe baza unui set de întrebări ce vizează 4 domenii: management, contabilitate,
afaceri şi audit. Astfel, riscul inerent general poate fi sporit sau diminuat de o serie de
factori, atât la nivelul situaţiilor financiare (reprezentaţi în figura 2.4) cât şi la nivelul
conturilor, al balanţei de verificare.

38
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Integritatea Factori care afectează


managementului ramura economica în
care societatea îşi
desfăşoară activitatea

Experienţa, competenţa
conducerii Risc Inerent Practicile contabile

Presiuni neobişnuite Tranzacţii care nu fac


asupra conducerii în mod obişnuit
pentru menţinerea obiectul prelucrărilor
nivelului profitabilităţii contabile
sau pentru atingerea unor
obiective

Figura nr. 2.4 Factori de influenţă a riscului inerent, la nivelul situaţiilor financiare

După evaluarea riscului inerent general se va analiza riscul inerent specific ataşat unui
domeniu de audit (stocuri, creanţe, imobilizări corporale şi necorporale,...), ce evidenţiază
apariţia unor informaţii eronate semnificative. Aprecierea riscului inerent specific se va
realiza pe baza unui chestionar format din 6 întrebări, propus în Normele Minimale de
Audit, fiecare întrebare primind un răspuns pozitiv sau negativ:
1. Sistemele sunt predispuse la erori/sistem inadecvat/sistem manual necomputerizat?
2. Contabilii responsabili de acest domeniu sunt slab pregătiţi?
3. Tranzacţii complexe (natura tranzacţiei şi nu modul de înregistrare a acesteia)?
4. Suscpiciuni privind existenta fraudelor/pierderilor?

5. Pierderea foilor de calcul/schemelor de rationament ale clientului?

6. Tranzacţii neobişnuite (natura tranzacţiei sau natura prelucrării în afara sistemului)?

Riscul de control este riscul asociat carenţelor sistemului de control intern, care nu
va putea permite sesizarea erorilor posibile din situaţiile financiare (riscul ca sistemul
controlului intern să nu prevină sau să detecteze erori).
În general, după obţinerea înţelegerii sistemelor de contabilitate şi control intern, auditorul
va face o evaluare preliminară a riscului de control la nivelul aserţiunii, pentru fiecare sold
de cont sau categorie de tranzacţii. Apoi, după desfăşurarea testelor de control, se va

39
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

realiza o reevaluare a riscului de control pentru ca, în final, înainte de concluzionarea


auditului, pe baza procedurilor de fond şi a altor probe de audit, auditorul va aprecia dacă
evaluarea este confirmată.
Riscul inerent şi riscul de control nu pot fi controlate de auditor, aceste riscuri există
independent de activitatea de audit, dar ele pot fi evaluate şi determină proiectarea
procedurilor de fond care vor menţine riscul de detecţie la un nivel acceptabil (figura 2.5).
Riscul inerent şi riscul de control sunt intercorelate iar o evaluarea separată a acestora
poate conduce la o apreciere necorespunzătoare a riscului de audit.

Determinarea unui nivel


acceptabil a
Riscului de Audit (5%)

Documentarea si
investigarea
Riscului de Control

Analiza informatiilor
despre industrie,.. Evaluarea
Riscului de Control

Desfaşurarea Testelor
Evaluarea de Control
Riscului Inerent

Reevaluarea Riscului
de Control

Calcularea
Riscului de Nedetectare

Proiectarea
procedurilor de fond

Figura nr. 2.5 Proiectarea procedurilor de fond pe baza riscului de nedetectare

Riscul de nedetectare, singurul risc controlat de auditor – direct legat de procedurile


de fond aplicate de acesta, cuprinde la rândul său:
1. Riscul provenit din folosirea tehnicilor statistice (riscul de eşantionare), statistica nu
deţine calitatea exprimării fidele a caracteristicilor populaţiei din care a fost extras

40
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

eşantionul. O importanţă deosebită trebuie acordată şi eşantionului de date ce vor fi


controlate, pe baza cărora auditorul poate formula diferite opinii şi recomandări,
eşantion care poate reprezenta un factor de risc (riscul de eşantionare).
2. Riscul provenit din afara sondajului, care corespunde posibilităţii ca auditorul să nu
utilizeze procedurile de audit cele mai adecvate sau să nu aplice corect o anumită
procedură de audit şi, nu în ultimul rând, interpretarea greşită a rezultatelor
obţinute.
Riscul de nedetectare este invers proportional cu riscurile inerente şi de control. Astfel,
pentru realizarea unui risc de audit scăzut (în practica, valoarea de 5% este considerată
acceptabilă), auditorul trebuie să stabilească un nivel al riscului de nedetectare mic, în
cazul în care riscurile de control şi inerente sunt ridicate.
O sinteza grafică a componentelor riscului de audit este realizată în figura 2.3.

Figura nr.2.3. Componentele riscului de audit

2.3.3. Eşantionarea

În general, din consideraţii de timp şi de cost, auditorul nu examinează totalitatea


informaţiilor la care are acces pentru a-şi colecta elementele probante cu privire la sistemul
contabil şi de control intern, ci aplică o metodă tradiţională de selectare a datelor numită
eşantionare.
Standardul de audit 530 „Eşantionare în audit şi alte proceduri selective de testare”
defineşte procesul de eşantionare ca fiind „ aplicarea procedurilor de audit pentru mai puţin
de 100% din elementele din cadrul soldului unui cont sau a unei clase de tranzacţii astfel

41
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

încât toate elementele să aibă posibilitatea de a fi selectate”. Scopul final al acestei


activităţi va fi formularea unei concluzii referitoare la populaţia din cadrul căreia a fost
extras eşantionul, în urma analizei şi evaluării acestuia. În audit, eşantionarea poate folosi
atât o abordare statistică, cât şi una non-statistică.
Eşantionarea statistică are în vedere, întotdeauna, întreaga populaţie şi este o bază
„ mai ştiinţifică” pentru exercitarea raţionamentului profesional al auditorului, obiectivul
metodei fiind determinarea mărimii eşantionului şi a criteriului de selectare.
Eşantionarea prin metode nestatistice implică o doză de subiectivism, bazându-se
pe o selecţie pe bază de hazard – auditorul folosindu-şi raţionamentul profesional atât în
determinarea mărimii eşantionului şi a criteriului de selecţie, cât şi în interpretarea
rezultatelor. Ambele metodele implică o serie de incertitudini concretizate într-un risc de
eşantionare. Întotdeauna, auditorul este supus riscului de a ajunge la concluzii diferite de
cele la care s-ar fi ajuns printr-un control exhaustiv. În esenţă, eşantionul, deşi corect
realizat, nu este reprezentativ pentru populaţia analizată; în acest sens, statistica oferă o

x − x0
regulă de verificare a reprezentativităţii unui eşantion într-o populaţie *100 ≤ 5% ,
x0

unde x - este media populaţiei, x0 - este media eşantionului.


În cadrul misiunii sale, auditorul poate aplica această tehnică – atât asupra testelor
de control, când auditorul caută să demonstreze că elementele care constituie populaţia
prezintă o caracteristică comună (spre exemplu avizarea contractelor de leasing încheiate,
sau autorizarea datelor de intrare într-un sistem de procesare automată) - cât şi asupra
procedurilor de fond, când auditorul urmăreşte verificarea unei anumite valori din
situaţiile financiare (de exemplu existenţa creanţelor).
Tehnica de eşantionare necesită un demers logic, implicând o succesiune de alegeri
raţionale (precum mărimea eşantionului, gradul de precizie, nivelul de încredere) care, în
final, pot aduce dovezi convingătoare în cazul unor arbitraje inerente. Utilizarea
eşantioanelor în aplicarea testelor de audit, implică, de regulă, următoarele etape:
1. Determinarea obiectivelor testului ce va fi aplicat
2. Definirea populaţiei
3. Determinarea metodei de eşantionare
4. Calcularea mărimii eşantionului
5. Selectarea eşantionului

42
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

6. Evaluarea rezultatelor
1. Determinarea obiectivului
Eficacitatea aplicării unei tehnici de eşantionare este determinată de definirea precisă a
obiectivelor sale, auditorul subliniind ce urmăreşte să demonstreze, să probeze (spre
exemplu, un astfel de obiectiv poate viza validitatea conturilor clienţilor entităţii auditate ).
2. Determinarea populaţiei
Ansamblul datelor – în fapt, populaţia – asupra căruia auditorul doreşte să ajungă la o
concluzie şi din care urmează să preleveze eşantionul corespunzător trebuie să fie în
concordanţă cu obiectivul stabilit în etapa anterioară.
O analiză a populaţiei se impune a fi realizată şi ea vizeză, pe de o parte,
exhaustivitatea – completitudinea populaţiei considerată a fi supusă controlului şi, pe de
altă parte, omogenitatea (natura şi structura) acesteia, pentru că o extrapolare a rezultatelor
unui eşantion are valabilitate doar într-o populaţie rezonabil omogenă. În situaţia în care
populaţia nu este omogenă, se impune stratificarea acesteia în vederea obţinerii unor
rezultate pertinente, proces ce constă în divizarea unei populaţii în subpopulaţiii, având
caracteristici comune.
3. Calculul mărimii eşantionului
Literatura de specialitate, în speţă statistica, recunoaşte implicaţiile majore ale anumitor
caracteristici în vederea determinării eşantionului:
 Coeficientul de încredere, definit ca o expresie procentuală a probabilităţii că
eşantionul ales este reprezentativ pentru populaţie. Un procent de 95%, spre
exemplu, va avea implicaţii asupra mărimii eşantionului definindu-l ca un eşantion
mare. Riscul de eşantionare este complementul acestei mărimi, fiind exprimat ca:
Riscul de eşantionare =1- Coeficientul de încredere.
Adeseori aceste mărimi pot fi determinate plecând de la ecuaţia riscului de audit,
RA = RC * RI * RND, în care RND=RE * RNE
şi având ca premise cunoscute, spre exemplu:
Risc inerent (RI)= 70%
Risc de control(RC)= 100%
Risc de neeşantionare(RNE)=70%
Risc de audit (RA)=5%, de obicei se consideră o constantă.
RA 5%
RE = = = 10% şi, implicit,
RC * RI * RNE 100% * 70% * 70%

43
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Coeficientul de încredere = 90%


 Marja de eroare reprezintă o estimare a erorilor care ar putea exista (marja de
eroare aşteptată)
Marja de eroare efectivă reprezintă dimensiunea abaterii descoperite efectiv în urma
aplicării testelor de audit asupra eşantionului.
Marja de eroare tolerabilă reprezintă marja de eroare maximă pe care auditorul este dispus
să o accepte.
 Deviaţia standard a populaţiei (abaterea medie pătratică)
În accepţiunea unei selecţii aleatoare simple, deviaţia standard se calculează astfel:
N N

σ0 = ∑ ( xi − x 0 ) 2 , unde x0 = ∑x
i =1
i
i =1

N N

xi - elementele populaţiei

N – mărimea populaţiei
x0 - media populaţiei

Mărimea eşantionului (n), poate fi determinată pe baza relaţiei14:


z 2 * σ 02
n = 2 z 2 * σ 02
∆x +
N
unde: ∆ X - marja de eroare tolerabilă, care implementată în procesul de audit nu este
altceva decât pragul de semnificaţie individual, stabilit de auditor.
N – populaţia
z 2 - reprezintă argumentul funcţiei Gauss-Laplace pentru probabilitatea cu care se
garantează rezultatele.
Intervalul de încredere al mediei:
x − ∆ x < x0 < x + ∆ x

Literatura de specialitate15, propune şi altă metodă de determinare a eşantionului,


mult utilizată în practica cabinetelor de audit.

14
Lilea E., Goschin Z. – Statistica aplicată, Ed. Tribuna Economică, Bucureşti, 2002.
15
ACCA, Study text – Accounting and Audit Practice, nr 10, 2000

44
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Factor de încredere
Mărime eşantion =
Precizie (exprimatã în %)
în care factorul de încredere este furnizat de tabelulul 2.2 şi depinde de cei doi parametri:
gradul de încredere şi numărul de erori estimate.
Numărul Gradul de încredere asociat eşantionării
70% 80% 90% 95% 99%
de erori
0 1.21 1.61 2.31 3.00 4.61
1 2.44 3.00 3.89 4.75 6.64
2 3.62 4.28 5.33 6.30 8.41
3 4.77 5.52 6.69 7.76 10.05
Tabelul 2.2 Valorile asociate factorului de încredere16

Precizia este, teoretic, eroarea tolerabilă, apreciată adeseori ca 75% sau 50% din pragul de
semnificaţie individual.
În acest context, un exemplu de determinare a mărimii unui eşantion, plecând de la
premisele cunoscute:
Eroarea tolerabila = 5%.
Ccoeficientul de încredere =95% Factor de încredere = 3
Nr. erori asteptate =0
conduc la următorul rezultat - Mărimea eşantionului = 3 / 5% = 60 elemente
O analiză a variaţiei acestor elemente, transpusă în tabelul 2.3 generează următoarele
concluzii:
Eroare Grad de Număr de erori Mărime
tolerabila încredere aşteptate eşantion
5% 95% 0 60
7% 95% 0 43
5% 90% 0 46
5% 95% 1 95
Tabelul nr. 2.3 Variaţia factorilor ce determină mărimea eşantionului

 o creştere a erorii tolerabile, pe care auditorul o poate accepta, determină o


micşorare a dimensiunii eşantionului;
 o reducere a nivelului de încredere conduce la o micşorare a dimensiunii
eşantionului;

16
prelucrare după I.Gray, S.Manson – „The audit process: principles, practice and cases”, ed. 2000.

45
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 o creştere a numărului de erori, la care auditorul se aşteaptă, determină o creştere a


mărimii eşantionului.
În termeni valorici, formula devine:
Valoarea populatiei * Factor de încredere
Mărime Eşantion =
Eroarea Tolerabila
şi
Valoarea populatiei Eroarea Tolerabila
Intervalul eşantionului = =
Marime esantion Factor de incredere
În acest caz, considerându-se cunoscute datele de intrare:
Valoarea populatiei = 5.000.000 u.m.
Eroarea tolerabila = 200.000 u.m.
Coeficientul de încredere =95% Factor de încredere = 3

Nr. erori asteptate =0


Rezultatul final va fi:
Mărime eşantion = 3 * 5.000.000 / 200.000 = 75 elemente
Interval eşantion = 5.000.000 / 75 = 66.666 u.m.

Determinarea mărimii eşantionului se realizează în funcţie de anumiţi factori care


diferă atunci când este vorba de aplicarea eşantionării în cazul testelor de control sau
procedurilor de fond, factori ce pot fi identificaţi în tabelele 2.4 şi 2.5.
Factor Efectul asupra dimensiunii eşantionului
Micşorare Creştere
Increderea declarată de auditor în Creşterea evaluării Reducerea Riscului de
sistemul contabil şi de control intern preliminare a Riscului de control (o creştere a
şi, de aici, evaluarea ricului de control încrederii în sistemul de
control control intern)
Creşterea ratei de deviaţie Reducerea ratei de
Eroarea tolerabilă pe care o poate accepta deviaţie pe care o poate
accepta
Reducerea numărului de Creşterea numărului de
Eroarea aşteptată erori, la care auditorul se erori, la care auditorul se
aşteaptă aşteaptă
Nivelul de încredere necesar Nivel redus de încredere Nivel crescut de încredere
auditorului
Numărul de elemente în populaţie Efect neglijabil
Tabelul nr. 2.4 Factori care influenţează dimensiunea eşantionului în cazul testelor de control

46
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Factor Efectul asupra dimensiunii eşantionului


Micşorare Creştere
Evaluarea Riscului Inerent Reducerea Riscului Creşterea Riscului
Inerent Inerent
Evaluarea Riscului de Control Reducerea Riscului de Creşterea Riscului de
control control
Utilizarea altor proceduri de fond Creşterea utilizării altor Reducerea utilizării
pentru aceeaşi aserţiune din procedee de fond altor procedee de fond
situaţiile financiare
Creşterea ratei de Reducerea ratei de
Eroarea tolerabilă deviaţie, pe care auditorul deviaţie, pe care
o poate accepta auditorul o poate
accepta
Reducerea numărului de Creşterea numărului de
Eroarea aşteptată erori, la care auditorul se erori, la care auditorul
aşteaptă se aşteaptă
Nivelul de încredere necesar Nivel redus de încredere Nivel crescut de
auditorului încredere
Numărul de elemente în populaţie Efect neglijabil
Stratificarea Stratificarea în Nu se aplică stratificarea
populaţie, dacă este
cazul
Tabelul nr.2.5 Factori care influenţează dimensiunea eşantionului în cazul procedurilor de fond

4. Selectarea eşantionului
Principiul care guvernează procesul de selectare a elementelor dintr-o populaţie, în
vederea formării unui eşantion, este acela că fiecare individ trebuie să aibă o şansă egală de
a fi ales. Literatura de specialitate (statistica) recunoaşte diferite metode de selecţie:
 Selecţie aleatorie
 Selecţie sistemică – ce urmăreşte tehnica: se stabileşte un punct de pornire, de la
care, aplicând un pas fix se alege fiecare element.
 Selecţie în bloc – alegerea spre exemplu dintr-un total de 100 de elemente pe cele
corespunzătoare poziţiilor 55-70.
 Selecţie pe bază de hazard „ aşa zisa alegere cu ochii închişi”.
Odată stabilit eşantionul, auditorul va proceda la testarea rezultatelor acestuia, în
conformitate cu obiective de audit stabilite.

47
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

5. Evaluarea rezultatelor
Erorile constatate asupra eşantionului se vor extrapola la populaţia din care a rezultat,
metoda de extrapolare fiind întotdeauna compatibilă cu metoda de prelevare a eşantionului.
a) Metoda valorică
Valoarea populatie
Eroare în populaţie =Eroare găsită în eşantion *
Valoare esantion
Spre exemplu, să presupunem că auditorul a selectat un eşantion a cărui valoare este
apreciată la 400.000 u.m.(unităţi monetare), dintr-o populaţie de 5.000.000 u.m. În urma
aplicării procedurilor de fond, el va constata o eroare la nivelul eşantionului de 9.000 u.m.
Extrapolând această eroare, la întreaga populaţie, se va observa că aceasta este de:
5.000.000
9.000 u.m. * = 112.500 u.m.
400.000
Aşadar, valoare auditată a populaţiei = 5.000.000 u.m. – 112.500 u.m. = 4.887.500 u.m.
Asociat acestui caz, alte probleme ce pot apărea, sunt remarcate atunci când populaţia este
neomogenă, situaţie în care se impune stratificarea acesteia în vederea obţinerii unor
rezultate pertinente.

b) Metoda numerică, asociată numărului elementelor dintr-o populaţie sau eşantion.


Nr. elemente populatie
Eroare în populaţie =Eroare găsită în eşantion *
Nr. elemente esantion
Un exemplu similar metodei precedente, poate fi descris astfel: se consideră o populaţie
formată din 400 elemente, din care auditorul va selecta un eşantion de 20 elemente. În
urma testelor desfăşurate, se constată o eroare la nivelul eşantionului de 9.000 u.m., pe care

400
extrapolând-o la nivelul populaţiei va fi de: 9.000 u.m. * = 180.000 u.m.
20

2.4.Evaluarea controlului intern şi a sistemului contabil

2.4.1 Analiza structurii şi funcţionalităţii sistemului contabil

Sistemul contabil al unei entităţi este format din ansamblul de metode şi documente
utilizate pentru a identifica, colecta, analiza, înregistra şi raporta tranzacţiile acesteia.
Auditorul trebuie să dispună de o înţelegere suficientă a acestuia pentru a putea identifica

48
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

categoriile de tranzacţii, înregistrările semnificative din contabilitate, documentele


justificative, fluxul contabil şi raportarea situaţiilor financiare – toate acestea având drept
scop minimizarea posibilităţilor de producere a erorilor, lipsurilor din gestiune şi a
fraudelor. De asemenea, el este interesat de referenţialul contabil aplicat în cadrul
societăţii, pentru a putea realiza o verificare a realităţii cu reglementările legale.
O societate românească care aplică Ordinul ministrului finanţelor publice
nr.94/2001 întocmeşte, prezintă şi publică următoarele situaţii financiare:
 un bilanţ
 un cont de profit şi pierdere
 un tablou al variaţiilor capitalurilor prorpii
 un tablou al fluxurilor de trezorerie
 politicile contabile şi notele explicative, care reprezintă informaţii suplimentare
referitoare la situaţiile financiare principale şi prezentarea metodelor contabile
aplicate în societate.
În cadrul activităţii sale, auditorul va stabili prin proceduri proprii de control dacă:
 tranzacţiile au fost înregistrate în mod cronologic în conturile contabile
corespunzătoare, cu sumele înscrise în documentele justificative şi, ulterior, va
verifica dacă se regăsesc în documentele de sinteză şi situaţiile financiare de
închidere a exerciţiului;
 tranzacţiile sunt executate în concordanţă cu autorizarea conducerii;
 accesul la activele societăţii, la documentele de evidenţă şi înregistrările contabile
este permis doar în conformitate cu autorizarea conducerii;
 este efectuată inventarierea generală a activelor şi pasivelor societăţii şi, ulterior,
corelarea înregistrărilor din conturi cu realităţile înscrise în inventare.
O bună înţelegere a sistemului de contabilitate utilizat de client, îl poate determina
pe auditor să aprecieze în ce măsură acest sistem generează situaţii financiare de încredere.
2.4.2 Analiza structurii şi funcţionalităţii controlului intern: evaluarea performanţelor
controlului intern

Cunoaşterea de către auditor a sistemului contabil şi de control intern permit o


planificare şi o dezvoltare eficientă unei misiuni de audit, deoarece ea va avea implicaţii în
evaluarea riscului de control şi a procedurilor ce vor fi utilizate cu scopul de a reduce riscul

49
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

misiunii la un nivel minim acceptabil. Ca principiu de bază, în orice misiune de audit,


auditorul are obligaţia de a testa sistemul contabil şi de control intern, testare ce-i va
permite formularea unei aprecieri cu privire la măsura în care sistemele respective
funcţionează în conformitate cu nevoile informaţionale ale entităţii.
Sistemul de control intern la nivelul unei organizaţii poate fi definit ca ansamblul
„procedurilor şi politicilor adoptate de conducere ce asistă la îndeplinirea obiectivelor
manageriale privind asigurarea:
• unei conduceri sistematice şi eficiente a activităţilor, inclusiv aderarea la politicile
manageriale
• prevenirea şi detectarea fraudelor şi erorilor
• acurateţea şi exhaustivitatea înregistrărilor contabile
• pregătirea în timp util a înregistrărilor financiare credibile.”17
Importanţa controlului intern a fost recunoscută în literatura de specialitate18 de mai bine
de jumatate de secol. Încă din 1947, o publicaţie americană „Controlul intern” cita
următorii factori care contribuie la creşterea gradului de recunoştere a importanţei
controlului intern:
1. scopul şi dimensiunea entităţilor de afaceri au devenit atât de complexe încât
managementul trebuie să se bazeze pe numeroase rapoarte şi analize pentru un
control eficient al tranzacţiilor.
2. verificarea şi recapitularea într-un sistem bun de control intern permite protecţia
împotriva slăbiciunilor umane şi reduce posibilitatea apariţiei erorilor.
3. este impracticabil pentru specialişti să auditeze majoritatea companiilor, fără a se
baza pe sistemul de control intern al clientului.
În 197719, Ordinul Experţilor Contabili din Franţa definea Controlul Intern ca
„ reprezentând totalitatea măsurilor de securitate care contribuie la deţinerea controlului
asupra întreprinderii. El are drept scop, pe de o parte, asigurarea protecţiei, asigurarea
patrimoniului şi calitatea informaţiei, iar pe de altă parte aplicarea instrucţiunilor
conducerii şi favorizarea îmbunătăţirii performanţelor.” Această definiţie este înlocuită:
 de cea emisă de Comitetul Consultativ de Contabilitate „Consultative
Committee of Accountacy”, din Marea Britanie, în 1978, conform căreia

17
Audit financiar 2000 – Standarde de audit, Ed. Economică, 2000.
18
Graham W. Cosserat – „Modern Auditing”, Ed. John Wiley & Sons, New York, 2000.
19
citat de Jacques Renard – „Theorie et pratique de l'audit interne”, Ed. d 'Organisation, Paris, 2002.

50
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

„Controlul Intern cuprinde totalitatea sistemelor de control, financiare şi de altă natură,


implementate de conducere pentru a putea desfăşura afacerile întreprinderii într-o manieră
ordonată şi eficace, pentru a asigura respectarea politicilor de gestiune, pentru a proteja
activele şi pentru a garanta, pe cât posibil, exactitatea şi stadiul complet al informaţiilor
înregistrate”.
 şi de cea emisă de Institutul American al Contabililor Publici Certificaţi
„American Institute of Certified Public Accountants”, în anul 1978. În
conformitate cu această definiţie,
„Controlul intern este format din Planurile de organizare şi din toate metodele şi
procedurile adoptate în interiorul unei întreprinderi pentru a proteja activele, pentru a
controla exactitatea informaţiilor furnizate de către contabilitate, pentru a creşte
randamentul şi a asigura aplicarea instrucţiunilor conducerii”
Definiţiile prezentate anterior, deşi aparent diferite, în esenţă ele apreciază Controlul Intern
ca fiind un „ansamblu de dispozitive implementate de către responsabilii de la toate
nivelurile pentru a deţine controlul asupra funcţionării activităţilor lor”. Comitetul de
Sponsorizare a Organizaţiilor Comisiei Treadway - COSO (Committee of Sponsoring
Organisations), creat în SUA, definea în 1992 controlul intern ca un „proces efectuat de un
consiliu de directori, creat pentru a oferi o asigurare rezonabilă în ceea ce priveşte
realizările din următoarele categorii:
 relevanţa raportării financiare
 concordanţa cu legislaţia şi reglementările în vigoare
 eficienţa şi relevanţa operaţiunilor.”
Controlul intern are o sferă largă de cuprindere, extinzându-se dincolo de acele
aspecte ce au legătură directă cu funcţiile sistemului contabil şi cuprinde:
 Mediul de control, care reprezintă atitudinea generală şi acţiunile întreprinse de
conducere privind sistemul de control intern, cu efecte asupra procedurilor de
control aplicate, importanţa acordată controlului în cadrul organizaţiei.
Factorii reflectaţi în mediul de control sunt reprezentaţi în figura 2.6.

51
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Filozofia managerială şi stilul Politicile şi procedurile de


său de operare afectează modul personal, gradul în care
în care este administrată o angajaţii conştientizează rolul
organizaţie indiferent de pe care îl au în atingerea
domeniul său de activitate obiectivelor organizaţiei

Mediul de
control
Separarea îndatoririlor
Structura organizatorică a
entităţii este cel mai adesea
rezultatul filozofiei manageriale
şi ea reprezintă cadrul general Funcţia de audit intern
în care activităţile entităţii pot
fi planificate, executate,
controlate şi monitorizate.

Figura nr.2.6 Factorii reflectaţi în mediul de control

Un mediu de control solid nu poate, prin el însuşi, să asigure eficacitatea sistemului de


control intern, fapt pentru care este necesar a fi completat de procedurile proprii de control.
 Procedurile de control, pe care entitatea le-a stabilit cu scopul de a preveni sau
detecta şi corecta erorile sunt reprezentate de o serie de politici şi regulamente
interne, ce vizează:
 Verificarea instrumentării înregistrărilor atât sub aspect tehnic cât şi din punct de
vedere al acurateţei aritmetice;
 Controlul documentelor primare şi aprobarea lor;
 Controlul aplicaţiilor informatice şi a sistemului informaţional. Aceste operaţii
vizează atât controlul dezvoltării sistemul informatic existent cât şi controlul
accesului la date şi programe.
 Verificarea conturilor individuale şi a balanţei de verificare;
 Analiza datelor interne cu surse de informaţii externe;
 Comparaţii ale rezultatelor inventarierii (monetarul din casierie, stocurile, titlurile
de participare) cu modul de înregistrare în contabilitate;
 Comparaţii ale valorilor previzionate cu rezultatele financiare obţinute.
Toate aceste politici definite şi măsuri întreprinse oferă conducerii o asigurare
rezonabilă că obiectivele vor fi atinse, deşi pot apărea o serie de limite inerente, precum:

52
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 costul controlului intern nu trebuie să depăşească beneficiile previzionate ce derivă


din acesta;
 în general, controalele interne tind să fie direcţionate mai curând spre tranzacţii de
rutină decât spre tranzacţii neobişnuite;
 există riscul apariţiei erorilor umane cauzate de neglijenţă, neatenţie, raţionamente
neprofesionale sau neînţelegerea normelor contabile;
 sustragerea de la efectuarea controalelor interne prin înţelegeri tacite între un
membru al conducerii şi un angajat.
Atât legislaţia în vigoare, cât şi literatura de specialitate nu menţionează elementele ce
trebuie testate pentru o evaluare a controlului intern, motiv pentru care auditorul trebuie să-
şi folosească raţionamentul profesional şi experienţa proprie în aceast sens.

Pentru o evaluare corectă a controlului intern, auditorul realizează o serie de investigaţii:


 Descrierea procedurilor de culegere şi prelucrare a datelor în sistemul existent,
cu scopul de a determina pentru fiecare domeniu semnificativ (vânzări,
cumpărări,etc.), care sunt procedeele folosite de entitate pentru culegerea
informaţiilor, prelucrarea datelor, înregistrarea operaţiunilor în contabilitatea
sintetică şi analitică, modul de întocmire a documentelor primare şi de verificare a
lor, circulaţia şi arhivarea acestora.
În general, pentru a înţelege sistemul contabil şi de control intern, auditorul se bazează
pe experienţa sa anterioară în entitate şi recurge la diverse tehnici: discuţii cu persoane din
conducere şi salariaţi cu privire la documente (fişa postului, organigrame), verificarea
documentelor şi înregistrărilor contabile cât şi observarea activităţilor şi operaţiilor
entităţii.

 Testele de „urmărire”( teste de conformitate20), ce au ca obiect obţinerea


confirmării că descrierea procedurilor din etapa anterioară a fost corect înţeleasă şi
corespunde procedurilor aplicate în entitatea respectivă (altfel spus, ele permit
verificarea existenţei procedurii şi nu asigurarea că ea este bine aplicată). Testul în
sine implică un traseu al tranzacţiilor prin sistem şi observarea controlalelor
operaţionale. Natura şi întinderea testelor de urmărire efectuate de auditor pot

20
Toma Marin, Marius Chivulescu – Audit financiar şi certificare a conturilor anuale

53
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

furniza probe adecvate de audit, dar ele singure nu sunt suficiente pentru a aprecia
un risc de control la un nivel redus.
 Evaluarea preliminară a riscului de control
După o descriere a organizării controlului intern în cadrul entităţii, se poate realiza o
evaluarea preliminară a acestuia, punându-se astfel în evidenţă punctele forte şi slabe ale
sistemului existent, toate acestea concurând la determinarea ariei testelor de control ce vor
fi realizate în faza următoare.

 Testele de control (recunoscute şi sub numele de teste de permanenţă) sunt


efectuate pentru obţinerea probelor de audit privind eficienţa sistemului de
contabilitate şi de control intern şi a modului de desfăşurare al controalelor interne
de-a lungul perioadei. Cu titlu exemplificativ, Standardele de audit prevăd că aceste
teste de control pot include :
 Verificarea documentelor justificative care vizează o operaţie în vederea aprecierii
autorizării acesteia;
 Investigarea şi observarea controalelor interne care nu au lăsat nici o urmă de audit
(spre exmplu, auditorul trebuie să stabilească persoana care exercită o anumită
funcţie, deoarece în practică se poate întâmpla ca aceasta să fie diferită de cea
prevăzută în fişa postului);
 Verificarea modului de funcţionarea a controlului intern (de exemplu, prin
solicitarea de confirmări de la bancă, pentru a se asigura că aceste operaţiuni au fost
corect înregistrate).

 Evaluarea finală a riscului de control şi redactarea unei scrisori preliminare


privind eficienţa sistemului de control intern. În baza tuturor probelor de audit,
auditorul conştientizează carenţele sistemului de contabilitate şi de control intern şi
informează conducerea întreprinderii asupra erorilor semnificative pe care le-a
depistat.

54
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

2.5. Probe şi teste de audit

2.5.1 Probe de audit


În cadrul procesului de audit, auditorul colectează elemente probante care pot
susţine, justifica opinia sa de audit. Legislaţia în vigoare, inclusiv Standardele de audit nu
oferă un model standardizat al raportului de audit, a chestionarelor utilizate, a dosarului de
audit, foilor de lucru, ci pune un accent deosebit pe raţionamentul profesional al
auditorului. În acest sens, orice afirmaţie a acestuia trebuie să fie justificată şi documentată.
Termenul "probe de audit" însumează toate informaţiile obţinute de auditor, dintr-o
combinaţie adecvată de teste de control şi proceduri de fond, atât din interiorul societăţii
auditate cât şi din exteriorul acesteia. Acestea se regăsesc adesea sub forma elementelor
reprezentate în figura 2.7:

Confirmări primite de la Discuţii cu


partenerii socităţii : bănci, angajaţii societăţii
furnizori, clienţi, alţi auditate, cu
auditori, evaluatori managerii acesteia

PROBE
DE
Documentele contabile
şi primare ce stau la baza Reglementări
situaţiilor financiare contabile
(facturi, chitante,
contracte, procese
verbale, balanţa de
verificare, registrul jurnal)

Figura nr. 2.7 Probe de audit

Principala condiţie a acestui semnificativ volum de documente este validitatea


informaţiei pe care o conţine. Auditorul nu lucrează plecând de la ipoteze, ci se bazează pe
certitudini astfel încât informaţiile culese să fie fiabile, relevante şi utile, iar constatările
făcute să fie justificate şi, în consecinţă, incontestabile.
Caracterul just al elementelor probante se apreciază în funcţie de relevanţa şi
fiabilitatea lor. În unele situaţii, auditorul se sprijină pe elemente probante care nu sunt
concludente prin ele însele, dar care contribuie la definitivarea concluziilor. Certitudinea
auditorului sporeşte în cazul în care elemente probante din surse diferite şi de naturi diferite

55
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

sunt concordante între ele.


Fiabilitatea elementelor probante colectate este apreciată în funcţie de originea lor
internă sau externă, de natura lor scrisă sau orală şi de circumstanţele în care s-au obţinut,
astfel:
 probele de audit din surse externe (spre exemplu, confirmarea de la o terţă parte)
sunt mai credibile decât cele generate intern.
 probele de audit generate intern, sunt mai credibile atunci când sistemul contabil şi
de control intern sunt funcţionale.
 probele de audit obţinute direct de auditor sunt mai credibile decât cele obţinute de
entitate.
 probele de audit sub formă de documente scrise sunt mai credibile decât declaraţiile
orale.
Raţionamentul auditorului asupra a ceea ce presupune o probă de audit adecvată şi
suficientă este influenţat de următorii factori:
 Pragul de semnificaţie;
 Nivelul riscului de audit, implicit al riscului de control şi al riscului inerent ;
 Experienţa şi profesionalismul auditorului;
 Sursa şi credibilitatea informaţiilor disponibile.
Reprezentarea grafică a relaţiei dintre riscul de audit, pragul de semnificaţie şi probele de
audit este transpusă în figura 2.8, care relevă atât un raport invers proporţional între
mărimea pragului de semnificaţie şi probele de audit ce urmează a fi colectate, cât şi o
relaţie inversă între riscul de audit şi probele de audit.

Figura nr.2.8 Relatia între riscul de audit, pragul de semnificaţie şi probele de audit21
21
Graham W. Cosserat – „Modern Auditing”, Ed. John Wiley & Sons, New York, 2000.

56
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Astfel, dacă menţinem, de exemplu, riscul de audit constant, dar reducem mărimea
pragului de semnificaţie se observă necesitatea creşterii probelor de audit. Similar, dacă
menţinem mărimea pragului de semnificaţie constantă şi reducem probele de audit,
impactul se răsfrânge asupra riscului de audit, prin creşterea acestuia.

2.5.2 Proceduri specifice pentru obţinerea probelor de audit

Auditorul poate obţine probe de audit prin aplicarea uneia sau mai multor
proceduri : inspecţia, observaţia, investigarea şi confirmarea, calcule şi proceduri analitice.
Adesea, în cursul aceleiaşi misiuni, se pot utiliza două procedee pentru acelaşi obiectiv în
vederea validării, rezultatele uneia certificând rezultatele celeilalte proceduri.
În viziunea Standardului de audit 500 “Probe de audit”, inspecţia “constă în
examinarea documentelor, înregistrărilor sau imobilizărilor corporale. Inspecţia
înregistrărilor şi documentelor furnizează probe de audit cu grade de credibilitate variate,
depinzând de natura şi sursa lor, precum şi de funcţionarea efectivă a controalelor interne
în timpul procesării informaţiilor”.
Probele de audit cu caracter documentar care furnizează grade diferite de
credibilitate pentru auditor sunt cele:
 elaborate şi păstrate de terţe părţi;
 elaborate de terţi şi păstrate de entitate;
 elaborate şi păstrate de entitate.
Inspecţia imobilizărilor corporale poate furniza probe de audit credibile în ceea ce priveşte
existenţa lor, însă nu în ceea ce priveşte proprietatea sau valoarea lor.
Observaţia este un instrument cu aplicare universală, deoarece totul este observabil.
Procedura constă în “urmărirea unui proces sau a unei proceduri efectuate de către alte
persoane, cum ar fi spre exemplu observarea de către auditor a inventarierii stocurilor, de
către personalul organizaţiei”22.
Investigarea şi confirmarea.
Investigarea constă în obţinerea de informaţii prin adresarea de întrebări, scrise sau
verbale, persoanelor din interiorul sau exteriorul entităţii. Răspunsurile la investigaţii pot
oferi auditorilor informaţii noi, informaţii care se coroborează cu alte probe de audit. O

22
Audit financiar 2000 – Standarde de audit, Ed. Economică, 2000.

57
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

misiune de audit care s-ar limita numai la interviuri ar putea fi considerată drept un sondaj
de opinie.
Confirmarea constă în răspunsul la o investigaţie pentru a corobora informaţiile
conţinute în documentele contabile justificative. Aceste confirmări sunt adresate, în
general, terţilor, un exemplu în acest sens, frecvent întâlnit în cadrul unei misiuni de audit,
fiind confirmarea creanţelor existente prin consultarea debitorilor sau confirmarea
disponibilităţilor din bancă, prin solicitarea unor extrase de conturi (confirmări bancare).
Calculul constă în verificarea manuală sau informatizată a acurateţei matematice a
sumelor cuprinse în documentele primare, a ecuaţiilor contabile.
Procedurile analitice se referă la analiza indicatorilor economico-financiari, analiza
fluxurilor nete.
Standardul de audit 501 “Probe de audit - Consideraţii suplimentare pentru
elemente specifice” prevede proceduri suplimentare pentru acele valori semnificative
cuprinse în situaţiile financiare:
 Participarea la inventarierea stocurilor;
 Confirmarea creanţelor;
 Investigaţii cu privire la litigii şi revendicări ;
 Evaluarea şi prezentarea investiţiilor pe termen lung.
Participarea la inventarierea stocurilor. Atunci când stocurile sunt semnificative
pentru situaţiile financiare, auditorul va obţine probe adecvate şi suficiente privind
existenţa şi starea lor prin participarea la inventariere. O astfel de activitate îi va permite
auditorului să constate existenţa lor, să observe conformitatea operaţiunilor cu procedurile
stabilite de conducere asupra înregistrării şi controlul rezultatelor inventariate. Practica, a
semnalat adeseori şi situaţii când auditorul nu poate participa la inventariere (din motive
întemeiate), iar în acest caz el poate folosi alte proceduri alternative, cum ar fi: aplicarea
testelor de control – colectarea listelor de inventariere folosite, numărarea stocurilor,
identificarea produselor în curs de execuţie, a stocurilor fără mişcare sau cu mişcare lentă,
stocuri aflate la terţi.
Confirmarea creanţelor. Confirmările directe din partea debitorilor constituie probe
de audit credibile despre existenţa creanţelor şi acurateţea soldurilor înregistrate în situaţiile
fianciare. Există însă situaţii, când debitorii nu răspund cererii de confirmare, iar auditorul
trebuie să apeleze la procedurile alternative: examinarea încasărilor de numerar ulterioare

58
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

aferente unui anumit client sau a înregistrărilor contabile efectuate la sfârşitul exerciţiului
financiar.
Cererea de confirmare a soldurilor poate lua o formă pozitivă, atunci când debitorul
este rugat să confirme acordul sau să-şi exprime dezacordul în legătură cu soldul
înregistrat, sau o formă negativă situaţie care apare când este cerut un răspuns numai în
eventualitatea unui dezacord în legătură cu soldul înregistrat.
“Confirmările pozitive oferă probe de audit mai credibile decât confirmările
negative. Alegerea între forma pozitivă şi cea negativă va depinde de circumstanţe,
incluzând evaluarea atât a riscului inerent, cât şi a celui de control.”
Investigaţiile privind litigiile şi revendicările. În general litigiile şi revendicările pot
avea un efect semnificativ asupra situaţiilor financiare, fapt pentru care este necesară
prezentarea şi/sau provizionarea lor. Aceste investigaţii se concretizează în: obţinearea de
declaraţii, revizuirea proceselor verbale ale Consiliului de Admininstraţie, actelor încheiate
cu avocaţii firmei, examinarea conturilor de cheltuieli privind taxele de timbru şi judiciare.
Evaluarea şi prezentarea investiţiilor pe termen lung. Atunci când investiţiile pe
termen lung sunt semnificative pentru situaţiile financiare, auditorul trebuie să obţină probe
privind evaluarea şi prezentarea lor. Conturile de investiţii pot fi validate prin informaţii
primite de la conducerea entităţii, prin cotaţiile de piaţă – care oferă informaţii privind
valoarea lor, şi compararea acestor valori cu valoarea contabilă înregistrată în situaţiile
financiare.

2.5.3 Teste de audit

Alături de procedeele specifice pentru obţinerea acestor probe de audit, Standardele de


Audit recomandă auditorilor să folosească teste de audit, cum ar fi :
 Testele de control
 Procedurile de fond

Testele de control

Având în vedere obiectivele controlului intern, care se pot rezuma în asigurarea


validităţii, exhaustivităţii, acurateţii şi confidenţialităţii resurselor informaţionale ale unei
organizaţii, auditorul, prin intermediul testelor de control, va verifica eficienţa şi

59
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

veridicitatea controlului intern şi a sistemului contabil, adică măsura în care acestea permit
prevenirea sau detectarea şi corectarea erorilor semnificative şi a fraudelor, cât şi modul de
desfăşurare al controalelor interne de-a lungul perioadei.
Altfel spus, prin aceste teste, auditorul urmăreşte conformitatea controlului intern
existent în cadrul entităţii cu măsurile scrise adoptate de aceasta pentru a asigura
integritatea patrimoniului, eficienţa activităţilor desfăşurate şi consecvenţa de aplicare a
acestui control (permanenţa sa). Abaterile semnalate pot fi cauzate de factori, cum ar fi
schimbări ale personalului cheie, fluctuaţii sezoniere semnificative în volumul tranzacţiilor
şi erori umane, ceea ce implică din partea auditorului efectuarea unor cercetări detaliate
privind aceste aspecte, în special cercetări privind schimbările personalului din funcţiile
cheie ale controlului intern.
Într-un mediu informatizat, obiectivele testelor de control nu diferă de cele
corespunzătoare unui mediu manual ; cu toate acestea, unele proceduri se pot nuanţa
incluzând şi viziunea controlului "instrumentului informatic " : controlul general al
sistemului informaţional şi controlul aplicaţiilor informatice, cu testele de control specifice.
Tehnicile clasice de audit sunt reprezentate de : descrieri narative, chestionare
(chestionarul de control intern), diagramele de flux de date (flowchart) care pot fi utilizate
în mod singular sau în mod combinat. Astăzi, se constată un ritm accelerat de înlocuire a
acestora cu tehnicile moderne, asistate de calculator. Astfel, instrumente de interogare a
datelor pot fi adecvate atunci cînd sistemul de control intern şi de contabilitate nu
furnizează probe evidente care să documenteze performanţa controalelor interne.

Procedurile de fond sunt reprezentate de testele efectuate de auditor pentru detectarea


erorilor semnificative din situaţiile financiare şi sunt structurate în 3 categorii:
 Teste de detaliu privind tranzacţiile
 Teste de detaliu privind soldurile
 Procedurile analitice
Nivelul acestor proceduri depinde de nivelul de asigurare a testelor de control ; când testele
de control nu pot fi realizate sau nu oferă probe suficiente, se execută procedurile de fond.
Mai mult, atunci când auditorul identifică punctele slabe în cadrul sistemului de control
intern sau sistemului contabil, demersul său va fi reprezentat de aplicarea procedurilor de
fond.
Testele de detaliu privind tranzacţiile sunt teste ce permit auditorului să verifice dacă

60
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

elementele reflectate în debitul sau creditul unui cont sunt reale şi au la bază documente
justificative care să le ateste integritatea şi caracterul complet.
În esenţă, auditorul, plecând de la documentele justificative, urmăreşte înregistrarea
integrală, completă şi corectă a acestora în contabilitate sau, invers, analizează problema
plecând de la înregistrările contabile, caz în care verifică dacă există documente
justificative care să ateste existenţa reală a activelor şi pasivelor şi valoarea
corespunzătoare. Ultimul sens este recunoscut în literatura de specialitate şi sub sintagma
de “audit trail“ (traseu al auditării) care, într-un cadru general, poate fi privit ca o
întoarcere la originea operaţiunilor care au condus la determinarea rezultatelor. Deşi la
origine a fost un instrument de control contabil, mai mult sau mai puţin recunoscut de
specialişti, el este astăzi utilizat cu precădere într-o contabilitate informatizată, fiind
recunoscut ca un instrument al auditorului intern.
Împrumutată din contabilitate, în domeniul sistemelor informatice23 „ traseul auditării
presupune refacerea tuturor activităţilor care au afectat o informaţie, din momentul
introducerii acesteia în sistem şi până la părăsirea acestuia. Traseul auditării documentează
calea pe care o parcurg datele de la intrarea în sistem şi până la ieşire şi trebuie să
jurnalizeze suficiente informaţii pentru a reconstitui sau verifica întregul ciclu, fie manual,
fie prin proceduri informatizate”.
Unul dintre specialiştii în domeniu, Weber24 precizează că în orice sistem trebuie să
existe două tipuri de trasee ale auditării:
 Unul contabil, care menţine înregistrări cu privire la evenimentele din cadrul
sistemului
 Unul operaţional, care menţine înregistrări cu privire la resursele consumate de
către fiecare eveniment.
Astăzi, acest instrument poate oferi informaţii ce permit atât o verificare a documetelor
contabile care să ateste operaţia generată cât şi o identificare a persoanei, calculatorului,
datei şi orei la care s-au introdus aceste date.
În concluzie, aceste teste de detaliu permit depistarea tranzacţiilor fictive care pot
genera o supraevaluare sau o subevaluare a elementelor din situaţiile financiare. Tot în
cadrul acestei categorii sunt incluse şi testele de verificare a modului de aplicare a
principiului independenţei exerciţiilor.

23
Microsoft Encarta Online Encyclopedia 2001 http://encarta.msn.com
24
citat Munteanu, A. – Auditul sistemelor informaţionale contabile, Ed. Polirom, 2001.

61
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Testele de detaliu privind soldurile sunt definite ca ansamblul testelor ce permit, de


exemplu, verificarea realităţii mărimii totale a soldului unui cont de creanţă prin
confirmarea scrisă a debitorului acestui cont.
Procedurile analitice au în vedere comparaţii între informaţiile financiare ale
exerciţiului curent cu informaţiile financiare ale exerciţiilor anterioare ; prognoze sau
estimări ale auditorului în legătura cu metoda de amortizare ; comparaţii între rezultatele
societăţii auditate cu media pe ramura din care face parte aceasta. Aceste proceduri, în
conformitate cu Standardul de audit 520 constau în analiza tendinţelor şi indicatorilor
semnificativi, examinarea variaţiilor (fluctuaţiilor) ce pot scoate în evidenţă domeniile
semnificative de auditat.
În aplicarea procedurilor analitice, este necesar ca auditorul să ia în considerare
testarea controalelor, pentru că atunci când controalele sunt eficiente, acesta va avea o
încredere mai mare în credibilitatea informaţiilor şi, prin urmare, în rezultatele procedurilor
analitice.
Procedurile analitice sunt utilizate în diferite scopuri :
 în etapa de planificare, sprijinind eforturile auditorului de înţelegere a mediului de
afaceri cât şi de identificare a domeniilor cu risc potenţial.
 ca proceduri de fond, atunci când utilizarea lor poate fi mai eficientă decât a testelor
de detaliu, în vederea reducerii riscului de nedetectare.
 în etapa de revizuire generală a auditului, atunci când auditorul poate formula o
concluzie generală privind conformitatea situaţiilor financiare.
Eficienţa şi eficacitatea procedurilor analitice depinde de disponibilitatea, relevanţa,
credibilitatea informaţiilor furnizate pentru aplicarea procedurilor analitice cât şi de
acurateţea cu care pot fi previzionate rezultatele.

2.6. Analiza fraudei şi erorii în audit

Într-un cadru general, frauda poate fi definită ca un act de rea credinţă săvârşit de o
persoană, de obicei pentru a realiza un profit material de pe urma atingerii drepturilor
altuia, adică o acţiune comisă cu intenţia de a înşela. Normele internaţionale de audit
menţioneză că termenul de “fraudă se referă la o acţiune cu caracter intenţionat întreprinsă
de una sau mai multe persoane din rândul conducerii, salariaţilor sau terţilor, acţiune ce are

62
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

ca efect o interpretare eronată a situaţiilor financiare” şi ea poate apărea ca urmare a unor


evenimente de genul:
 manipularea, falsificarea sau modificarea înregistrarilor contabile, a
documentelor;
 eliminarea sau omiterea unor tranzacţii (tranzacţii neautorizate) în scopul
cosmetizării situaţiilor financiare;
 deturnarea sau furtul unor active;
 aplicarea gresită, în mod intenţionat, a politicilor contabile în vederea
prezentării unor situaţii finale afectate de eroare utilizatorului final (actionar,
banca, ..).
Termenul de “eroare”, se referă la o greşeală neintenţionată apărută în situaţiile
financiare, precum: greşeli matematice sau contabile, trecerea cu vederea sau interpretarea
greşită a faptelor, aplicarea greşită a politicilor contabile din necunoştinţă de cauză. În
viziunea Standardului Internaţional de Contabilitate IAS 8 “Rezultatul net al perioadei –
erori fundamentale şi schimbări de politici contabile”, erorile se referă la greşeli de calcul,
aplicarea greşită a unor metode, interpretarea eronată a unor fapte, omisiuni şi fraudă. Se
observa că acest standard asociază erorii şi noţiunea de fraudă tocmai pentru a soluţiona
contabil această situaţie existentă în practică. În cazul în care eroarea constată repune în
discuţie fiabilitatea situaţiilor financiare publicate în anii precedenţi, se vorbeşte de o
eroare fundamentală, însă caracterul de eroare fundamentală rămâne la latitudinea
auditorului sau/şi conducerii. O eroare fundamentală nu este dată numai de mărimea
efectului financiar cât şi de natura erorii.
IAS 8 propune două prelucrări contabile:
 o prelucrare de referinţă, conform căreia corectarea erorii afectează
rezultatul nerepartizat la deschiderea exerciţiului în care se face corectarea.
În acest caz, societatea trebuie să prezinte date comparative în tabloul
variaţiei capitalurilor proprii şi în contul de profit şi pierdere.
 prelucrarea alternativă autorizată, conform căreia corectarea afectează
rezultatul exerciţiului curent. În anexă, clientul va prezenta o imagine
proformă pentru contul de profit şi pierdere şi tabloul variaţiei capitalurilor,
atât pentru anul curent cât şi pentru anul anterior.
Înca din etapa de planificare, auditorul trebuie să evalueze riscul apariţiei unor
fraude şi erori, pentru că, în general, frauda implică acţiuni mascate, ceea ce determină ca

63
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

unele erori semnificative din situaţiile financiare să nu fie descoperite, iar auditorul să
formuleze o opinie eronată. Ceea ce sporeşte riscul de fraudă sunt carenţele funcţionale ale
sistemului contabil şi de control intern. În afara acestora, se mai pot adăuga:
 dubii referitoare la integritatea sau competenţa conducerii;
 presiuni neobişnuite în cadrul sau asupra unei entităţi;
 tranzacţii neobişnuite;
 probleme în obţinerea unor probe de audit corespunzătoare.
A evalua Controlul Intern înseamnă a lupta împotriva fraudei. Noel PONS25 enunţa
un principiu esenţial pe care auditorii, în speciali auditorii interni, nu trebuie să-l uite
“frauda creşte din lipsă de transparenţă” şi, tocmai de aceea, cea mai bună prevenire a
fraudei este controlul intern.
Responsabilitatea pentru prevenirea şi detectarea fraudelor aparţine conducerii,
auditorul extern putând juca un rol pozitiv în prevenirea acestora, dar nu el are
responsabilitatea de a detecta şi demonstra frauda.
Un interes aparte apare astăzi, când evoluţia tehnică a cunoscut o creştere fără
precedent, asupra fraudei cu ajutorul calculatorului – cunoscută în literatura de specialitate
şi sub denumirea de “criminalitate informatică”. Pe măsură ce progresele în domeniul
tehnologiei informaţiei se înregistrau într-un ritm alert, de o amploare deosebită s-au
remarcat şi metodele, mijloacele de săvârşire a infracţiunilor cu ajutorul calculatorului.
Aceste atacuri ilicite cât şi o proastă exploatare a sistemelor informatice pot produce
pagube financiare semnificative. Grave prejudicii pot rezulta şi din divulgarea unor
informaţii sensibile sau strategice privind politicile de dezvoltare a unor noi produse,
informaţii financiare sau de clientelă. Se impune astfel asigurarea securităţii sistemelor
informaţionale cât şi a datelor stocate pe acestea.
Nu puţine sunt exemplele de fraudă cu ajutorul calculatorului, iar statisticile arată
că pierderile rezultate din prelucrările informatice sunt, de regulă, mai mari decât în cazul
fraudelor tradiţionale. O tehnică mult mediatizată şi folosită o reprezintă aşa zisa "fraudă
salam", care constă în introducerea unor linii de cod în programul ce calculează şi bonifică
dobânzile bancare, pentru a "rotunji în jos" aceste sume ale clienţilor, iar cumularea
progresivă a lor este transferată în contul infractorului. Ea poate avea o aplicabilitate şi în
calculul drepturilor salariale ale angajaţilor unei companii. Tehnicile disponibile sunt foarte
diversificate: "calul troian informatic" este un cod de program neautorizat implantat într-un
25
Citat în Renaerd J. - Teoria si practica auditului intern, 2002, Ed. d 'Organisation, Paris, 2002.

64
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

program autorizat, care îndeplineşte activităţi necunoscute de utilizator. Când programul


este executat, instrucţiunile secrete distructive, foarte dificil de detectat "ies la iveala"
cauzând probleme mai mari sau mai mici. Nu putem trece cu vederea şi alte actiuni
precum:
 utilizarea, accesarea sau distrugerea neautorizata a software-ului;
 furtul sau distrugerea componentelor hardware;
 intenţia de a obţine pe căi ilegale, cu ajutorul calculatorului, informaţii
tangibile.
În acest sens, controale de detectare a fraudei vizează: segregarea funcţiilor, rotaţia
funcţiilor, encriptarea datelor şi programelor, controlul datelor senzitive, audit-uri
frecvente.
Se mai pune întrebarea dacă este necesară această activitate de auditare a sistemelor
informatice de gestiune ? Răspunsul vine singur - DA - şi la această concluzie au ajuns şi
managerii organizaţiilor, recunoscând că "tot ce ţine de tehnologiile informaţionale
reprezintă resurse şi, prin urmare, trebuie controlate ca orice altă resursă din cadrul
organizaţiei" (Weber, 1988).
Printre aplicaţiile informatice dezvoltate în sensul detectării acţiunilor frauduloase
amintim: Auto-Audit, Fraud and Abuse Management System by IBM, ACL ce are
încorporate analize a legii lui Benford.

2.7 Particularităţi ale întocmirii, prezentării şi publicării raportului de audit

Raportul de audit reprezintă instrumentul prin care se comunică obiectivele


auditării, normele/standardele aplicate, constatările şi concluziile misiunii. Potrivit
Standardului de audit 700, acesta " trebuie să conţină, în scris, o exprimare clară a opiniei
asupra situaţiilor financiare considerate un tot unitar". Chiar dacă normele legale nu impun
utilizarea unui raport standardizat, în practică, se regăseşte o tendinţă spre a formaliza
conţinutul acestui raport tocmai pentru a asigura o bună înţelegere şi o identificare uşoară a
elementelor semnificative din partea utilizatorului final.
Elementele de bază ale Raportului sunt: titlul raportului, paragraful introductiv,
paragraful privind aria de aplicabilitate, opinia exprimată de auditor, data raportului, adresa
şi semnătura auditorului.

65
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Standardele de audit, recomandă ca în cadrul paragrafului introductiv, auditorul să


includă o declaraţie asupra faptului că situaţiile financiare revin în responsabilitatea
conducerii entităţii. O astfel de remarcă este esenţială deoarece întocmirea situaţiilor
financiare impune, din partea managementului, efectuarea estimărilor şi raţionamentelor
contabile semnificative, precum şi determinarea principiilor şi metodelor contabile
utilizate. În contrast, responsabilitatea auditorului este de a certifica aceste situaţii
financiare, cu scopul de a exprima o opinie asupra lor.
În paragraful referitor la aria de aplicabilitate, este necesar să se sublinieze faptul că
auditul a fost efectuat în conformitate cu Standardele de audit şi, totodată, procedurile de
audit desfăşurate au avut în vedere:
 examinarea, pe bază de teste, a probelor ce vor susţine valorile din situaţiile
financiare şi alte informaţii pertinente;
 constatarea respectării principiilor contabile folosite la întocmirea situaţiilor
financiare;
 evaluarea estimărilor semnificative făcute de managementul entităţii;
 evaluarea prezentării generale a situaţiilor financiare.
Modalităţile de exprimare a opiniilor sunt:
- opinia fără rezerve – este exprimată atunci când auditorul a obţinut o asigurare
rezonabilă (din datele analizate) asupra faptului că toate datele semnificative,
incluse în posturile din bilanţul contabil şi celelalte situaţii financiare, au fost
culese şi sistematizate după o metodă acceptabilă şi permanentă, în conformitate
cu normele legale.
- opinia cu rezerve - formulată atunci când auditorul a constat erori, anomalii în
aplicarea principiilor şi standardelor contabile; a constatat incertitudini care
afectează calitatea şi conţinutul informaţiilor cuprinse în situaţiile financiare.
În aceste situaţii, pragul de semnificaţie joacă un rol determinant şi în cadrul raportului, se
detaliază toate aspectele semnificative care au determinat emiterea unei opinii cu rezerve.
imposibilitatea emiterii unei opinii – ce apare în anumite situaţii când
obiectivul auditului nu poate fi atins deloc sau aproape deloc, deaorece probele
sunt insuficiente şi nu pot justifica nici un fel de opinie.
opinie adversă (opinie contrară) – care este formulată, în general, când
situaţiile financiare nu reflectă o imagine fidelă şi nu pot folosi drept bază în
adoptarea unor decizii.

66
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Normele de audit prevăd că raportul de audit financiar îmbracă două forme:


modelul simplificat destinat utilizatorilor externi, ce va prezenta într-o formă sintetică şi
clară opinia auditorului şi modelul detaliat, destinat conducerii societăţii şi Adunării
generale a acţionarilor. În cadrul raportului de audit, forma detaliată, se anexează: bilanţul,
contul de profit şi pierdere, o descriere a regulilor şi metodelor contabile, se face o analiză
dinamică a principalelor posturi din bilanţ şi, totodată, el va conţine recomandările,
sugestiile auditorilor privind îmbunătăţirea sistemului actual.
Forma detaliată a unui Raport de audit prezintă, în sumar, următoarele:
 Aspecte referitoare la client şi activitatea acestuia: Obiectul de activitate;
Structura organizatorică.
 Sistemul contabil: Prezentarea registrelor contabile; Aspecte referitoare la evidenta
contabilă.
 Prezentarea sistemului informatic.
 Politicile şi tratamentele contabile semnificative.
 Aplicarea principiilor contabile: Principiul continuităţii activităţii; Principiul
permanenţei metodelor; Principiul prudenţei; Principiul independenţei exerciţiului;
Principiul intangibilităţii; Principiul necompensării; Principiul prevalenţei
economicului asupra juridicului; Principiul pragului de semnificaţie.
 Secţiunile contabilităţii: Capitaluri proprii; Active imobilizate; Stocuri şi creante
pe termen lung; Creditori şi angajamente; Trezorerie; Cheltuieli, venituri şi
rezultate; Impozite şi taxe; Contabilitatea sucursalelor din străinătate.
 Analiza principalilor indicatori economico-financiari: indicatori de lichiditate;
indicatori de risc; indicatori de activitate; indicatori de profitabilitate.

În loc de încheiere…

Abordarea unei misiuni de audit, identifică următoarele etape: acceptarea clientului,


planificarea, evaluarea sistemului de control intern şi contabilitate, aplicarea testelor de
detaliu asupra conturilor şi întocmirea raportului de audit. Importanţa şi amploarea etapei
de evaluare a sistemului de control intern şi contabilitate impun evidenţierea acesteia în
mod distinct, deoarece rezultatele şi concluziile ei au un impact deosebit asupra activităţilor
ulterioare.

67
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Pornind de la această premisă, strategia unei misiuni de audit, într-o formă detaliată,
permite o structurare a activităţilor misiunii conform figurii.2.8 :

Figura nr. 2.8 Structurarea activităţilor unei misiuni de audit


(sursa: ACCA – Accounting and Audit Practice, nr. 10, 2000)

A. Determinarea strategiei de audit


Etapa 1. Orice misiune de audit debutează cu abordarea generală a misiunii şi o
determinare a scopului în sine. În cadrul acestei etape, auditorul elaborează şi
documentează un program de audit care va stabili natura şi întinderea lucrărilor de audit ce
urmează a se desfăşura.

68
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

B. Aprecierea sistemului de control intern


Etapa 2. Obiectivul acestei etape este determinarea fluxului de documente şi stabilirea
ariei controalelor existente; acest „moment” reprezintă mai mult un exerciţiu de identificare
a faptelor, exerciţiu realizat prin discutarea sistemului contabil şi a fluxului documentelor
cu toate departamentele semnificative precum: vânzări, stocuri, personal, lichidităţi,
aprovizionare.
Etapa 3. Scopul principal este pregătirea unei documentaţii exhaustive care să
faciliteze evaluarea sistemelor; aceasta poate include: diagrame de organizare, chestionare
de control intern, note descriptive, diagrame de fluxuri de date (flowchart-uri).
Etapa 4. În cadrul acestei etape, obiectivul auditorului este acela de a confirma
înţelegerea sistemului contabil şi de control intern. În acest sens, auditorii vor desfăşura o
serie de teste de „urmărire” a tranzacţiilor prin sistemul propriu-zis, observând controalele
operaţionale, procedură care va stabili în ce măsură sistemul contabil operează în maniera
cunoscută.
Etapele 2 şi 3 descrise anterior vor fi realizate în detaliu pentru fiecare client nou,
rezultatul fiind ataşat dosarului permanent, şi, ulterior, el va fi analizat şi reevaluat în
fiecare an.

C. Evaluarea sistemului de control intern


Etapa 5. Scopul evaluării sistemului este de a măsura încrederea şi a formula baza
testării eficienţei acestuia în mod practic. Aprecierea evaluării constituie fundamentul
formulării unor recomandări din partea auditorilor pentru sistemul existent şi defineşte aria
testelor care vor fi efectuate în etapele viitoare (mai exact fazele 6-8).

D. Testarea sistemului de control intern


Etapa 6. Evaluarea controlului intern se va concretiza în verificarea practică a
eficienţei acestui control prin intermediul unor teste de control asociate numai domeniilor
semnificative identificate în etapele anterioare. Efectuarea acestor teste se va finaliza prin
formularea unor concluzii:
 controalele sunt eficiente, situaţie în care auditorii vor limita procedurile de
detaliu.
 controalele sunt ineficiente în practică, deşi ele apar puternice în documentele
descriptive, caz în care auditorii vor extinde aria procedurilor în detaliu.

69
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

În acest sens, prin analiza figurii 2.8 se evidenţiază faptul că etapa a 6-a poate fi realizată
numai dacă controalele evaluate în etapa a 5-a au fost eficiente.
Etapa 7. După evaluarea sistemului de control intern şi realizarea testelor de control,
auditorii îşi vor rezuma concluziile şi recomandările într-o scrisoare interimară de apreciere
a controlului intern, adresată managementului entităţii.
E. Testarea situaţiilor financiare
Etapele 8 şi 9. Acestea nu se referă la modul de operare a sistemului, ci probează
valorile (cifrele) din jurnalele contabile şi, eventual, conturile anuale. Testele de detaliu
sunt proiectate să evalueze, pe de o parte, efectul erorilor, dacă acestea există şi, pe de altă
parte, să verifice valorile (cifrele) din conturile anuale şi să opereze ajustările necesare.

F. Exprimarea opiniei.
Practica recunoaşte două tipuri de opinii formulate de auditor: una statutară şi una non
statutară.
Etapa 11. Raportul de audit este rezultatul final al activităţii de audit, în care auditorul
îşi exprimă, în mod clar, opinia sa independentă asupra situaţiilor fianciare auditate.
Etapa 12. Practica recunoaşte o a doua formă de raport, modelul detaliat adresat în
general managementului şi Adunării generale a Acţionarilor. Acest raport descrie într-o
formă mai amplă elementele pozitive şi negative ale societăţii, aducând în plus sugestii şi
recomandări asupra îmbunătăţirii sistemului.

70
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

CAPITOLUL 3
PARTICULARITĂŢI ALE CONTROLULUI INTERN ÎNTR-UN MEDIU
INFORMATIZAT

3.1 Analiza mediului de control într-un sistem informatizat

Societatea actuală, o societate informatizată pentru care informaţia şi tehnologia


informaţiei sunt cele mai importante valori, necesită astăzi sisteme de comunicaţie rapide,
sigure şi fiabile care să-i asigure confidenţialitatea, integritatea şi disponibilitatea resurselor
informaţionale.
Înţelegerea mediului de control, a caracteristicilor sistemului informaţional în
ansamblul său este un pas important şi hotărâtor pentru auditori, în vederea stabilirii
gradului de credibilitate al sistemului însuşi şi a informaţiilor pe care le furnizează.
Obiectivul general şi procesul de audit într-un mediu informatizat nu diferă, structural, de
etapele şi procedeele clasice. Excepţiile apar numai din necesitatea cunoaşterii de către
auditor a sistemului informatic existent, a înţelegerii aplicaţiilor informatice utilizate în
procesarea automată a datelor, precum şi a modului în care acesta satisface cerinţele
utilizatorului.
În etapa de “Planificare” a auditului, auditorii trebuie să-şi formeze o imagine asupra
semnificaţiei şi complexităţii mediului informatic, a accesibilităţii datelor în vederea
auditării. Această imagine este definită de caracteristicile:
 Structura organizatorică a mediului informatic, ce pune un accent deosebit pe
necesitatea separării funcţiilor incompatibile adresate aceleiaşi persoane.
 Complexitatea şi importanţa procesării automate a fiecărei aplicaţii
semnificative. O aplicaţie informatică poate fi considerată complexă atunci când:
• volumul tranzacţiilor este considerat de utilizatorii aplicaţiei ca fiind dificil
pentru identificarea şi corectarea erorilor în timpul procesării;
• aplicaţia poate genera automat tranzacţii semnificative sau poate furniza intrări
către alte aplicaţii ;
• complexitatea calculelor aritmetice;

71
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

• tranzacţiile sunt schimbate electronic cu alte organizaţii, ceea ce implică


controale suplimentare asociate căii de comunicaţie.
 Disponibilitatea datelor. Într-un mediu informatizat, anumite informaţii solicitate
de auditor pot exista doar pentru o scurtă perioadă şi/sau doar într-o formă
electronică; în legătură cu acest aspect se impune a fi amintiă şi vulnerabilitatea
mediilor de stocare a datelor /informaţiilor.
 Utilizarea tehnicilor de audit asistate de calculator pentru o creştere a
performanţei procedurilor de audit.
Această analiză a importanţei şi complexităţii activităţilor mediului informatizat are
un impact favorabil în evaluarea riscurilor inerente şi de control.
Într-un mediu informatizat, amploarea riscurilor ia o altă dimensiune, natura lor
fiind influenţată de:
 Densitatea informaţiei este mult mai mare decât în sistemele clasice, bazate pe
hărtie. Dischetele, discurile optice şi alte suporturi moderne ce sunt utilizate
pentru salvarea acestui volum mare de informaţii, însumând zeci de mii de
pagini de hărtie, pot fi subtilizate mult mai discret generând astfel fraude sau cel
puţin afectând confidenţialitatea acestor informaţii.
 Transparenţa documentelor privind desfăşurarea unor operaţiuni.
a) Absenţa documentelor de intrare – datele pot fi introduse în sistem fără a
avea la bază documente justificative – este exemplul tranzacţiilor din
sistemele on-line.
b) Lipsa unor “urme” vizibile a tranzacţiilor – Deşi în practica prelucrării
manuale, orice tranzacţie poate fi urmărită plecând de la documentul primar,
apoi în registrele contabile, conturi – în prelucrarea automată, traseul unei
tranzacţii poate exista o perioadă limitată , într-un format electronic.
c) Lipsa unor ieşiri vizibile – anumite tranzacţii sau rezultate, în special când
acestea reprezintă detalii, se pot regăsi memorate doar în fişierele aplicaţiei
(nu şi într-o formă tipărită).
 Autorizarea tranzacţiilor. Într-un mediu informatizat se poate include şi
capacitatea calculatorului de a iniţia şi executa automat unele trazacţii; altfel
spus, este vorba de modul de proiectare a aplicaţiei informatice care poate avea
încorporate anumite autorizări implicite şi funcţii de generare automată.

72
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 Procesarea uniformă a tranzacţiilor. O aplicaţie informatică procesează în


mod uniform tranzacţii similare, pe baza aceloraşi instrucţiuni program. În felul
acesta, erorile de redactare a documentelor asociate unei procesări manuale sunt
în mod virtual eliminate. În schimb, erorile de programare pot conduce la
procesarea incorectă a tranzacţiilor, astfel încât auditorii îşi vor concentra
atenţia asupra acurateţei şi consistenţei ieşirilor.
 Accesul neautorizat la date şi fisiere se poate efectua cu o mai mare uşurinţă,
ceea ce implică un mare potenţial de fraudă şi eroare.
 Remanenţa suporturilor de memorare a datelor, după ce au fost şterse poate
constitui o cale sigură de a intra în posesia unor informaţii de valoare.
 Agregarea datelor. Noile sisteme de prelucrare automată a datelor, precum sunt
cele de asistare a deciziei, au condus la valorificarea unor informaţii importante
ale entităţii, generând prognoze, strategii şi tactici de parcurs într-un anumit
domeniu. Astfel, informaţiile capătă valenţe suplimentare decât cele avute prin
păstrarea lor în mai multe locuri, separate unele de altele.
 Evoluţia tehnologiei informaţionale a cunoscut în ultimii ani un ritm accelerat,
dar nu acelaşi lucru se poate spune despre progresele înregistrate în domeniul
securităţii datelor.
 Integrarea puternică a sistemelor apare ca o consecinţă a îmbunătăţirii
formelor de comunicaţie şi a proliferării reţelelor de calculatoare. Aplicaţiile de
comerţ electronic sunt doar un exemplu în acest sens, dar se poate afirma că au
deschis şi mai mult apetitul “specialistilor” în ceea ce priveşte frauda
informaţională.
 Lipsa urmelor eventualelor atacuri criminale constituie un alt element
îngrijorător al noului mediu de lucru ; în aces sens modificarea datelor,
adăugarea sau chiar ştergerea lor au devenit operaţii mult mai uşor de realizat,
dar în acelaşi timp, destul de greu de depistat.

3.2 Analiza riscului într-un mediu informatizat

Obiectivul unei analize a riscurilor informaţionale (riscuri IT) este de a identifica


modalităţile prin care datele şi, implicit, sistemul informatic care le conţine, este expus la
risc. Elementele prezentate în paragraful anterior conduc la ideea că mediul informatizat

73
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

generează noi riscuri şi orice organizaţie, în vederea asigurării unei protecţii eficiente a
informaţiilor, este necesar să dezvolte un proces complex de studiu şi analiză a riscurilor.
Riscul IT se manifestă prin intermediul componentelor sale proprii: ameninţări,
vulnerabilităţi şi impact. Ameninţările exploatează vulnerabilităţile unui sistem cauzând
impactul şi în esenţă, combinaţia celor 3 elemente determină mărimea riscului. Riscul la
nivelul unei organizaţii nu poate fi eliminat, el va exista întotdeaua, managmentul societăţii
fiind responsabil de reducerea lui la un nivel acceptabil. În acest sens, figura 3.1 pune în
corespondenţă diferite elemente ce necesită a fi luate în calcul pentru reducerea riscului.

Ameninţările Exploatează
Care protejează

Cresc
Vulnerabilităţile
Măsurile de
Reduc Cresc
securitate

Expun
Care sunt Riscurile
limitate de IT

Impactul asupra Cresc Activele sistemului


societăţii informatic

Cauzând Produc pierderea


Confidenţialităţii
Integrităţii
Disponibilităţiie

Figura nr.3.1 Componentele riscului IT26

În general, riscurile asociate unui sistem informaţional, pe care orice auditor trebuie să
le analizeze şi evalueze (tehnica frecvent utilizată în acest caz este chestionarul), în vederea
aprecierii sistemului în sine, vizează:
 Riscul securităţii fizice ce va fi evaluat în funcţie de informaţiile culese, cu
privire la: existenţa sistemelor de pază, detecţie şi alarmă a incendiilor,
sistemelor de protecţie împotriva căderilor de tensiune, protecţia echipamentelor
26
Prelucrare după INTOSAI IT AUDIT COMMITTEE – IT Security , note de curs, www.intosai.com

74
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

împotriva furturilor, protecţia împotriva catastrofelor naturale (inundaţii,


cutremure..), protecţia fizică a suporţilor de memorare
 Riscul de comunicaţie poate lua valenţe diferite, în funcţie de disponibilitatea
sistemului la reţeaua publică, situaţie în care auditorul e necesar să analizeze
măsurile de securitate adoptate: existenţa unui firewall, modul de configurare a
acestuia, analiza modului de transmitere a datelor prin reţeaua publică
(utilizarea tehnicilor de criptare, existenţa unei reţele virtuale private - VPN).
Acest risc se poate manifesta şi la nivelul unei reţele locale, atunci când
configurarea acesteia lasă de dorit şi prin “ascultarea” liniilor de comunicaţie,
traficul acesteia poate fi compromis. Confidenţialitatea informaţiilor nu vizează
doar memorarea acestora pe staţiile de lucru sau servere, ci şi liniile de
comunicaţie.
 Riscul privind integritatea datelor şi tranzacţiilor vizează toate riscurile
asociate cu autorizarea, completitudinea şi acurateţea acestora.
 Riscul de acces se referă la riscul asociat accesului inadecvat la sistem, date sau
informaţii. Implicaţiile acestui risc sunt majore, el vizând confidenţialitatea
informaţiilor, integritatea datelor sau bazelor de date şi disponibilitatea acestora.
În acest sens, acţiunile auditorului presupun o analiză a managementului
parolelor la nivelul organizaţiei (altfel spus atribuirea şi schimbarea parolelor de
acces fac obiectul unei aprobări formale?), o investigare a încercărilor de
accesare neautorizată a sistemului (există o jurnalizare a acestora ?), o analiză a
protecţiei staţiilor de lucru (sunt acestea dotate cu soft care să blocheze accesul
la reţea, atunci când utilizatorul nu se află la staţia sa ?).
 Riscul privind protecţia antivirus ce impune o analiză a existenţei programelor
antivirus în entitate, utilizarea lor la nivel de server şi staţii de lucru, upgrade-ul
acestor programe (manual sau automat). Lupta cu viruşii este esenţială, dar nu
uşor de realizat. În ciuda numărului mare de programe antivirus existente este
necesară o analiză a caracteristicilor programului privind: scanarea în timp real
a sistemului sau monitorizarea continuă a acestuia, scanarea mesajelor e-mail,
scanarea manuală.
 Riscul legat de documentaţia sistemului informatic. Documentaţia generală a
unui sistem informatic vizează pe de o parte documentaţia sistemului de operare
sau reţelei şi, pe de altă parte, documentaţia aplicaţiilor instalate. Această

75
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

documentaţie poate fi diferită pentru administratori, utilizatori şi operatori astfel


încât să ajute la instalarea, operarea, administrarea şi utilizarea produsului.
Riscurile asociate documentaţiei se pot referi la faptul că, aceasta nu reflectă
realitatea în ceea ce priveşte sistemul, nu este inteligibilă, este accesibilă
persoanelor neautorizate, nu este actualizată.
 Riscul de personal poate fi analizat prin prisma următoarelor criterii:
 Structura organizaţională la nivelul departamentului IT ce va avea în
vedere modul în care sunt distribuite sarcinile şi responsabilităţile în
cadrul acestuia. Alocarea unui număr prea mare de responsabilităţi la
nivelul unei singure persoane sau unui grup de persoane este semnul
unei organizări interne defectuoase.
 Practica de selecţie a angajaţilor. La baza unui mediu de control
adecvat stau competenţa şi integritatea personalului, ceea ce implică din
partea auditorilor o analiză a politicilor şi procedurilor organizaţiei
privind angajarea, specializarea, evaluarea performanţelor şi promovarea
angajaţilor.
 Riscul de infrastructură se concretizează în faptul că organizaţia nu deţine o
infrastructură efectivă a tehnologiei informaţiei (hardware, retele, software,
oameni şi procese) pentru a susţine nevoile acesteia.
 Riscul de management al situaţiilor neprevăzute (risc de disponibilitate) este
riscul asociat pericolelor naturale, dezastrelor, căderilor de sistem care pot
conduce la pierderi definitive ale datelor, aplicaţiilor, în absenţa unor proceduri
de monitorizare a activităţii, a planurilor de refacere în caz de dezastre.

3.3. Metode cantitative şi calitative de evaluare a riscurilor IT

Modelele de risc, fie ele cantitative sau calitative, reprezintă instrumente deosebit
de utile auditorilor IT pentru identificarea diferitelor tipuri de risc, oferind în acelaşi timp
informaţii pentru a le determina şi controla.
Literatura de specialitate abordează două modele de analiză a valorii riscului:
modelul cantitativ şi modelul calitativ ; acestea pornesc de la premisa că orice organizaţie
se poate aştepta la apariţia unor pierderi cauzate de ineficienţa unui sistem informatic, iar

76
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

acest risc al pierderilor, rezultă din impactul pe care îl au ameninţările asupra resurselor
organizaţiei.
Modelul cantitativ se bazează pe următoarele elementele:
 valoarea monetară credibilă a activelor;
 “impactul” ca procent din valoarea activelor;
 probabilitatea pierderilor anuale;
 pierderea anuală aşteptată;
 costul controlului şi măsurilor de precauţie
 incertitudinea.
Impactul generat de o singură ameninţare sau pierderea potenţială asociată unei singure
apariţii se calculează astfel:
Impact=FV * VA sau PPA = FV * VA
Pierderea anuală anticipată este influenţată de rata anuală a apariţiei riscului şi poate fi
determinată astfel:
PAA = PPA * RAA
unde: FV – factor de vulnerabilitate
VA – valoarea activului
PPA – pierderea potenţială asociată unei apariţii.
PAA – pierdearea anuală anticipată
RAA - rata anuala a apariţiei
O astfel de analiză include de asemenea o evaluare a raportului cost/beneficii ce va facilita
proiectarea ratei de recuperare a investiţiilor (ROI) pentru un anumit set de controale.
ROI=Benefiii nete/Cost
Aceste modele matematice furnizează un rezultat concret, dar care trebuie inclus în mediul
economic şi observat dacă el reprezintă realitatea.

Specialistul Alan Oliphant propune un model calitativ de determinare a nivelului de


risc, conform căruia sunt luaţi în calcul 4 factori de bază în aprecierea valorii riscului:
impactul financiar, vulnerabilitatea, complexitatea şi încrederea (model reprezentat în
figura 3.227).

27
Modelul prezentat este descris în articolul „Modeling information risk elements” („www.theiia.org/itaudit”)

77
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Figura nr. 3.2 Evaluarea riscurilor


În acest caz, valoarea riscului va fi exprimată prin valorile “Foarte Scăzut, Scăzut,
Mediu, Înalt, Foarte Înalt” şi nu în valori absolute ; formula de determinare a valorii
riscului este următoarea :
VR= VF * [( Cv*Wv )+( Cc*Wc )+( Ct*Wt )]
unde:
VR - valoarea de risc
VF - impactul financiar asupra organizaţiei; acesta reprezintă un cost potenţial al
organizaţiei în eventualitatea apariţiei unei erori, căderi de sistem, fraude sau alte
evenimente negative. Valoarea materială va fi dată de valoarea financiară sau valoarea
activelor. Impactul asupra organizaţiei poate fi sporit prin intermediul unui multiplicator
non financiar:
[(Cv*Wv)+(Cc*Wc)+(Ci*Wi)]
Acest model de calcul poate fi privit ca un punct culminant al analizei factorilor de risc:
vulnerabilitate, complexitate şi încredere.
Cv - vulnerabilitatea, se referă pe de o parte la modul în care utilizatorii autorizaţi au
acces în sistem şi pe de altă parte la accesibilitatea sistemului şi a activelor organizaţiei de
către utilizatori neautorizaţi. Accesibilitatea unui sistem informaţional se poate evalua în
funcţie de restricţiile fizice implementate în cadrul organizaţiei şi de modalităţile de acces
prin intermediul reţelei de comunicaţie.

78
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Cc - complexitatea - are în vedere riscul asociat tehnologiei informaţionale în sine,


numărul utilizatorilor din cadrul compartimentelor sau în termeni mai generici
complexitatea organizaţională.
Ci - încrederea, reflectă comportamentul uman din organizaţie şi vizează două aspecte:
integritatea personalului şi gradul de implicare al managerilor.
Wv, Wc, Wi - reprezintă factori de greutate (importantă) care pot fi aplicaţi la discreţia
auditorului, în funcţie de condiţiile specifice. Iniţial, aceşti factori pot fi stabiliţi la o
valoare de 0.33 în vederea determinarii unui multiplicator mediu general al riscului ;
această valoare nu este fixă şi atunci când se consideră că unul dintre elemente are un
impact mai mare decât celelalte, se pot folosi valori diferite.
Valoarea de risc calculată va fi transpusă într-un „tabel de traducere”, indicându-se
nivelul de risc; în proiectarea acestui tabel, auditorii au în vedere următoarele reguli:
valoarea cea mai scăzută de risc = 0 şi valoarea cea mai ridicată se apreciază ca fiind
valoarea totală (financiară) a organizaţiei multiplicată cu 3.
Un exemplu în acest sens, va elucida eventualele ambiguităţi create: se consideră o
bancă a căror active sunt apreciate la 1 milion $. Modelul va fi aplicat asupra a două
categorii de operaţii: conturi curente şi operaţii cu schimburi valutare. Valoarea activelor
bancare fiind apreciată la 1 milion $, maximul valorii de risc va fi deci de 3 milioane $.
Pentru a construi tabelul de traducere se va împărţi această plajă de valori în segmente,
apreciate la nivelele de risc pe scara de la 1..5. Cea mai simplă metodă o va reprezenta
împărţirea în intervale egale. Din nefericire, în practică lucrurile nu sunt chiar atât de
simple. În mod evident, pierderea integrală a activelor poate fi considerată un risc înalt, dar
inevitabil, apar întrebări de genul: De unde încep riscurile să crească? Unde ating riscurile
nivelul mediu?
În general, în construirea acestui „tabel de traducere” auditorii solicită şi
consultarea managementului entităţii.

Valoarea de risc Nivelul de risc


De la La
0 10.000.000 1
10.000.001 100.000.000 2
100.000.001 200.000.000 3
200.000.001 400.000.000 4
400.000.001 3.000.000.000 5
Tabelul 3.1 „Tabelul de traducere” a valorii riscului

79
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Soluţia prezentată anterior nu este general valabilă, auditorii putând să-şi folosească
experienţa profesională în funcţie de particularităţile situaţiei analizate. Tabelul 3.2 prezintă
informaţii relevante pentru analiza riscului, în cazul ales.

Criteriu Conturi curente Operaţii de schimb valutar


Valoarea 250.000.000 $ 400.000.000 $
financiară
Accesul la sistem poate fi Accesul intern este restricţionat
obţinut de la majoritatea de la terminale speciale, aflate
Vulnerabilitatea terminalelor din interiorul în încăperi cu un acces
băncii, cât şi a sucursalelor. În controlat. Se poate aprecia că
plus accesul poate fi realizat pentru acest sistem accesul
prin sistemul de Internet utilizatorilor este mult limitat.
Banking şi pe arii limitate de la
terminalele ATM (Automat
Teller Machine). In concluzie,
majoritatea utilizatorilor pot
accesa sistemul. Rata Vulnerabilităţii: Medie.
Rata Vulnerabilităţii: Inaltă.
Complexitatea Sistemul este vechi, utilizat de Sistemul este utilizat de 3 ani.
peste 15 ani, actualizat în timp. Este un sistem proprietar care
Cel puţin 10 specialişti IT au nu a suferit modicări.
cunoştinţe detaliate despre Documentaţia este actualizată
sistem, documentaţia existentă de proprietar şi numai 2
nu a fost actualizată cu noile specialişti IT au fost instruiţi în
modificări. Sistemul se buna întreţinere a sistemului.
caracterizează prin multiple Sistemul se caracterizează prin
funcţii, este integrat cu multe câteva funcţii şi poate fi
alte sisteme bancare şi integrat doar cu sistemul
furnizează informaţii oricărui contabil. Departamentul
departament. Trezorerie este singurul
utilizator.
Rata Complexităţii: Înaltă. Rata complexităţii: Scăzută.

80
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Încrederea Managementul acordă o Managementul este concentrat


importanţă deosebită acestui asupra unor probleme de
sistem deoarece s-au înregistrat secuitate legate de comunicaţia
numeroase căderi ale acestuia. cu exteriorul, dat în timp nu s-
au înregistrat căderi ale
acestuia.
Rata Încrederii: Înaltă. Rata Încrederii: Înaltă
Tabelul 3.2 Informaţii de apreciere a ratelor de risc pentru cei 3 factori: complexitate, vulnerabilitate şi încredere

VR = VF * [(Cv*Wv)+(Cc*Wc)+(Ci*Wi)]
Deci,
1. VR=250.000.000*[(3*0.33)+(3*0.33)+(3*0.33)]=750.000.000 $
2. VR=400.000.000*[(2*0.33)+(1*0.33)+(3*0.33)]=266.666.666 $
Aceste valori vor fi interpretate cu ajutorul “tabelului de traducere” a valorii riscului
(tabelul 3.1) astfel:
 pentru sistemul conturi curente – riscul este considerat Foarte Înalt.
 pentru sistemul asociat schimburilor valutare – riscul este considerat Înalt.
Concluziile finale ale acestei analize pot fi considerate drept premise pentru crearea
planului de audit sau pentru determinarea nivelului de control care trebuie implementat.

3.4. Controlul general

Controlul general este destinat să supervizeze sistemul informaţional în ansamblul său,


având o incidenţă asupra tuturor aplicaţiilor informatice ce funcţioneză în mediul
informatizat. Numai prezenţa acestui control nu oferă o garanţie asupra fiabilităţii unei
aplicaţii informatice şi nici asupra completitudinii şi acurateţei ieşirilor acesteia, întrucât
credibilitatea lor este dependentă de controlul aplicaţiilor. Componentele controlului
general sunt reprezentate în figura 3.2.

81
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Controlul
Controlul
continuităţii
organizaţional
activităţii

Controlul
General

Controlul Controlul
dezvoltării şi securităţii
întreţinerii sistemului
sistemului
Figura nr.3.2 Componentele controlului general

3.4.1. Controlul organizaţional evidenţiază psihologia managerului şi stilul său de


operare, poziţia acestuia faţă de sistemul informaţional. Într-un mediu informatizat
managerul trebuie să se asigure că există o separare a funcţiilor incompatibile la nivelul
tuturor departamentelor informaţionale. În domeniul prelucrării automate există numeroase
funcţii, care, din considerente de securitate, se recomandă să fie exercitate de persoane
diferite, cum ar fi:
 operarea la calculator şi programarea aplicaţiilor;
 pregătirea datelor şi prelucrarea lor;
 prelucrarea datelor şi controlul calităţii prelucrării;
 operarea la calculator şi gestiunea suporţilor de memorare;
 reproducerea, eliberarea sau distrugerea informaţiilor importante şi
autorizarea înfăptuirii lor;
 scrierea programelor de aplicaţii şi administrarea bazei de date;
 proiectarea, implementarea şi modificarea softului privind securitatea
sistemului şi exercitarea oricărei alte funcţii;
 controlul privilegiilor de acces şi exercitarea oricărei alte funcţii.
Controlul organizaţional urmăreşte să verifice dacă departamentul informatic ocupă
locul care îi revine în cadrul entităţii, numărul de persoane aferent acestuia este suficient,
iar sarcinile incompatibile să fie separate. În realizarea acestui obiectiv, auditorul va
examina:

82
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 Planurile strategice asociate tehnologiei informaţionale sunt stabilite şi revăzute


anual, examinate şi aprobate de responsabilii importanţi ai entităţii;
 Responsabilul informatic ocupă o poziţie ierarhică ce reflectă importanţa
tehnologiei informaţionale pentru entitate;
 Separarea funcţiilor în cadrul compartimentului informatic;
 Descrierea sarcinilor corespunzătoare fiecărei funcţii specifice compartimentului
informatic;
 Definirea nivelurilor de autorizare şi supervizare în fiecare domeniu funcţional al
serviciului informatic;
 Politica de personal în domeniul IT permite asigurarea formării şi durabilităţii
colaborării personalului care posedă experienţa necesară.

3.4.2. Controlul dezvoltării şi întreţinerii sistemului este conceput, să ofere o asigurare


rezonabilă asupra faptului că sistemul este dezvoltat şi întreţinut într-o manieră autorizată
şi eficientă.
Mediul concurenţial şi volatilitatea informaţiilor reprezintă, adesea, factori ce impun
modificări ale aplicaţiilor de procesare automată a datelor tocmai pentru a ţine pasul noilor
exigenţe (spre ex: modificarea impozitarului salariilor, noi modificări legislative pentru
cota de tva). Orice modificare adusă aplicaţiilor din cadrul sistemului informatic va fi
subiectul unei autorizări stricte, unor proceduri de testare şi control. În acest sens, pentru a
se asigura eficienţa şi eficacitatea activităţilor, auditorul va verifica dacă sunt îndeplinite un
minim de cerinţe:
 există proceduri care asigură documentarea şi planificarea calendaristică a oricărei
modificări aduse sistemului iniţial sau unor componente ale acestuia;
 modificările necesare sistemului sunt analizate astfel încât să se determine, pe cât
posibil, tendinţele viitoare;
 există proceduri prin care se asigură execuţia numai a modificărilor autorizate;
 aplicaţiile modificate sunt date în exploatare numai după ce acestea, în prealabil, au
fost testate şi documentate;
 după implementarea noilor modificări, se asigură utilizatorilor o perfecţionare
adecvată;
 există mecanisme de control care să prevină modificarea neautorizată a sistemului;

83
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 se asigură un control al accesului la documentaţia sistemului;


 achiziţionarea unui nou sistem de la terţe părţi, are la bază un studiu de fezabilitate,
este acesta un proces controlat de autorităţile interne, noul sistem este compatibil cu
sistemul existent (altfel spus organizaţia dispune de resurse hardware şi software
compatibile noului sistem), satisface acesta cerinţele organizaţiei.
Oricât de bun ar fi un sistem, dacă întreţinerea şi dezvoltarea acestuia nu reprezintă un
proces continuu şi adecvat, uzura morală a acestuia, mai devreme sau mai târziu îşi va face
simţită prezenţa, iar toate eforturile depuse pentru achiziţionarea şi implementarea lui pot fi
deşarte.
La nivelul departamentului de audit intern, se impune realizarea unui control al modificării
programelor sursă, control ce poate fi implementat din partea auditorilor, cu ajutorul
tehnicilor:
testul de numărare a biţilor realizează o comparaţie a lungimii copiei de
siguranţă şi a programului în lucru. Testul pare a fi destul de relevant pentru că
este dificil a schimba logica unui program fără a-i afecta lungimea sa.
testul de program logic - presupune o comparare a codului sursă a aplicaţiei în
uz cu versiunea arhivată. Cele două versiuni sunt analizate linie cu linie, lucru
destul de obositor dacă avem în vedere dimensiunea aplicaţiilor.
testul bazat pe folosirea unor date fictive (Integrated Test Facility: ITF)
este un test mai complex ce solicită timp din partea auditorului pentru a-şi
proiecta datele de intrare; ulterior datele sunt introduse prin programul în lucru
şi se verifică ieşirile.

3.4.3. Controlul securităţii sistemului

Alegerea unei strategii corecte de abordare a securităţii unui sistem trebuie să


pornească de la adevărul unanim acceptat că nu există un produs de securitate universal
valabil. Practica a demonstrat că nu există o „reţetă unică” care, odată implementată, va
asigura beneficiarul că datele nu vor fi modificate sau furate. Nici un sistem nu poate fi
100% securizat şi utilizat în acelaşi timp - fapt care conduce la formularea unor afirmaţii
de genul "ceea ce se câştigă în securitate, se pierde în funcţionalitate".
Controlul securitatii asigură protecţia organizaţiei faţă de un acces neautorizat la
resursele organizaţiei, atât din partea angajaţilor ei cât şi din partea persoanelor din afara ei.

84
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Problema securităţii se resimte astăzi ca o nevoie acută, deşi implementarea ei apare


adeseori în urma pierderilor importante de date, fraude sau furturi informaţionale. Printre
actorii acestei scene - adesea persoanele din interiorul entităţii - angajaţii numiţi în
literatura de specialitate infractorii de tip "guler alb" - comit majoritatea infracţiunilor
informatice. În acest context, este necesar să se conştientizeze că securitatea sistemelor
informaţionale este, în primul rând o problemă umană şi nu una tehnică, ceea ce impune
sensibilizarea şi motivarea factorului uman în acest sens.
Auditorul trebuie să verifice măsura în care controlele existente în organizaţie
asigură confidenţialitatea, integritatea şi disponibilitatea resurselor informaţionale.
Confidenţialitatea vizează protejarea informaţiilor împotriva oricărui acces neautorizat.
Aspectul cel mai important în acest caz îl reprezintă identificarea şi autentificarea
utilizatorilor sistemului.
Integritatea informaţiilor se referă la protejarea acestora împotriva modificărilor
(accidentale sau intenţionate) neautorizate; un acces neautorizat la informaţiile strategice
ale organizaţiei conduce adeseori la fraudă.
Disponibilitatea presupune asigurarea accesibilităţii sistemului informatic ori de câte ori
persoane autorizate din cadrul sistemului solicită acest lucru.
Ce este necesar să protejezi, împotriva cui şi cum ? - sunt întrebări ce stau la baza
definirii unei strategii de securitate la nivelul unei organizaţii.
Securitatea este o protecţie a informaţiei şi proceselor unui sistem informaţional
împotriva dezastrelor, greşelilor umane şi manipulărilor frauduloase astfel încât impactul
asupra organizaţiei să fie minimizat. Cerinţele unei securităţi în domeniul tehnologiei
informaţionale sunt adesea redate de următorii termeni:
Asigurare: faptul că sistemul funcţioneză conform aşteptărilor, răspunde cerinţelor
utilizatorilor.
Identificare/Autentificare: procesul prin care calculatorul recunoşte prezenţa unui potenţial
utilizator al sistemului
Responsabilitate/Audit trail: abilitatea de a şti cine, ce execută, unde şi cum. Utilizatorii
sunt responsabili şi trebuie să-şi justifice acţiunile lor.
Controlul accesului: accesul la resursele informaţionale poate fi restricţionat pe diferite
categorii de utilizatori.
Acurateţea: asigură completitudinea şi integritatea informaţiilor.

85
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Securizarea transferului electronic: prin asigurarea confidenţialităţii, integrităţii,


autenticităţii mesajului transmis şi non-repudierea acestuia.
Continuitatea serviciilor: asigură disponibilitatea datelor şi proceselor utilizatorilor
sistemului.

3.4.3.1 Politica de securitate informaţională

Strategia de securitate a unui sistem trebuie să se bucure de simplitate, coerenţă şi


conformitate cu standardele existente. Ceea ce conferă o bază solidă unei societăţi este
politica de securitate informaţională adoptată şi ea poate fi definită ca „un set de reguli şi
practici care reglează modul în care o organizaţie foloseşte, administrează, protejează şi
distribuie propriile informaţii sensibile”. Un astfel de document, conform Computer
Control Guidelines, ar trebui să conţină:
„ - responsabilităţile personalului în ceea ce priveşte securitatea informaţională;
- atribuţiile responsabilului cu securitatea informaţiilor în cadrul organizaţiei;
- clasificarea datelor şi nivelurilor de securitate asociate acestei clasificări;
- rolul auditorului intern în monitorizarea securităţii sistemului.”
Odată instituite aceste politici într-o organizaţie ele conferă credibilitate resurselor
informaţionale. Practica a demonstrat că nu există două organizaţii care să aibă politici de
securitate identice, acestea individualizându-se tocmai datorită particularităţilor pe care le
implică o entitate. Într-o unitate sunt necesare politici speciale pentru utilizarea Internetului
şi a e-mail-ului, pentru accesarea de la distanţă a sistemului, pentru modurile de utilizare a
unui sistem informatic, pentru protecţia informaţiilor, politica managementului
parolelor,etc. Aşadar, se poate spune că, printr-o politică de securitate informaţională se
defineşte politica de ansamblu a organizaţiei în domeniul informaţional, precum şi
responsabilităţile din sistem.

3.4.3.2 Clasificarea informaţiilor

Un element esenţial, inclus de altfel în politica de securitate a unei organizaţii, îl reprezintă


clasificarea informaţiilor în funcţie importanţa lor şi nivelul de protecţie pe care acestea îl
impun, urmărind apoi stabilirea mecanismelor de securitate care trebuie asigurate prin
sistemul informatic.

86
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Criteriile generale de clasificare a informaţiilor, la nivelul unei organizaţii, pot fi:


 Valoarea - dacă o informaţie este valoroasă pentru o organizaţie sau pentru
concurenţii ei, atunci ea trebuie să fie clasificată.
 Vârsta - vârsta unei informaţii cu cât este mai mare duce la pierderea din valoare,
fapt ce a generat procesul de declasificare a informaţiilor după un anumit număr de
ani.
 Uzura morală - atunci când informaţiile sunt înlocuite de altele noi sau când într-o
organizaţie s-au înregistrat schimbări radicale, clasificarea informaţiilor devine
perimată şi va fi înlocuită cu alta.

Datele sunt clasificate, în funcţie de importanţa lor, pe patru nivele şi anume28:


 Clasa 1: Date publice (informaţie neclasificată)
În general, datele din sistem trebuie să fie publice fără ca acest lucru să genereze
implicaţii asupra organizaţiei; integritatea datelor nu este în acest caz vitală. Atacurile din
exterior pot fi considerate riscuri acceptabile chiar dacă afectează serviciile oferite de
sistem. Un exemplu concludent în acest sens îl constituie serviciile care oferă informaţie de
interes public.
 Clasa 2: Date interne
Datele interne reprezintă datele procesate în sistem, în cadrul diferitelor
compartimente funcţionale pentru care accesul direct, neautorizat, trebuie prevenit; accesul
intern la aceste date trebuie să fie selectiv. În măsura în care, din diferite cauze, aceste date
devin publice acest lucru nu va determina consecinţe critice. Integritatea acestor date este
importantă, dar nu vitală, fapt reflectat în practică de anumite informaţii referitoare la
partenerii societăţii.
 Clasa 3: Informaţii confidenţiale
Datele din această clasă sunt confidenţiale în cadrul organizaţiei şi protejate faţă de
accesul extern. Afectarea confidenţialităţii acestor date, ca urmare a unui acces neautorizat,
poate influenţa eficienţa operaţională a companiei, poate genera pierderi financiare şi oferi
un avantaj competitorilor sau o scădere importantă a încrederii clienţilor. În acest caz,
integritatea datelor este vitală; exemple pertinente, în acest sens, pot fi datele privind
salariile şi resursele umane, anumite date contabile, parole de acces, informaţii despre
„punctele slabe” ale companiei, date despre clienţii confidenţiali etc.
28
prelucrare după http://www.boran.com/security

87
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 Clasa 4: Informaţie secretă


Accesul intern sau extern neautorizat la aceste date este critic, aspect care justifică
faptul că integritatea datelor este vitală. Numărul de utilizatori care au drept de acces la
aceste date este foarte limitat, ceea ce determină stabilirea unor reguli stricte de securitate.
Realitatea practică oferă exemple concludenteîn acest sens: informaţii strategice ale
companiei, contracte ce au caracter secret, date privind anumite proiecte de cercetare
desfăşurate în cadrul companiei.

Această clasificare nu este singura recunoscută de literatura de specialitate, ea fiind


redată doar cu titlu exemplificativ. Un alt model29 de clasificare a informaţiilor, la nivelul
unei organizaţii, identifică următoarele clase:
 Informaţii speciale - categorie ce vizează acele aspecte a căror compromitere ar
conduce la pierderea a 10 procente din profitul brut anual.
 Informaţii confidenţiale - calificativ ce se atribuie informaţiilor a căror deteriorare
ar afecta cel puţin un procent din profitul net anual.
 Informaţii private - ce cuprind informaţii şi materiale a căror compromitere ar
prejudicia statutul unei persoane din unitate.
 Informaţii de uz intern - acelea care nu fac parte din categoriile anterioare şi au
restricţii în utilizare.
 Informaţii publice - care nu necesită o clasificare.
Oricare ar fi metoda de clasificare, paşii de parcurs într-un sistem de clasificare
presupun o anumită ordine de prioritate şi includ:
• identificarea administratorului/custodelui;
• specificarea criteriilor după care vor fi clasificate şi etichetate informaţiile;
• clasificarea datelor după proprietar, care devine subiect supus auditării;
• precizarea şi documentarea oricăror excepţii de la politicile de securitate;
• precizarea controalelor aplicate fiecărui nivel de clasificare;
• specificarea procedurilor de declasificare a informaţiilor;
• crearea la nivel de organizaţie a unui program de conştientizare a controalelor pe
linia clasificării informaţiilor.

29
Oprea D. – Protecţia şi securitatea informaţiilor, Ed. Polirom, 2003.

88
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

3.4.3.3 Strategia de control a securităţii sistemului

O strategie de control a securităţii sistemului informaţional impune parcurgerea


următorilor paşi:
1. Analiza activelor, etapă ce presupune o identificare şi evaluare a resurselor sistemului
informatic ce se doresc a fi protejate: sistem de operare, aplicaţii, infrastructura reţelei,
informaţiile prelucrate de sistem.
Auditorul va verifica existenţa unei clasificări a informaţiilor, în funcţie de importanţa lor,
în cadrul politicii de securitate existente pentru că măsurile de protecţie ce se impun a fi
luate vor fi corelate cu valoarea acestor active.
2. Analiza politicilor, practicilor de securitate existente.
3. Analiza posibilelor ameninţări ale sistemului.
Ameninţările sunt acele evenimente sau activităţi, în general externe unui sistem, care pot
afecta la un moment dat punctele slabe ale acestuia, cauzând impacturi. În general o
ameninţare este o potenţială forţă care poate degrada confidenţialitatea şi integritatea
sistemului, generând adeseori întreruperi de servicii ale acestuia. O clasificare identifică
următoarele categorii de ameninţări, care vizează:
 identificarea/autentificarea utilizatorilor sistemului: impostori ce se prezintă drept
utilizatori ai sistemului, programe tip „spargatoare de parole” pentru aflarea
parolelor din sistem.
 disponibilitatea informaţiilor: cutremurele, inundaţiile, alunecările de teren, variaţii
bruşte de temperatură, incendii, explozii, fenomene astrofizice, fenomene biologice,
supraîncărcarea serverului, căderi de sistem, sabotarea sistemului: distrugerea fizică
a conexiunilor reţelei, distrugerea fizică a mediilor de stocare, introducerea
viruşilor, ştergerea datelor critice.
 secretele organizaţiei: supravegherea reţelei, acces neautorizat la informaţiile
secrete;
 integritatea/acurateţea informaţiilor: modificarea deliberată a informaţiilor;
 controlul accesului: folosirea incorectă a parolelor, configurarea improprie a reţelei,
acces fizic neautorizat;
 repudierea: refuzul recunoşterii expedierii/ recepţionării unui mesaj;

89
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 legalitatea: nerespectarea regulamentelor interne şi a cerinţelor legale de protejare a


datelor; şi
 elemente cu caracter general precum erori umane, fraudă, furt, delapidare,
vânzarea informaţiilor confidenţiale, folosirea neautorizată a calculatoarelor,
introducerea de viruşi în sistem, etc.
Aceste ameninţările există oricum, ele nu pot fi controlate, eradicate sau redirecţionate,
ci numai monitorizate, detaliate pe proceduri şi tehnici de manifestare, iar concluziile vor fi
baza evaluării vulnerabilităţilor sistemului propriu.
Sursele manifestării acestor ameninţări sunt: spionaj politic, comercial, angajaţi,
hackeri, vânzători care au acces la sistem, detectivi particulari, mercenari, jurnalişti.
4. Analiza impactului financiar
Care este impacul sau consecinţa manifestării unei astfel de ameninţări sau a unei
combinaţii de ameninţări? Pierderea secretelor organizaţiei, modificarea informaţiilor
contabile, falsificarea transferului de bani sunt doar câteva exemple.
Impactul financiar este definit ca estimarea valorică a pierderilor entităţii ca
urmare a exploatării vulnerabilităţilor sistemului de către ameninţări. Acest impact poate
avea două componente: un impact pe termen scurt şi un impact pe termen lung. Aprecierea
acestuia poate fi considerată ca un număr pe o scară de la 0 ... 5 cu semnificaţia:
0 – impact neglijabil
1 – efectul e minor, procesele organizaţiei nu vor fi afectate.
2 – procesele organizaţiei sunt afectate o perioadă de timp, se înregistrează pierderi
financiare şi chiar confidenţialitatea clienţilor este afectată minim.
3 – se înregistrează pierderi semnificative asupra proceselor organizaţiei, confidenţialitatea
clienţilor este pierdută, valoarea de piaţă a acţiunilor scade.
4 – efectele sunt dezastruoase, dar organizaţia poate supravieţui cu costuri semnificative.
5 – efectele sunt catastrofice, societatea nu poate supravieţui.
În esenţă, impactul este specific fiecărei organizaţii, depinde de activele acesteia, de
tipul organizaţiei, de măsurile de prevenire existente, descrie efectul ameninţării şi se poate
manifesta ca o pierdere financiară directă, ca o consecinţă asupra reputaţiei entităţii sau ca
o sancţiune temporară, cu o ulterioară consecinţă financiară (figura 3.3).

90
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Figura nr.3.3 Relaţia dintre vulnerabilităţi, ameninţări, impact şi măsuri de prevenire

Posibile impacturi:
1. Dezvăluirea secretelor companiei, a datelor despre clienţi, dezvăluirea informaţiilor
contabile.
2. Modificarea datelor contabile, datelor despre partenerii organizaţiei (furnizori,
clienţi,..).
3. Atacuri din partea unor persoane care pretind că reprezintă compania.
4. O campanie publicitară negativă ce poate divulga punctele slabe ale sistemului
(breşele de securitate) hackerilor.
5. O campanie publicitară negativă ce poate conduce la modificarea, ştergerea
informaţiilor despre partenerii societăţii.
6. Perturbarea majoră a proceselor organizaţiei.
7. Perturbarea majoră a reţelei.
8. Pierderea confidenţialităţii clienţilor.
9. Organizaţia poate fi acuzată legal (neglijenţă în aplicarea legii sau chiar încălcarea
ei).
10. Reducerea calităţii serviciilor
11. Fraude informatice

91
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

12. Reţeaua poate fi utilizată ca o bază pentru atacatori, în vederea distrugerii altor site-uri.

5. Calculul riscului
Într-un capitol anterior, au fost prezentate mai multe metode cantitative sau calitative de
determinare a riscului recunoscute în practică, conform cărora relaţia de determinare a
riscului poate fi prezentată sintetic astfel:
Risc = Impact * Probabilitate
Care este probabilitatea apariţiei ameninţărilor ? Experţii tehnici pot evalua mai bine decât
cei financiari acest element ca un număr pe o scară de la 0 ... 5.
1 – ameninţarea este foarte improbabil să apară
2 – ameninţarea e posibil să apară mai puţin de o dată pe an
3 - ameninţarea e posibil să apară o dată pe an
4 - ameninţarea e posibil să apară o dată pe lună
5 - ameninţarea e posibil să apară o dată pe săptămână
6 - ameninţarea e posibil să apară o dată pe zi
Riscul poate avea o valoare minimă 0 şi una maximă 25. Auditorul în această etapă va seta
o valoare a riscului acceptabil.

6. Analiza măsurilor de prevenire a atacurilor.


Sistemul de control intern, într-un mediu informatizat, identifică patru categorii de
mecanisme de control reprezentate în mod sugestiv în figura 3.4.
 Control restrictiv ce are ca efect reducerea probabilităţii unui atac deliberat;
 Control preventiv ce protejează vulnerabilităţile cunoscute sau presupuse şi reduc
impactul unui atac reusit;
 Control corectiv ce reduce efectul unui atac prin supravegherea corectitudinii şi
integrităţii datelor;
 Control detectiv ce descoperă atacuri iniţiate sau în desfăşurare şi alarmează
sistemul corespunzător.
Controlul preventiv urmăreşte o detectare a problemelor înainte de apariţie, o prevenire
a erorilor, omisiunilor şi actelor „maliţioase” înainte de apariţie şi implică: angajarea numai
de personal calificat, separarea sarcinilor de serviciu, instructaje adecvate, regulamente
interioare, un control al accesului la informaţiile sensibile astfel încât acesta să fie permis
numai persoanelor autorizate. În completarea acestuia, controlul detectiv are ca obiectiv

92
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

descoperirea şi corectarea erorilor care au apărut printr-o verificare a datelor de


intrare/ieşire, a controlului comunicaţiilor acestor informaţii şi a controlului totalurilor
tranzacţiilor prelucrate.
Controlul corectiv urmăreşte minimizarea impactului ameninţărilor, remedierea
problemelor descoperite de controlul detectiv, identificarea cauzelor problemelor,
corectarea erorilor asignate acestora, ceea ce implică proceduri de back-up, proceduri de
reluare a execuţiei.

Ameninţarea
Minimizarea
Control probabilităţii de Creează Control
apariţie
restrictiv corectiv

Exploatează
ATAC
Descoperă
Control
detectiv Vulnerabilitatea

Declanşează Protejează Rezultă în


Descreşte
Control
preventiv Reduce Impact

Figura nr. 3.4. Tipuri de controale ale accesului în sistem30

7. Determinarea riscului rezidual


Riscul rezidual se defineşte ca acel nivel de risc ce rămâne după analiza şi
evaluarea tuturor măsurilor de combatere a riscurilor. Acest risc va exista întotdeauna, dar
o problemă rămâne de a aprecia dacă acest nivel este acceptabil sau mai trebuie ajustat.

30
Prelucrare după sursa: www.security-risk-analysis.com – COBRA Risk Consult

93
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Figura nr.3.5 Reprezentarea riscului rezidual31

Riscul rezidual ia forma unai concluzii la care s-a ajuns în urma unui proces de
analiza a lui şi trebuie să conţină:
 semnalarea punctelor slabe, nevralgice ale sistemului asociate cu
ameninţările corespunzătoare şi probabilitatea lor de a avea loc;
 toate măsurile (recomandările) ce se impun a fi aplicate dacă riscul rezidual
nu se încadrează la un nivel acceptabil.

8. Întocmirea unui raport de analiză a riscurilor identificate şi a securităţii în


ansamblul său.

Urmarea acestei analize o poate reprezenta detalierea testelor pentru elementele


semnificative ale sistemului, aşa zisele puncte slabe, vulnerabile. În acest sens, auditorul
poate urmări
 securitatea comunicaţiilor
 controlul accesului logic şi fizic
 securitatea fizică
 evaluarea sistemului copiilor de siguranţă(back-up)
 evaluarea sistemelor de protecţie antivirus

31
Prelucrare după sursa: www.security-risk-analysis.com – COBRA Risk Consult

94
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

3.4.3.4 Securitatea comunicaţiilor

În prezent, una din problemele comunicaţiei datelor o reprezintă securitatea transmisiei


şi recepţiei lor. O aplicaţie ce utilizează sistemele bazate pe securitate trebuie să asigure:
 Confidenţialitatea: menţinerea caracterului privat al informaţiei
 Integritatea: dovada că respectiva informaţie nu a fost modificată
 Autenticitatea: dovada identităţii celui ce transmite mesajul
 Non-repudierea: siguranţa că cel ce generează mesajul nu poate să-l denigreze mai
târziu.
Toate aceste proprietăţi pot fi îndeplinite prin utilizarea cheilor publice criptografice.
Criptografia este considerată a fi „arta” sau ştiinţa de menţinere a mesajelor secrete,
asigurând confidenţialitatea, prin criptarea unui mesaj, folosind în acest sens chei asociate
cu un algoritm. Cheia utilizată trebuie să fie secretă ambelor părţi, problema reprezentând-
o managementul cheilor şi menţinerea lor secretă. Aceasta procedură este reprezentată în
mod schematic în figura 3.6 :

Mesaj clar Criptogramă Mesaj clar

K K'
Figura nr.3.6 Tehnica de criptare a unui mesaj

un "mesaj clar" este supus unei transformări (criptare) prin intermediul unei chei (K)
rezultând un text cifrat numit criptogramă. Textul cifrat este transmis prin mediul de
comunicaţie către un destinatar, care cu ajutorul unei chei de descifrare (K') obţine
"mesajul clar".
Sistemele criptografice se pot clasifica în sisteme simetrice şi asimetrice.
Sistemele de criptare simetrice - folosesc o singură cheie atât pentru incriptare, cât
şi pentru decriptare solicitând o încredere reciprocă a părţilor implicate. Altfel spus,
expeditorul criptează textul clar cu ajutorul unei chei secrete, iar destinatarul va decripta
mesajul criptat folosind aceeaşi cheie, reuşita fiind asigurată de secretizarea cheii. Ideal ar
fi ca o astfel de cheie simetrică să fie utilizată o singură dată. Nu în ultimul rând succesul
sistemului se bazează pe dimensiunea cheii. Astfel, dacă ea are mai mult de 128 biţi, este o
cheie sigură, ceea ce înseamnă siguranţă în exploatare.

95
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Cel mai cunoscut sistem bazat pe chei simetrice este Data Encryption Standard
(DES), conceput în 1972, ca o dezvoltare a algoritmului Lucifer al firmei IBM.
Sistemele de criptare asimetrică folosesc două chei: una publică şi una privată, ele
reprezentând o soluţie elegantă în ceea ce priveşte distribuirea cheii. Două sisteme de
criptare asimetrică, se fac astăzi recunoscute: RSA Data Security şi Pretty Good Privacy ,
ambele folosesc acelaşi algoritm: cheia publică este produsul a două numere prime, iar
cheia privată este unul dintre cele 2 numere prime. Un utilizator care cunoaşte cheia privată
poate verifica dacă pentru crearea cheii publice s-a folosit cheia privată.
Astăzi se acordă o atenţie deosebită dezvoltării de standarde şi reguli juridice pentru
rezolvarea principalei slăbiciuni a sistemelor de criptare cu cheie publică: alăturarea unei
chei publice a unui utilizator cu identitatea acelui utilizator. Cum poate şti cu siguranţă un
receptor dacă, cheia publică a destinatarului aparţine cu adevărat acelei persoane şi nu unui
impostor?
Soluţia o reprezintă asocierea unei semnături digitale la cheia publică. O semnătură
digitală32 este „un bloc de date (alcătuit din cifre binare) ce se ataşează unui mesaj sau
document pentru a întări încrederea unei alte persoane sau entităţi, legându-le de un anumit
emiţător”. În esenţă, semnătura digitală stabileşte autenticitatea sursei mesajului.
Dincolo de managementul cheilor de criptare, criptografia trebuie însoţită de un set
de reguli, politici sub care sistemele criptografice pot opera – aşa numita infrastructură -
Public Key Infractructure (PKI).
PKI este o combinaţie de produse hardware şi software, politici şi proceduri care
asigură securitatea de bază necesară astfel încât doi utilizatori, care nu se cunosc sau se află
în puncte diferite de pe glob, să poată comunica în siguranţă. La baza PKI se află
certificatele digitale, un fel de „paşapoarte electronice” ce mapează semnătura digitală a
utilizatorului la cheia publică a acestuia, la care se mai adaugă autorităţile de certificare,
autorităţile de înregistrare, politicile şi procedurile cu chei publice, revocarea certificatelor,
nerepudierea, aplicaţiile de securitate.

3.4.3.5 Controlul accesului se referă la metodele prin care se controlează accesul unui
utilizator autorizat la fişiere, directoare, porturi şi chiar protocoale. În acest sens se poate
vorbi pe de o parte, de un control al accesului în sistem (control fizic), iar pe de altă parte
de un control al accesului la resursele acestuia (control logic).

32
Oprea D. – Protecţia şi securitatea informaţiilor, pag.125, Ed. Polirom, 2003

96
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Controlul accesului în sistem vizează o verificare a unui utilizator autentificat de sistem


prin prisma următoarelor caracteristici: timpul din zi, ziua din săptămână, data, locul unde
se află terminalul. (Permite sistemul accesul utilizatorului la acea oră din zi?, În acea zi din
săptămână?, De la acel terminal? )
Controlul accesului la resurse. Posibilitatea de a acorda sau interzice accesul unui utilizator
la o resursă dată - trebuie să fie parte integrantă a unui sistem de operare de reţea.
Majoritatea sistemelor de reţea prezintă o anumită formă de acces al controlului bazată pe
un sistem de privilegii sau permisiuni, cum ar fi: permisiunea de a citi, scrie, şterge sau
afişa date. Auditorul va verifica sistemul de restricţii impus de administratorul reţelei -
sistem ce trebuie să asigure un filtru adecvat al utilizatorilor în procesele de prelucrare a
datelor şi nu în ultimul rând, va analiza proiectarea reţelei cât şi instrumentele de securitate
folosite în cadrul ei.
O bună gestiune a accesului utilizatorilor presupune ca în fiecare moment să se
cunoască cine are acces în reţea, ce execută, de cât timp accesează resursele sistemului.
Accesul utilizatorilor la un sistem presupune identificarea, autentificarea şi autorizarea
acestuia în sistem.
O serie de vulnerabilităţi, precum gestionarea incorectă a drepturilor utilizatorilor
de către administratorul retelei, nedeconectarea utilizatorilor după un număr de logări
eşuate, gestionarea incorecta a parolelor, ineficienţa mecanismului de control al
utilizatorilor, lipsa unui jurnal care să memoreze ultima logare reuşită sau nereuşită, lipsa
unui sistem de control al accesului la fişiere în funcţie de nivelul de autorizare, conduc la
un acces neautorizat, impropriu la resusele reţelei.
Accesul neautorizat constă în accesul fără drept la un sistem sau la o reţea
informatică prin violarea regulilor de securitate.

Controlul accesului prin parole reprezintă un instrument utilizat frecvent de


auditor în cadrul misiunii sale. Parola, cel mai simplu accesoriu folosit în asigurarea
securităţii, reprezintă adesea o vulnerabilitate uşor atacabilă a unui sistem informatic.
Adesea utilizatorii nu sunt educaţi în alegerea unei parole corecte, ei neconştientizând
faptul că securitatea fiecărui utilizator este importantă pentru securitatea întregului sistem.
Auditorul va verifica dacă sunt stabilite proceduri pentru schimbarea lor periodică,
păstrarea confidenţialităţii parolei, "transparenţa" parolelor, accesul la fişierele cu parole
este protejat. Astăzi nimănui nu-i mai este străin termenul de "spărgător de parole" care nu

97
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

este altceva decât un program ce poate decripta parole sau poate dezactiva protecţia prin
parole. Acesta ar putea reprezenta chiar unul din instrumentele auditorului pentru a
descoperi parolele slabe care există în sistem.
Sistemul parolelor, oricât de complex ar fi el, utilizat singur nu reprezintă
instrumentul ce asigură securitatea unui sistem. Pentru preîntâmpinarea unor aspecte
vulnerabile din sistemul de protecţie prin parole, se recomandă ca o parolă să fie însoţită de
un alt instrument de securitate ce va permite identificarea utilizatorului (o cheie de acces la
consolă, spre exemplu).
Momentul „11 septembrie 2001” a schimbat sensul controlului accesului în sistem,
atât prin prisma mijloacelor de exercitare, cât şi a domeniilor de aplicare. O tendinţă
pregnantă în acest sens o constituie sistemele de identificare biometrică a persoanelor, care
există la ora actuală; însăşi firma Microsoft realizează identificarea angajaţilor săi prin
intermediul unei cartele inteligente, cu elemente biometrice incluse.

Controlul accesului în mediile publice


Pentru a supravieţui pe piaţa competitivă de astăzi, firmele trebuie să-şi facă simţită
prezenţa pe Internet. Vulnerabilităţile reţelei Internet pot genera atacuri surpriză din partea
utilizatorilor reţelei conducând la un acces neautorizat la reţeaua privată cu consecinţele de
rigoare. Auditorul unei astfel de organizaţii, ce foloseşte servicii Internet, va verifica
existenţa şi configurarea instrumentelor specifice cum ar fi: firewall-urile, VPN (Virtual
Private Network), instrumente de detectare a intruziunilor (Intrusion Detection System),
tehnici de criptare şi PKI, programe antivirus.
Firewall-urile sunt produse software sau hardware care restricţioneazã accesul între o
reţea protejatã şi Internet sau alte seturi de reţele, împiedicând astfel accesul neautorizat în
interiorul reţelei.
Un firewall este un sistem plasat între două reţele care se individualizează prin
următoarele caracteristici:
 tot traficul dinspre interior spre exterior şi viceversa trebuie să treacă prin acesta;
 este permisă trecerea numai a traficului autorizat prin politica locală de securitate;
 sistemul însuşi este imun la încercările de penetrare a securităţii acestuia.
Deoarece un firewall este dispus la intersecţia dintre două reţele, acesta poate rezolva şi
alte probleme, decât acela de control al accesului, cum ar fi:

98
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 o bună monitorizare a traficului şi o uşoară detectare a încercărilor de penetrare în


reţea. În acest sens, un firewall poate jurnaliza serviciile folosite şi cantitatea de
date transferate prin conexiuni TCP/IP între propria organizaţie şi lumea exterioară;
 poate permite sau interzice anumite servicii, blocarea accesului de sau pe anumite
staţii, accesul anumitor utilizatori;
 poate bloca complet traficul într-un anumit sens;
 poate fi folosit pentru interceptarea şi înregistrarea tuturor comunicaţiilor dintre
reţeaua internă şi exterior
 poate izola complet reţeaua internă de cea publică.
Avantajele prezentate nu trebuie să ne conducă la idea că un firewall este o soluţie
pentru toate problemele de securitate, dar el reprezintã o "primã linie" de apărare împotriva
atacurilor externe. Acest mediu de securitate avansată, poate implementa măsuri de
securitate prea stricte generând o funcţionare necorespunzatoare a reţelei. În acest sens,
spre exemplu, nu este indicat un firewall în mediile care folosesc aplicaţii distribuite,
deoarece politica de securitate strict implementată, va conduce la o exploatare greoaie a
acestora.
Evaluarea unui firewall impune:
 verificarea configurării corecte a acestuia;
 verificarea regulilor de filtrare a informaţiilor;
 verificarea canalelor de comunicaţie deschise;
 verificarea aplicaţiilor de tip IRC (Internet Relay Chat) sau Instant Messaging,
pentru că acestea constituie căi prin intermediul cărora se lansează diferite atacuri.
Reţele private virtuale (VPN). Vulnerabilităţile reţelei Internet pot fi eliminate prin
utilizarea unui VPN, instrument ce asigură confidenţialitatea datelor prin criptarea şi
încapsularea datelor în timpul transmiterii. O reţea privată virtuală conectează
componentele şi resursele unei reţele private prin intermediul unei reţele publice. Altfel
spus, o reţea privată virtuală este o extensie a Intranetului unei firme peste o reţea publică,
cum este Internetul. VPN permite utilizatorilor să comunice prin aşa numitele “tuneluri”
care străbat Internetul, oferind participanţilor să se bucure de aceeaşi securitate ca a reţelei
private. „Tunelul” este invizibil utilizatorilor din afara reţelei şi în plus toate datele
transmise prin el sunt criptate. Fiecare utilizator al VPN-ului este verificat şi comparat cu o

99
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

bază de date existentă pentru a i se aplica nivelul de securitate specific. În esenţă, soluţia
trebuie să asigure securitatea şi integritatea datelor când traversează Internetul.
O reţea privată virtuală va oferi garanţia următoarelor funcţionalităţi:
 autentificarea utilizatorului, accesul prin VPN fiind permis numai utilizatorilor
autorizaţi; mai mult „instrumentul” va permite monitorizarea şi jurnalizarea
activităţilor, pentru a arăta cine şi când a accesat o informaţie.
 gestionarea adreselor: unui utilizator autorizat i se va asocia o adresă din reţeaua
privată, iar soluţia trebuie să garanteze confideţialitatea lor.
 criptarea datelor: datele transferate prin reţeaua publică trebuie făcute invizibile
utilizatorilor neautorizaţi.
 gestiunea cheilor de criptare; Soluţia trebuie să genereze şi să actualizeze cheile de
criptare pentru client şi pentru server.
 recunoaşterea protocoalelor existente în reţeaua publică (cum ar fi Internet
Protocol, Internet Paccket Exchange.)
Implementarea unui VPN oferă unei organizaţii o serie de avantaje importante:
flexibilitate, uşurinţa administrării, ignorarea uzurii morale a tehnologiei, conectivitate
globală. În acest context, tehnologia VPN vine în întâmpinarea noilor cerinţe impuse de
operarea afacerilor de la distanţă, operaţii de parteneriat interdependente, în care
participanţii trebuie să se poată conecta la resursele centrale, să comunice unul cu altul.

3.4.3.6 Securitatea fizică

Controlul securităţii fizice include măsuri ce vor face ca procesarea datelor să nu fie
afectată de dezastre naturale (foc, inundatii), accidente tehnice (căderi de tensiune), condiţii
de mediu (umiditate, lipsa ventilaţiei). Auditorul verifică măsura în care accesul fizic la
date şi resursele hardware sunt restricţionate corespunzător:
 spaţii speciale pentru amenajarea calculatoarelor cu protecţie la incendii, inundaţii,
etc.
 analiza mediilor de stocare a datelor. Existenta unor programe gen Easy Recovery
sau Lost & Found care permit recuperarea datelor şterse de pe mediile de stocare
pot genera prejudicii importante.

100
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 echipamentelor trebuie să li se asigure condiţiile de mediu specificate în


documentaţia tehnică.
 sisteme de supraveghere şi alarmă;
 controlul personalului de securitate.

3.4.3.7 Evaluarea sistemului copiilor de siguranţă

Pentru a asigura supravieţuirea imediată a sistemelor, copiile de siguranţă hardware


şi software sunt esenţiale pentru succesul fazei de stand-by. Cea mai populară tehnică de
refacere a datelor este sistemul "fiu - tata - bunic" şi ea constă în:
 realizarea unor copii zilnice;
 back-up zilnic se suprascrie în săptămâna urmatoare;
 la sfârşitul unei săptămâni se realizeaza un back-up separat (copia săptămânii);
 back-up săptămânii va fi suprascris în luna următoare.
Realizarea şi păstrarea unor astfel de copii de siguranţă este absolut necesară în
condiţiile unei întreruperi nejustificate a sistemului sau în situaţii de alterare a calităţii
informaţiilor. În evaluarea eficienţei unui sistem back-up e necesar să se analizeze:
 care sunt datele sau informaţiile cărora li se fac copii de siguranţă;
 frecvenţa realizării acestei operaţii, în principu, ea fiind proporţională cu volumul
tranzacţiilor prelucrate şi importanţa acestora pentru organizaţie;
 siguranţa păstrării copiile de siguranţă;
 suporţii magnetici utilizaţi pentru back-up, din punct de vedere al costurilor şi
performanţei;
 maniera de restaurare rapidă şi eficientă a informaţiei, în cazul unor evenimente
nedorite;
 instructaje adecvate realizate personalului organizaţiei.

3.4.3.8 Evaluarea sistemelor de protecţie antivirus presupune:


 verificarea existenţei programelor antivirus la nivel de server şi staţie de lucru;
 o analiză a update-ul software-ului antivirus cu cele mai recente detalii despre noii
viruşi (automat, manual);

101
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 drepturile de a suspenda monitorizarea antivirus aparţine numai administratorului


sau/şi operatorilor, utilizatorilor;
 analiza configurării software-ul antivirus astfel încât acesta să aibă posibilitatea de a
verifica e-mail-ul, cd-urile, floppy-discurile, browser-ul de web, arhivele.

3.4.4. Controlul continuităţii activităţii

Tot mai multe organizaţii realizează că informaţiile reprezintă unul din activele
critice ale unei companii şi că supravieţuirea companiei depinde de disponibilitatea
acestora, pentru că fără o refacere completă a datelor şi informaţiilor, sistemul hardware
este irelevant. Un plan de continuitate a afacerii (Business Continuity) şi recuperare în
urma dezastrelor (Disaster Recovery) este soluţia unei astfel de probleme. Orice astfel de
plan trebuie să răspundă la următoarele întrebări:
Ce reprezintă un dezastru în opinia conducerii organizaţiei?
Cine răspunde de punerea în practică a unui astfel de plan?
Ce acţiuni se întreprind?
Motivul principal pentru ca o entitate să se angajeze în planificarea continuităţii
activităţii şi a recuperării în caz de dezastre este asigurarea abilităţii organizaţiei de a
funcţiona eficient în cazul unei întreruperi severe a operaţiunilor normale. Întreruperile
severe pot apărea din diferite surse:
 dezastre naturale (incendii, inundatii, cutremure etc.);
 căderi de echipamente sau procese (discuri, programe, baze de date etc.);
 greşeli de operare, sabotaj sau erori de apreciere;
 acte de terorism sau criminalitate informatică premeditate (de exemplu, atacuri de
genul ''denial of service'', hacking, viruşi viermi şi cai troieni etc.)
Prevenirea unor astfel de evenimente nu este posibilă, astfel încât existenţa unui astfel
de plan permite reluarea operaţiilor esenţiale mult mai rapid. Important este să remarcăm
încă de la început diferenţele între planurile de prevenire a pierderilor şi planurile de
recuperare în caz de dezastre.
Planurile de prevenire a pierderilor se focalizează pe minimizarea expunerii
organizaţiei la elementele care pot ameninţa operaţiunile normale, ele în esenţă incluzând

102
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

activităţi planificate cu regularitate cum ar fi backup-urile de sistem, autentificarea şi


autorizarea în sistem, scanarea împotriva viruşilor şi monitorizarea utilizării sistemului.
Planurile de recuperare în caz de dezastru se focalizează pe un set de acţiuni care
trebuie realizate de o organizaţie pentru a restaura serviciile şi operaţiunile normale în
cazul apariţiei unei pierderi serioase. În general, un astfel de plan nu va descrie acţiunile
pentru fiecare tip de dezastru posibil ci mai curând caută elemente comune în fiecare
dezastru, cum ar fi spre exemplu pierderea informatiei, pierderea de personal, pierderea de
echipament, pierderea de acces la informaţii şi facilităţi. Planul va specifica setul de acţiuni
pentru implementarea fiecărei activităţi în eventualitatea apariţiei oricărui tip de dezastru
pentru reluarea activităţilor în cel mai scurt timp.
În elaborarea unui plan de recuperare în caz de dezastre se disting 3 faze importante, cu
acţiunile proprii, reprezentate în figura 3.7:
1.Culegerea informatiilor necesare pentru a
identifica sistemele critice, impacturile şi
riscurile potentiale, resursele şi procedurile
de recuperare;
organizarea proiectului
analiza impactului asupra activităţii
analiza riscurilor
dezvoltarea strategiei de recuperare
back-up şi a procedurilor de recuperare
selectarea facilităţilor alternative

Plan de
recuperare in caz

2.Scrierea şi testarea planului 3.Întreţinerea şi auditul


dezvoltarea planului de planului.
recuperare întreţinerea planului
testarea planului realizarea unui audit periodic

Figura nr. 3.7. Etapele de realizare ale unui plan de recuperare în caz de dezastre

3.5 Controlul aplicaţiilor

Controlul aplicaţiilor dintr-un sistem informatic vizează atât un control


administrativ care promovează eficacitatea exploatării, cât şi un control al fiabilităţii

103
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

aplicaţiei. O aplicaţie pentru a fi de calitate, în general, trebuie să respecte câteva condiţii


esenţiale:
 să fie în conformitate cu nevoile beneficiarului;
 să nu prezinte disfucţionalităţi;
 să fie adaptabilă schimbărilor legislative, tehnice.
Controlul unei aplicaţii este o activitate complexă deoarece depinde în cea mai
mare măsură de alte controale, care, într-o primă fază, pot fi „invizibile” pentru auditor:
controlul dezvoltării, implementării şi întreţinerii programelor; controlul accesului fizic şi
logic; separarea funcţiilor incompatibile; controlul copiilor de siguranţă şi al procedurilor
de restaurare. Controlul în sine are în vedere: fişierele principale, versiunea aplicaţiei
folosită în prelucrare, autorizarea datelor de intrare, erorile depistate şi corecţiile acestora.
Controlul unei aplicaţii abordează:
 controlul datelor de intrare
 controlul asupra procesării şi fişierelor de date
 controlul datelor de iesire

3.5.1 Controlul datelor de intrare se defineşte ca un ansamblu de tehnici şi


metodologii care vor garanta integritatea, acurateţea şi oportunitatea datelor
contabile din momentul prezentării lor spre procesare până la regăsirea lor în
situaţiile financiare. Importanţa acestui control este de necontestat, pentru că în
acest punct incidenţa erorilor cât şi tentativa de fraudă sunt frecvente.
Controlul datelor de intrare poate identifica mai multe tipuri de controale reprezentate
în figura 3.7:

Controlul Controlul
autorizării acurateţei

Controlul
datelor de
intrare
Corectarea şi
Controlul sesizarea
completitudinii erorilor

104
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Figura nr.3.7 Tipuri de controale asupra datelor de intrare

Controlul asupra autorizării furnizează în general, o asigurare că toate tranzacţiile


sunt autorizate şi că persoanele care autorizează fiecare tranzacţie au într-adevăr
competenţa să o facă. În general un astfel de control se regăseşte implementat în cadrul
organizaţiilor, dar el poate fi revizuit de auditor printr-o serie de teste, cum ar fi:
 controlul accesului la aplicaţiile informatice garantează faptul că procedurile de
culegere a datelor revin persoanelor autorizate.
 verificarea documetelor autorizate – autorizare furnizată de obicei de o ştampilă
sau o semnătură pe sursa documentului.
 Verificarea intrărilor ce nu au ca sursă un document scriptic. În acest sens este
posibil:
o să se păstreze intrările într-un fişier temporar până la validarea lor de către o
persoană autorizată printr-un proces interactiv.
o să se obtina o autorizare “post introducere” pentru ieşirile la imprimantă în
vederea prelucrării ulterioare.

Controlul asupra acurateţei datelor de intrare, îi va permite auditorului să


desfăşoare o serie de teste ce urmăresc să detecteze date incomplete, incorecte şi
nerezonabile. Diversitatea acestor teste este recunoscută şi ele pot include:
 testul privind formatul datelor: natura datelor, lungimea câmpurilor, acceptarea
valorilor negative sau doar a celor pozitive, formatul datei calendaristice.
 testul verificării domeniului de definire al atributelor. Câteva exemple în acest sens
includ:
 încadrarea domeniului unui atribut într-o mulţime de valori prestabilită:
abrevierile judeţelor, tipuri de documente
 încadrarea într-un interval de valori prestabilit ( ex. Salariul angajaţilor ia
valori în intervalul 2.500.000 – 30.000.000)
 validări ale realizărilor unor atribute diferite numit şi testul dependenţei
logice dintre atribute (ex. Validări privind corespondenţa conturilor – contul
X se poate debita doar prin creditarea conturilor A, B, C)

105
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 testul „rezonabilităţii” datelor, incluzând verificarea relaţiilor logice dintre 2 sau


mai multe fişiere sau de asemenea poate viza conformitatea datelor cu un standard
sau cu legislaţia în vigoare (ex. Grila de impozit aferentă salariilor angajaţilor)
 testul coerenţei datelor de intrare (de ex. Rulaj creditor=Rulaj debitor)
 testul privind verificarea restricţiilor de integritate ce se impun a fi definite
 restricţii asupra valorilor unui câmp; exemplu: pret>0
 restricţii asupra valorilor mai multor câmpuri ce provin din aceeaşi tabelă;
exemplu: cantitate * pret > 1000000
TIP_CONT =”ACTIV” SOLD_I_CREDITOR = 0
 restricţii asupra valorilor mai multor câmpuri ce provin din tabele diferite;
exemplu: data_facturii>=data_contract
 restricţii asupra unor valori obţinute pe baza operaţiilor de sintetizare;
exemplu: Σvalplatita<=valfactura.
 testul cifrei de control

Controlul completitudinii intrărilor este necesar a fi desfăşurat pentru a se asigura că


datele nu au fost pierdute, adăugate, duplicate sau modificate greşit în timpul procesării.
Tehnici de asigurare a completitudinii pot fi reprezentate de următoarele teste:
 test de verificare secvenţială (manual sau automat) – va urmări numerotarea
cronologică, informatizată a datelor de intrare şi prezenţa acestora în evidenţa
contabilă sintetică şi analitică.
 test de verificare încrucişată în care se verifică spre exemplu concordanţa dintre
înregistrările nomenclatorului de mijloace fixe şi fişierul de amortizare asociat
acestora.
 test de verificare individuală ce presupune verificarea fiecărui document manual cu
o lista detaliată a înregistrărilor procesate de calculator.
 controlul totalurilor asociat înregistrărilor prelucrate.
Introducerea datelor este adesea o activitate predispusă erorilor şi poate cea mai
vulnerabilă operaţie este corectarea lor. Aplicaţia informatică ar trebui să realizeze o
jurnalizare a tuturor erorilor identificate astfel încât să permită o verificare a corecţiilor
acestora.

106
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

3.5.2 Controlul prelucrării datelor asigură că tranzacţiile nu au fost pierdute, adăugate,


modificate şi că erorile de procesare au fost identificate şi corectate în timp util. În această
etapă este necesar ca auditorul să urmărească anumite aspecte:
1. Modul de introducere a datelor şi metodele de procesare
a. Introducere pe loturi/procesare pe loturi
b. Introducere on-line/procesare pe loturi
c. Introducere on-line/procesare on-line
2. Natura prelucrărilor
a. Actualizarea bazei de date
b. Sortarea
c. Consultarea
d. Calcule
e. Salvarea şi restaurarea bazei de date.
3. Nivelul descentralizat al prelucrărilor
4. Tipologia sistemelor informatice
Instrumentele auditorului în această etapă sunt:
 Controlul totalurilor, test ce va verifica dacă toate datele din set sunt prelucrate.
Testul numară înregistrările înainte şi după prelucrare şi compară totalul
înregistrarilor intrate cu totalul celor prelucrate.
 Testul de verificare secvenţială
 Testul "Hash-Total" determină dacă identitatea datelor rămâne neschimbată în
timpul prelucrării. Acest test verifică dacă sumele se înscriu în conturile corecte. Se
compară totalul sumelor de înscris cu totalul determinat automat. O diferenţă arată
că o parte din sume nu s-au prelucrat sau contul a fost incorect.
 Testul de identificare a etichetei fişierelor utilizate - se verifică dacă se lucrează cu
fişierul corect (versiunea corecta, autorizata).

Dincolo de testarea procesării în sine, verificarea fiabilităţii unei aplicaţii presupune


şi o testare a:
 calculelor aritmetice realizate de aplicaţie
 volumului maxim de date ce poate fi procesat de aplicaţie pentru verificarea
limitelor sistemului.

107
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 traseului auditării în sensul că acesta este în permanenţă actualizat de


sistem. Traseul auditării în domeniul sistemelor informatice reprezintă o
jurnalizare a tuturor activităţilor şi evenimentelor ce au loc în cadrul
acestuia, el poate include informaţii legate de : utilizatorul care a introdus
datele în sistem, data şi ora la care au fost procesate, identificarea
calculatorului de unde s-a făcut introducerea.
 sistemului de management a bazei de date - testarea structurii bazei de date
trebuie să asigure asupra corectitudii proiectării acesteia.
 interfaţa cu alte aplicaţii. Se poate realiza un import/export de date către alte
aplicaţii ?
O importanţă deosebită în cadrul acestei etape o reprezintă structura şi conţinutul
documentării sistemelor de aplicaţii. O documentare a aplicaţiilor este necesară atât
entităţii pentru a garanta funcţionarea corectă a acesteia cât şi auditorului pentru o bună
înţelegere şi evaluare a aplicaţiei.
O aplicaţie cumpărata este livrată cu cel puţin un manual de utilizare şi unul tehnic.
Documentele pe care auditorul le poate verifica sunt:
 documentaţia de achiziţionare a sistemului de aplicaţii ce include analize
cost/beneficiu, cerinţele utilizatorului
 specificaţiile proiectării funcţionale ce pot include o prezentare a structurii
bazelor de date, cheilor primare, cheilor externe, restricţiilor incluse, o
explicarea a calculelor pe care le face aplicaţia, protecţia fişierelor de bază
 documentaţia aferentă fiecărei modificări a programelor sau a noilor
versiuni actualizate
 manualele de utilizare
 documentaţia tehnică

3.5.3 Controlul datelor de ieşire

Controlul datelor de ieşire se caracterizează în general prin diferite proceduri


manuale menite să asigure:
 acurateţea şi corectitudinea datelor de ieşire;
 distribuirea datelor numai persoanelor autorizate.

108
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Verificarea acurateţei datelor de ieşire are ca punct de plecare o comparaţie a


acestora cu datele de intrare, tocmai pentru a se verifica dacă ieşirile reflectă toate datele
introduse.
Distribuţia datelor de iesire este o problema majoră pentru organizaţie, în sensul că
aceasta trebuie să asigure confidenţialitatea şi securitatea informaţiilor.
În vederea realizării unui control eficient, la acest nivel, auditorul poate desfăşura o serie
de teste, precum:
 verificarea existenţei unui jurnal al tranzacţiilor şi în cadrul său echilibrarea
loturilor
 comparaţii directe cu documentele sursă
 reconcilierea conturilor de înregistrare sau a totalurilor defalcate.

3.6. Sistemul de control intern într-un mediu informatizat, în accepţiunea COBIT

La nivel internaţional, ultimii ani au fost marcaţi de o atenţie pe care auditorii,


managerii şi organismele cu atribuţii de reglementare a domeniului au acordat-o controlului
intern. Efortul lor, depus în sensul de a defini şi evalua cât mai exact controlul intern în
condiţiile utilizării tehnologiei informaţionale, s-a concretizat în publicarea unor noi
documente ce acoperă aria de acţiune a acestui concept.
COBIT (Control Objectives for Information and Related Technology), publicat în
1996 de ISACF (Information Systems Audit and Control Foundation), reprezintă cadrul
general de aplicabilitate a practicilor privind securitatea şi controlul tehnologiei
informaţionale, scopul său principal fiind de a răspunde nevoilor organizaţiei, indiferent de
sectorul în care îşi desfaşoară activitatea. În accepţiunea COBIT, controlul intern
“reprezintă politicile, procedurile, practicile şi structurile organizaţionale proiectate cu
scopul de a oferi o asigurare rezonabilă în ceea ce priveşte atingerea obiectivelor firmei,
precum şi prevenirea, detectarea sau corectarea evenimentelor care ar afecta într-un mod
negativ organizaţia”.
Acest document contribuie la creşterea importanţei acordate tehnologiilor
informaţionale în cadrul activităţilor desfăşurate de o organizaţie, subliniind obiectivele
controlului intern în noul context.

109
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Eficienţa şi
eficacitatea
operaţională

Obiectivele
Controlului Conformitatea
Încrederea în Intern cu legile în
raportările
vigoare.
financiare

Figura nr.3.8. Obiectivele controlului intern în viziunea COBIT

În acest sens, pentru a satisface obiectivele organizatiei, informaţiile trebuie să


respecte anumite criterii, care în documentele COBIT, sunt denumite cerinţele
informaţionale ale organizaţiei , divizate în 3 categorii: cerinţe de calitate, cerinţe de
conformitate şi cerinte de securitate, care la rândul lor sunt identificate prin: eficacitate,
eficienţă, confidenţialitate, integritate, disponibilitate, conformitate şi încrederea
informaţiei.
Eficienţa este definită ca acel indicator care asigură informaţia în parametrii optimi
de productivitate.
Eficacitatea priveşte informaţia ca fiind relevantă şi pertinentă pentru procesul
afacerii, ceea ce presupune furnizarea de informaţii corecte, consistente, utilizabile şi în
timp real.
Confidenţialitatea priveste protecţia informaţiilor sensibile faţă de o cunoaştere
neautorizată.
Integritatea priveşte acurateţea şi completitudinea informaţiilor precum şi
validitatea în raport cu setul de valori a aşteptărilor.
Disponibilitatea priveşte caracterul disponibil al informaţiei atunci când este cerută
de procesul afacerii şi de asemenea urmăreşte securitatea resurselor.
Conformitatea priveşte conformitatea cu acele legi, contracte la care procesul
afacerii este supus.
Încrederea informaţiei presupune asigurarea managementului cu informaţie reală,
identificată în rapoartele financiare.

110
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Resursele folosite în domeniul tehnologiilor informaţionale consistă în date,


aplicaţiile sistemului, tehnologia propriu-zisă şi resursele umane.
Astfel, cadrul conceptual poate fi privit din 3 perspective, reprezentate ca fiind
dimensiunile cubului COBIT: criteriile informaţiilor, resursele IT, procesele (figura 3.9).

Domenii

Procese

Activitati

Figura nr.3.9. “Cubul” COBIT33

Controlul intern, în viziunea COBIT se concentrează asupra a patru domenii:


Planificare şi organizare – definită ca o strategie şi tactică organizaţională, ce
presupune identificarea tuturor „instrumentelor” prin care sistemul informatic asigură, în
modul cel mai eficient, realizarea obiectivelor comerciale ale organizaţiei. Dintre acestea,
se pot menţiona: definirea unui plan strategic pe linie informatică, stabilirea direcţiilor de
acţiune, a arhitecturii informaţionale, organizarea compartimentelor, evaluarea riscurilor,
administrarea investiţiilor informatice, a proiectelor şi, nu în ultimul rând, evaluarea
corectă a calităţii tuturor proiectelor informatice.
Achiziţie şi implementare – impune realizarea unei strategii informatice prin
identificarea, achiziţia, dezvoltarea şi instalarea soluţiilor informatice şi integrarea acestora
în procesele comerciale ale organizaţiei. Mai concret, aceasta presupune: identificarea,
achiziţia, întreţinerea aplicaţiilor şi a infrastructurii informatice, administrarea şi
monitorizarea tuturor schimbărilor în sistem.
Distribuire şi „susţinere” (întreţinere) – este domeniu asociat implementării
aplicaţiilor informatice solicitate, ceea ce include şi exploatarea, securitatea, planurile de
urgenţă şi formarea viitorilor utilizatori. În sens larg, aceasta însemnă: stabilirea planurilor
de service şi asistenţă, administrarea performanţelor sistemului, asigurarea asistenţei
prelucrărilor, asigurarea securităţii fizice şi logice a sistemului, identificarea şi repartizarea
33
prelucrare după sursa www.isaca.org/ct_frame.htm

111
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

costurilor, formarea şi asistenţa utilizatorilor, administrarea configurării, exploatării,


incidentelor, datelor şi prelucrărilor.
Monitorizare – presupune evaluarea continuă, de către management, a calităţii şi
conformităţii proceselor informatice cu exigenţele controlului.
Regula de aur a COBIT poate fi rezumată astfel: resursele IT trebuie să fie
conduse de un set de procese grupate natural, astfel încât, împreună, să furnizeze
informaţia de care are nevoie organizaţia pentru realizarea obiectivelor ei.

Figura. nr.3.10. Controlul intern într-un mediu informatizat

Această documentaţie COBIT, oferă ulterior un ghid asociat procesului de audit,


care subliniază scopul unei astfel de misiuni, ce trebuie să furnizeze managementului
organizaţiei o asigurare rezonabilă că obiectivele de control sunt îndeplinite şi, acolo unde
există o „slăbiciune” semnificativă a controlului, să se sublinieze riscurile rezultate şi
totodată să ofere conducerii, recomandările necesare a fi întreprinse.
Cadrul metodologic asociat unei misiuni de audit urmăreşte:

 obţinerea unei înţelegeri a cerinţelor organizaţiei;


 identificarea controalelor existente;
 evaluarea conformităţii controlului intern, testând dacă controalele lucrează aşa
cum au fost prescrise;
 identificarea riscurilor, acolo unde obiectivele de control nu sunt îndeplinite,
folosind proceduri analitice.

112
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Principiile auditului sunt construite în jurul celor 4 premise. În general, un astfel de


proces implică, într-o primă etapă, documentarea activităţilor pentru a evidenţia obiectivele
controlului, intervievarea managementului şi a personalului departamentului IT cu scopul
de a înţelege cu adevărat cerinţele organizaţiei. Ulterior se urmăreşte identificarea
controalelor existente şi analiza măsurilor de control implementate în cadrul organizaţiei;
auditorul trebuie să se asigure că documentaţia procesului există şi să evalueze distribuţia,
responsabilitatea şi disponibilitatea ei.
Evaluarea conformităţii controlului intern este etapa în care auditorul trebuie să se
asigure că măsurile de control stabilite sunt în conformitate cu standardele în vigoare şi
regulamentele interne, fapt ce-l va determina să obţină probe pe diferite eşantioane.
Finalitatea etapei este redată de aplicarea testelor de detaliu şi procedurilor analitice,
tocmai pentru a asigura auditorului certitudinea că procesele IT sunt adecvate.
Ultima etapă, identificarea riscurilor importante ale sistemului informatic, presupune o
analiză a slăbiciunilor de control şi vulnerabilităţilor sistemului în vederea aprecierii
actualului sau potenţialului impact. În acest sens, auditorul va utiliza tehnici analitice şi/sau
consultă surse alternative în acord cu obiectivul auditului.

În loc de încheiere…

Controlul intern într-un sistem informaţional este menit să promoveze atât


eficacitatea exploatării cât şi fiabilitatea sistemului. Astăzi, într-un mediu informatizat,
verificarea şi aprecierea acestui control, la nivelul unei organizaţii, reprezintă „cheia” care
îi conferă auditorului financiar încrederea asupra datelor ce urmeză a fi auditate.
Verificarea integrităţii datelor este o etapă premergătoare îndeplinirii obiectivelor unei
misiuni de audit, deoarece auditorii trebuie să se asigure că rezultatele din rapoartele finale
sunt bazate pe date complete, precise şi fiabile. Întrebarea care se ridică este însă: Cum
poate un auditor să evalueze completitudinea, acurateţea şi integritatea datelor furnizate de
managementul unei entităţi, pentru asigurarea reuşitei misiunii de audit? S-a observat în
capitolul al II-lea, că elementele de fraudă şi eroare cu ajutorul calculatorului nu sunt
puţine. Totuşi, mulţi auditori nu conştientizează necesitatea realizării unui control al
sistemului informatic şi nu percep această testare a validităţii şi autenticităţii datelor ca
fiind direct legată de obiectivele unei misiuni de audit financiar.

113
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

În general, controlul intern într-un sistem informaţional vizează un control general


care afectează mediul activităţilor informatizate şi controlul aplicaţiilor exitente în sistem.
Din punct de vedere al practicii auditului, nu există însă o distincţie între cele două tipuri
de control pentru că în realitate ele se completează reciproc şi, împreună, dau o imagine
completă şi corectă asupra sistemului informaţional.

CAPITOLUL 4
TEHNICI DE AUDIT ASISTATE DE CALCULATOR

4.1 Consideraţii generale privind tehnicile de audit asistate de calculator

Mediul informatizat în care îşi desfăşoară astăzi activitatea orice entitate auditată
influenţează în mod continuu munca auditorilor, prin faptul că el creează noi oportunităţi şi
noi riscuri, reguli suplimentare în ceea ce priveşte securitatea, corectitudinea şi marjele de
eroare acceptabile. Creşterea complexităţii sistemelor, în special a sistemelor de
contabilitate informatizată, de tip ERP34 (Enterprise Resource Planning) cât şi volumul
mare al tranzacţiilor înregistrate în prezent au condus la înlocuirea cu o frecvenţă accelerată
a tehnicilor de audit clasic, „manuale”, cu tehnici moderne, asistate de calculator cunoscute
sub numele de CAAT (Computer Assisted Audit Techniques).
Tehnicile de audit asistate de calculator pot fi definite ca instrumente care au drept
bază calculatorul şi au drept scop îmbunătăţirea eficienţei şi eficacităţii procesului de audit;
o definiţie alternativă ar fi aceea de „tehnici folosite de auditorii care utilizează calculatorul
drept instrument pentru culegerea şi analiza datelor necesare auditului”.
Dezvoltarea tehnologiilor informaţionale şi specializarea continuă a auditorilor au
trasat două direcţii de utilizare a calculatoarelor:
 ca instrument de lucru al auditorului, în cadrul misiunii sale permiţând o
creştere a eficienţei şi eficacităţii activităţii depuse.
 ca obiectiv al unei misiuni de audit (obiect de control), pentru a analiza
acurateţea, integritatea şi completitudinea informaţiilor financiar contabile.

34
ERP-urile sunt recunoscute ca sisteme informatice financiar-contabile integrate, specifice organizaţiilor
mari şi foarte mari. În general, ele încearcă să integreze toate departamentele şi ariile funcţionale din cadrul
unei organizaţii într-un singur sistem informatic, care să răspundă necesităţilor tuturor, înlocuind multitudinea
sistemelor divergente, complexe, mai mult sau mai puţin compatibile.

114
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Folosirea iniţială a datelor prelucrate electronic, în cadrul marilor cabinete de audit, a


condus la realizarea unui „audit în jurul calculatorului”. Într-o primă etapă, reacţia
auditorului a fost de a ignora total calculatorul, tratându-l ca pe o „cutie neagră”, care
oferea un acces rapid la documente şi înregistrările contabile. Interesul major al acestuia
era concentrat pe datele şi informaţiile prelucrate de calculator şi în nici un caz pe structura
internă a aplicaţiilor informatice.
Tehnica propriu-zisă de auditare era caracterizată astfel: auditorii selectau anumite date
de intrare, calculau manual rezultatele şi le comparau ulterior cu datele de ieşire generate în
mod automat de calculator.
Abordarea calculatorului ca instrument al auditorului în îndeplinirea sarcinilor acestuia
este cunoscută în literatura de specialitate ca fiind auditarea "cu ajutorul"
calculatorului. În acest moment, se remarcă apariţia în cadrul marilor cabinete de audit a
software-ului de audit generalizat - instrument CAAT, ce permite compararea conţinutului
a două fişiere, examinarea conţinutului unui fişier, determinarea unor deprecieri, calcularea
mărimii eşantionului de testat, etc. Totuşi, trebuie remarcat că nici în această fază auditorul
nu era interesat de „instrumentul informatic” şi de modul în care se realizează procesarea
datelor.
Astăzi, dezvoltarea noilor tehnologii informaţionale şi utilizarea pe scară tot mai
largă a calculatoarelor i-a forţat pe auditori să trateze calculatorul ca pe ţinta auditării şi să
auditeze "prin" el şi implicit sistemul informatic. Ce înseamnă această nouă abordare?
Aceasta cere auditorului să introducă datele în calculator pentru procesare, apoi verifică
modul în care sunt procesate datele, structura fişierelor, a bazelor de date, a căilor de
comunicaţie, etc. Rezultatele sunt analizate pentru a se constata, dacă utilizatorii şi
conducerea organizaţiei se pot baza pe procesarea şi acurateţea programelor.
În aceste condiţii, se impune precizarea tehnicilor care au impus această abordare:
 Introducerea datelor on-line, proces ce nu mai implică existenţa documentelor
sursă. Auditorul este obligat să "pătrundă" în sistem pentru a determina gradul de
siguranţă şi acurateţea procesării şi a controlului, deoarece nu mai poate parcurge
traseul „documente sursă - documente de ieşire”.
 Reducerea sau chiar lipsa ieşirilor tipărite.
 Actualizarea fişierelor în timp real, tehnică prin intermediul căreia tranzacţiile apar
imediat ce au loc. O ieşire tiparită, prezentând conţinutul unor astfel de fişiere şi
furnizată auditorului ar putea să nu fie corectă. În timpul listării conţinutului unui

115
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

fişier, datele acestuia ar putea fi schimbate - lucru ce-l determină pe auditor "să
acceseze" sistemul pentru a realiza auditarea.

4.2. Repere privind obiectivele utilizării tehnicilor de audit asistate de calculator

Integrarea acestor tehnici şi instrumente moderne de audit asistate de calculator este


o condiţie esenţială pentru creşterea eficienţei şi eficacităţii unei activităţi de audit,
indiferent dacă este vorba de un audit intern sau extern, dar nu constituie un scop în sine.
Rezultatul acestei integrări ar trebui să aducă auditorii pe o poziţie optimă pentru „a lua
pulsul” unei organizaţii, în condiţiile în care planificarea, testarea propriu-zisă şi raportarea
se desfaşoară în paralel şi în timp real. Chiar şi în aceste condiţii, utilizarea CAAT-urilor
trebuie să fie planificată şi abordată numai dacă adaugă valoare auditului sau dacă
procedurile manuale se dovedesc inutilizabile, mai puţin economice sau mai puţin
eficiente.
Analiza disponibilităţii CAAT-urilor, cât şi compatibilitatea pachetului de programe
al auditorului cu sistemul organizaţiei auditate (sunt necesare anumite configurări tehnice
pe care organizaţia nu le posedă în acel moment) sunt cel puţin două condiţii abordate de
auditor înaintea instrumentării lor. Atunci când utilizarea CAAT este ineficientă sau
impracticabilă, se poate opta pentru adoptarea altor facilităţi sau realizarea unei combinaţii
corespunzătoare a tehnicilor de audit manuale cu cele asistate de calculator. Standardul de
audit 1009 „Tehnici de audit asistate de calculator” ajută raţionamentul auditorului în
determinarea oportunităţii utilizării lor şi recomandă în acest sens, analiza următorilor
factori:
• cunoştinţele, specializarea şi experienţa în domeniul informatic ale auditorului.
Acesta trebuie să fie conştient că utilizarea CAAT în anumite condiţii poate
necesita cunoştinţe şi specializare la un nivel semnificativ.
• disponibilitatea CAAT-urilor şi a facilităţilor informatice corespunzătoare.
Cooperarea cu personalul IT al organizaţiei ar putea să ofere facilităţi de
prelucrare, să ajute la derularea unor activităţi auxiliare.

116
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

• imposibilitatea de aplicare a testelor manuale. Numeroase sisteme informatice


financiar contabile pot realiza diverse prelucrări, funcţii pentru care nu există
dovezi vizibile şi, în aceste condiţii, auditorului îi va fi practic imposibil să
realizeze teste manuale. Lipsa unor dovezi vizibile poate apărea la momente
diferite:
o documentele de intrare pot să nu existe, atunci când ordinele de vânzare
sau rambursare au fost primite on-line. Mai mult, anumite tranzacţii
precum acordarea discount-urilor, calculul dobânzilor sunt generate de
anumite module program fără o autorizare vizibilă a tranzacţiilor
individuale.
o rapoartele de ieşire pot să nu fie produse de sistem. În plus, un raport
tipărit poate conţine totaluri sintetizate, în timp ce detaliile se regăsesc în
alte fişiere ale aplicaţiei.
• eficienţa şi eficacitatea procedurilor de audit pot fi îmbunătăţite prin utilizarea
CAAT-urilor. În general utilizarea lor implică testarea întregului volum de date
(testare 100%) ceea ce conduce la o creştere a eficienţei la un nivel de cost
similar. Detaliile tranzacţiilor sau ale soldurilor şi rapoartele tipărite ale
elementelor neobişnuite pot fi analizate mai eficient prin utilizarea
calculatorului decât prin metode manuale.
• normarea timpului.
Astăzi, într-o eră informatizată, apare necesitatea exprimării, de către auditor, a unei
opinii fundamentate în timp real, în defavoarea abordării clasice, cu caracter istoric.
Auditorul trebuie să aprecieze calitativ informaţia produsă de sistemele informaţionale,
presiunile venind, în acest sens, atât din partea managementului intern, cât şi din partea
acţionarilor externi care simt nevoia să fie informaţi pentru a rezista mediului concurenţial.

4.2.1 Importanţa utilizării CAAT

Utilizarea tehnicilor de audit asistate de calculator a câştigat o amploare crescândă,


nu numai în cadrul cabinetelor de audit, ci chiar şi în rândul clienţilor auditaţi (în special, în
cadrul departamentelor de audit intern). La prima vedere, acestea par a implica costuri
poate nejustificate, dar în realitate ele oferă o plus - valoare atât clienţilor, cât şi auditorilor,

117
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

prin imaginea completă pe care o dau unui sistem sau/şi unei tranzacţii. În acest sens, să
analizăm, spre exemplu, veniturile anuale ale unei entităţi, în speţă cele rezultate din plăţile
făcute de către clienţi. În cadrul unei proceduri tipice de control financiar, auditorul extern
obţine balanţa finală a încasărilor şi o listă detaliată a tranzacţiilor care au avut loc. Balanţa
finală a încasărilor este folosită în verificarea analitică, comparând situaţia curentă a
veniturilor cu situaţia din exerciţiul financiar precedent. Dacă variaţia determinată în
funcţie de anumite criterii impuse de auditor, e rezonabilă, se va selecta un eşantion de date
şi în baza lor sunt trimise scrisori de confirmare către clienţi pentru testarea acurateţii şi
existenţei acestor tranzacţii; în schimb, dacă variaţia nu este acceptabilă se vor realiza
testări detaliate, de obicei prin analiza documentelor primare, pentru a determina dacă
există operaţiuni neobişnuite ce contribuie la acea diferenţă denaturată. Auditorii îşi
consolidează concluziile despre veridicitatea sumelor înscrise la venituri, bazându-se în
acest sens pe controlul analitic al documentelor şi confirmările transmise de către clienţi.
Analizând acest caz, care este o situaţie obişnuită în cadrul unei misiuni de audit, apar o
serie de întrebări ce vor să pună în lumină profunzimea acţiunilor întreprinse de auditor:
1. Asigură analiza efectuată un nivel de încredere din care să rezulte că
munca depusă este suficientă pentru a formula o opinie corectă ?
2. Au identificat auditorii toate variabilele posibile care să ateste că nu
există nimic neobişnuit în tranzacţiile entităţii auditate ?
3. Au realizat auditorii ceva ceea ce clienţii auditaţi nu ar fi reuşit să facă
singuri ?
4. Au adus auditorii externi un avantaj real clienţilor ?
Datorită cuantumului mare de operaţii şi a volumului ridicat de date supus acestor analize,
o utilizare a tehnicilor clasice, „manuale” de audit ar genera „timpi morţi” şi adeseori
răspunsul la întrebările prezentate ar fi NU. Introducerea în activitatea de audit a tehnicilor
moderne, asistate de calculator, cum ar fi spre exemplu ACL, Caseware IDEA (dezvoltate
în subcapitolul 4.4) permit atât automatizarea diferitor activităţi, cât şi analiza 100% a
tranzacţiilor din cadrul societăţii auditate.
CAAT reprezintă un pas important realizat de la analiza situaţiilor financiare şi
confirmările clienţilor, deoarece această tehnică clasică se baza pe o mică parte a
tranzacţiilor şi poate, nu întotdeauna, reflecta fidel situaţia reală a entităţii în exerciţiul
respectiv, cu toate eforturile şi profesionalismul auditorilor. Utilizând aceste aplicaţii
informatice, auditorii îşi formează o imagine mai clară asupra „afacerii” clientului deoarece

118
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

sunt capabili să verifice volume mari de date, să le clasifice după anumite criterii, pot emite
statistici şi chiar previziuni furnizând clientului o imagine complexă a societăţii.
Revenind la exemplul anterior - analiza veniturilor unei entităţi, auditorul poate
realiza o gamă diversificată de clasificări a veniturilor (venit / client / lună sau venit /
produs / client) analize ce pot reflecta pe de o parte, comportamentul clienţilor organizaţiei
auditate, iar pe de altă parte pot conduce la identificarea unor carenţe în sistemul de vânzări
(politici greşite, organizare defectuoasă a activităţii de vânzare). În afara avantajului
clasificării, auditorii se mai pot folosi de beneficiile stratificării componentelor pe un
interval. O divizare a veniturilor în segmente de 50$ şi o analiză a clasificării clienţilor în
cadrul acestor segmente, îl pot conduce pe auditor la concluzia că, spre exemplu,
majoritatea clienţilor entităţii auditate cheltuiesc între 250 $ – 300 $. Acest lucru ar putea
genera noi decizii la nivelul conducerii, departamentului respectiv sau la dezvoltarea unor
noi politici de atragere a mai multor clienţi, care aduc venituri de aproximativ 50 $ (spre
exemplu).
Auditorii pot efectua astfel de analize atât asupra cantităţilor pentru a determina
dacă clienţii au tendinţa de a cumpăra în cantităţi mici sau mari articole, cât şi asupra
numărului de tranzacţii pe client pentru a verifica dacă aceştia sunt clienţi fideli.
Avantajele tehnicilor de audit asistate de calculator sunt numeroase, utilizarea lor
implicând testarea întregului volum de date (testare 100%); printre procedurile de audit
folosite frecvent se pot evidenţia:
 Recalcularea totalurilor rapoartelor tipărite era una din activităţile manuale
cu un consum mare de timp şi cu un aport informaţional destul de scăzut;
utilizând software de audit, acest proces se realizează în numai câteva secunde.
O altă tehnică ce se poate automatiza uşor şi eficient este construirea de câmpuri
calculate, spre exemplu pentru stabilirea cheltuielilor cu amortizarea sau a
valorii stocurilor, rezultatele obţinute urmând a fi comparate cu valorile din
contabilitatea clientului.
 „Vechimea” creanţelor şi datoriilor se poate calcula aproape instantaneu şi
poate genera, mai departe, o analiză a clasificării acestora pe intervale de
„vechime”.
 Analiza excepţiilor poate urmări numeroase tipuri de erori acolo unde este
foarte dificil să se parcurgă manual rapoarte tipărite pentru a depista tranzacţiile
neobişnuite. Folosind comenzi specializate auditorul poate analiza, de exemplu:

119
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

o stocurile neutilizate pe o durată mai mare de trei ani;


o activele fixe care au o valoare rămasă de amortizat mult mai mare
decât valoarea reală;
o facturi cu valori mai mari de 100 milioane lei, emise către clienţi si
neplătite în termen de 120 de zile.
 Fuziunea datelor (Joining) serveşte la analiza datelor din tabele sau baze de
date diferite. Prin fuzionarea a două fişiere de date, cum ar fi costurile stocurilor
şi preţurile la care acestea au fost vândute, aplicaţia de audit poate analiza
instantaneu care stocuri au fost vândute la preţuri mai mici decât costurile,
generând pierderi.
 Depistarea fraudelor presupune analiza eventualelor coincidenţe suspecte din
baza de date.
4.2.2 Rolul CAAT-urilor în detectarea fraudei

O facilitate suplimentară a tehnicilor de audit asistate de calculator este aceea a


detectării tranzacţiilor frauduloase; aceasta presupune analiza tranzacţiilor duplicate, lipsă
sau altor anomalii.
Software-ul de audit îi va permite auditorului, spre exemplu:
 compararea adreselor angajaţilor cu cele ale furnizorilor pentru a verifica
dacă există angajaţi care sunt şi vânzători (un angajat poate frauda o
societate cu activitate comercială intensă, prin „inventarea” unui furnizor
fictiv şi deturnarea tuturor plăţilor către acel furnizor spre o adresă proprie);
 căutarea unor numere de cecuri duplicate pentru a determina dacă se
folosesc copii ale cecurilor societăţii;
 identificarea furnizorilor care folosesc mai mult de o adresă poştală sau mai
multe coduri de identificare;
 sortarea plăţilor în funcţie de sumă.
Tehnicile de detectare a fraudei implementate în cadrul acestor aplicaţii se bazează pe:
 analiza de tip digital;
 analiza ratelor;
 legea lui Benford.

120
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Analiza de tip digital constă în observarea unui anumit format de date, „şablon”, care se
evidenţiază în momentul aplicării, de către auditor, a unor criterii specifice de selectare şi
analiză. Tipurile de interogări în software-ul modern de audit sunt aproape nelimitate şi
reflectă adesea, situaţii suspecte de fraudă. Un exemplu banal în aplicarea acestei tehnici
este identificarea unor elemente duplicate cum ar fi facturile de valoare identică care, în
urma unei analize detaliate, pot conduce la situaţii în care acestea nu au o justificare reală.
Analiza ratelor reflectă, asemănător ratelor financiare, „sănătatea financiară” a unei
organizaţii şi ajută la definirea simptomelor de fraudă. David Coderre35 menţionează
utilizarea a 3 rate care sunt determinate de:
 raportul dintre valoarea maximă şi minimă (Max/Min);
 raportul dintre două valori maxime consecutive (Max/Max2);
 raportul dintre valoarea anului curent şi valoarea anului anterior (PER1/PER2).
Astfel, analiza preţurilor de vânzare pentru 2 produse comercializate într-o lună, spre
exemplu, furnizează următoarele informaţii:
(u.m.-unitate monetară)
Preţ Maxim Preţ Minim Rata
Produs 1 230 u.m 125 u.m. 1.84
Produs 2 275 u.m. 270 u.m. 1.01
Tabelul nr. 4.1. - Analiza ratei Max /Min
Se observă că, în acest caz, pentru produsul 1, rata de variaţie a preţurilor de vânzare este
foarte mare, analiză ce îi poate conduce pe auditori la examinarea în detaliu a tranzacţiilor
de vânzare tocmai pentru a se asigura că s-a adoptat politica de preţ adecvată. Pentru cel
de-al doilea produs, rata de variaţie se încadrează în parametri normali, eliminând din start
o verificare a tranzacţiilor acestui produs. De asemenea a doua rată poate reflecta tendiţe
frauduloase; un exemplu pentru această situaţie, îl poate constitui analiza valorică a
facturilor de aprovizionare de la doi furnizori, exemplificată în tabelul 4.2:
Furnizor Valoare Maximă Valoarea Maximă 2 Rata
SC A SRL 100.000 u.m 20.000 u.m. 5
SC B SRL 103.000 u.m. 101.000 u.m. 1.01
Tabelul nr. 4.2 - Analiza ratei Max /Max 2

O rată egală sau superioară cifrei 5 devine suspectă pentru auditori şi impune o analiză detaliată
a tranzacţiilor furnizorului SC A SRL; acest aspect capătă un plus de relevanţă dacă în urma

35
David Coderre – Articolul „Analiza ratelor – O înţelegere a tehnicii de analiză a datelor”, www.theiia.org

121
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

analizei se constată, spre exemplu, că din 100 de tranzacţii, 99 au valori cuprinse între 10.000
u.m. şi 20.000 u.m., iar cea mai mare este de 100.000 u.m.
Legea lui Benford. Tehnici mai avansate conduc analiza datelor către un nivel superior,
prin examinarea frecvenţei reale a cifrelor în structura datelor. Legea lui Benford, având la
origini teoria lui Frank Benford din anii 1920, prezice apariţia cifrelor în date. Astfel, legea
subliniază faptul că prima cifră într-o populaţie mare de tranzacţii (> 10000) va fi cel mai
des 1, mai puţin frecvent va apărea cifra 2 s.a.m.d. Benford a calculat probabilitatea de
apariţie a fiecărui număr pe post de primă cifră şi a decis că aceasta descreşte invers
proporţional cu valoarea sa. Astfel, într-o populaţie mai mare de 10000 de elemente,
probabilitatea de apariţie a cifrei 1 pe prima poziţie este la 30% din elemente, în timp ce 9
are o frecvenţă de 4.5% ca primă cifră.
Legea lui Benford calculează frecvenţele aşteptate pentru prima şi a doua cifră conform
tabelului 4.3:
Cifra Frecvenţa primei Frecvenţa celei de-a doua
cifre cifre
0 - 0,11968
1 0,30103 0,11389
2 0,17609 0,10882
3 0,12494 0,10433
4 0,09691 0,10031
5 0,07918 0,09668
6 0,06695 0,09337
7 0,05799 0,09035
8 0,05115 0,08757
9 0,04576 0,08500
Tabelul nr. 4.3 Legea lui Benford

Analiza distribuţiei frecvenţelor primei sau celei de-a doua cifre determină combinaţiile de
date obscure şi identifică posibila fraudă. Un algoritm şi mai detaliat se poate folosi pentru
a observa frecvenţa de apariţie a primelor 2 cifre, pe baza formulei:
Frecvenţa de apariţie36 = log (1+1/N)
De exemplu, frecvenţa de apariţie a "combinaţiei" 13.. este log (1+1/13) = 0.032184
Mark Nigrinni, exemplifica în cadrul articolului citat Legea lui Benford în cadrul
unui departament de contracte. În urma analizei valorii contractelor încheiate, într-o
anumită perioadă, rezultatul a arătat că numerele 49 apăreau cu o frecvenţă mai mare decât
36
Mark Nigrini – Articolul „Analiza digitala – Tehnologii de analiza a datelor asistate de calculator pentru
auditorii interni”, www.theiia.org/itaudit

122
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

cea aşteptată. S-a descoperit că managerul companiei încheia contracte de 49.000$ –


49.999$ pentru a evita legea contractelor, în care se menţiona că, contractele cu valori mai
mari de 50.000$ erau supuse licitaţiei.
Aplicarea acestui raţionament nu este întotdeauna valid; astfel există şi situaţii în care nu
toate datele vor avea distribuţii ca în predicţiile Legii lui Benford.

4.3. Descrierea tehnicilor şi instrumentelor de audit asistate de calculator

Aceste instrumente şi tehnici moderne pot asista auditorul în orice etapă a misiunii sale,
fiind utilizate pentru:
 verificarea corectitudinii prelucrărilor contabile;
 testarea măsurilor de securitate dintr-un sistem;
 analiza şi controlul aplicaţiilor informatice existente în sistem;
 identificarea riscurilor unei organizaţii şi evaluarea acestora;
 evaluarea controlului intern;
 verificarea integrităţii fişierelor;
 analiza informaţiilor clientului auditat prin interogări complexe ale bazelor de
date, extrageri, stratificări, totalizări.

Figura nr.4.1 – Tehnici şi instrumente de audit asistate de calculator37


37
prelucrare după sursa : Richard Baskervill – EDP Auditing, Georgia State University

123
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Experienţa practică a impus separarea CAAT-urilor în două zone distincte de operare:


 analiza şi testarea sistemului informatic, ce asigură procesarea şi prelucrarea
datelor, informaţiile unei organizaţii, ce vor fi apoi auditate;
 analiza datelor.
Tehnicile CAAT orientate program sunt centrate pe verificarea diferitelor procese
(prelucrări) dintr-un program, ce ar putea teoretic – dar greu de realizat în practică – să se
extindă către o completă verificare a întregului sistem informatic. Pe de altă parte, tehnicile
CAAT orientate pe date ignoră programele utilizate în generarea datelor şi se concentrează
exclusiv pe analiza datelor.

4.3.1 CAAT pentru analiza şi testarea sistemului informatic


Aceste tehnici pot fi definite ca un ansamblu de teste ce permit realizarea
următoarelor obiective: examinarea fluxului de date prin sistem, verificarea integrităţii
datelor şi fişierelor, verificarea controalelor implementate în cadrul sistemului, cât şi un
control al modificărilor neautorizate asupra codului de program. O clasificare a acestor
tehnici, în funcţie de obiectivele enunţate este reprezentată în figura 4.2:

124
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Examinarea fluxurilor de date Module de Audit încorporate


Vederi punctuale (Snapshot) SCARF
Urmărire (Tracing) SARF

Mapare(Mapping)

CAAT
pentru analiza si
testarea sistemului
informatic

Alte instrumente de testare


Verificarea integrităţii datelor
Revederea codului sursă
şi fisierelor
Analiza librăriilor programului
Simularea paralela
Software de analiză a log-urilor
Generatoare de teste
utilizatorilor
ITF

Figura nr. 4.2 CAAT pentru analiza şi testarea sistemului informatic

4.3.1.1. Tehnici de examinare a fluxurilor de date

 Vederile punctuale (Snapshot) reprezintă o facilitate ce permite auditorului să


„îngheţe” programul într-un anumit punct, pentru a verifica valorile unei
tranzacţii şi prelucrările efectuate în timpul funcţionării programului. Tehnica
propriu-zisă este rapidă şi uşor de utilizat, deşi are o funcţie limitată şi specifică,
ea oferind auditorului un nivel de reasigurare asupra controalelor interne din
cadrul sistemului. Un exemplu de „vedere punctuală” ar fi o linie de cod dintr-un
program ce produce un blocaj, acest blocaj conducând la obţinerea unei valori
eronate. Un alt exemplu este facilitatea de depanare disponibilă, cu multe
instrumente de dezvoltare, ce permite programului să fie executat în mod
sistematic, pentru a verifica valorile diferitelor tranzacţii la fiecare pas.

125
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 Urmărirea (Tracing) presupune generarea unui traseu de audit complet pentru


urmărirea tranzacţiilor în timpul prelucrărilor. Prin executarea unei „urmăriri” este
posibil să se sesizeze ce efect are fiecare linie de cod asupra fiecărei date
prelucrate. Dacă programul nu realizează toate tranzacţiile în mod corect, în
momentul în care intervine eroarea, aceasta va fi evidenţiată în mod distinct.
Principalul avantaj al tehnicii este acela, că auditorul poate vedea anumite etape
ale programului care în mod obişnuit se derulează foarte rapid. Dezavantajele
„urmăririi” rezidă din faptul că auditorul are nevoie de cunoştinţe de programare
şi că funcţiile de „urmărire” pot varia de la produs la produs.
 Maparea (Mapping) presupune monitorizarea execuţiei unui program în scopul
stabilirii unor informaţii statistice, cum ar fi spre exemplu: cod de program
neexecutat, de câte ori au fost executate anumite linii din program. Auditorul
poate utiliza „maparea” pentru a evidenţia codul redundant sau codul utilizat în
scopuri frauduloase.

4.3.1.2. Tehnici de verificare a integrităţii datelor şi fişierelor

 Simularea paralelă este un instrument util, ce permite auditorului verificarea


acurateţei aplicaţiilor prin folosirea unor programe care simulează logica
aplicaţiei utilizate (în mod uzual se folosesc programele generalizate de audit –
GAS). Auditorul simulează funcţiile procesării în paralel cu sistemul aflat în
funcţiune. Tranzacţiile vor fi procesate de ambele sisteme, iar auditorul va
controla rezultatele finale (figura nr. 4.3) Deoarece foloseşte tranzacţii reale,
această tehnică realizează atât o testare a controalelor aplicaţiei, cât şi a
tranzacţiilor propriu-zise.
Dezavantajul metodei rezidă în faptul că activitatea necesită costuri ridicate,
cunoştinţe avansate în programare şi timp destul de mare; adesea, această tehnică solicită
resurse considerabile de audit pentru a duplica un sistem major al auditatului, fapt pentru
care auditorul poate duplica anumite componente importante ale aplicaţiei.
Un exemplu de utilizare a acestei tehnici îl poate constitui dezvoltarea - într-un
mediu bancar - a unui program pentru simularea calculului dobânzilor. Rezultatele finale
obţinute prin intermediul acestui program vor fi comparate cu ieşirile programului principal
al instituţiei bancare, confirmând în acest fel că acestea din urmă au fost procesate corect.

126
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Aplicaţia auditorului se va concentra doar pe calculul dobânzii (nu şi o actualizare a


conturilor clienţilor cu aceste valori), urmărindu-se o replicare doar a componentelor
principale ale aplicaţiei de bază.

Figura nr. 4.3 - Simularea paralelă

 Tehnica datelor de test necesită pregătirea unui eşantion de „date-test” pentru a


fi procesate de către versiunea aplicaţiei curente, sub controlul auditorului. Datele
şi, implicit, tranzacţiile-test trebuie proiectate astfel încât să se verifice cât mai
multe controale posibile (încorporate în aplicaţie), ceea ce impune utilizarea atât a
unor date invalide, pentru testarea rutinelor de semnalare a erorilor, cât şi a unor
date valide pentru testarea proceselor normale. Tehnica va evalua existenţa
erorilor logice de program, dacă programul corespunde obiectivelor sale şi va
furniza informaţii despre controalele interne încorporate în sistem. Proiectarea
unui bun test de date este obiectivul major al acestei tehnici.
Auditorii pot utiliza astfel de teste pentru verificarea aplicaţiilor contabile şi
evaluarea controalelor aferente sistemelor precum:
 controlul accesului la date şi alte controale specifice (exemplu: parole on-
line);
 controlul validării datelor de intrare, controlul totalurilor (restricţii de
integritate încorporate);
 breşe logice în procesarea tranzacţiilor;
 acurateţea calculelor matematice.

127
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Printre avantajele metodei putem aminti că revederea codului sursă nu este necesară şi
totodată tehnica solicită cunoştinţe minime de informatică din partea auditorului, asigurând
o verificare a întregului sistem.
Exista şi limite în utilizarea testului de date:
 în cazul aplicaţiilor complexe, testul de date poate să nu acopere toate
funcţionalităţile aplicaţiei astfel încât devine aproape imposibilă detectarea
fraudelor sau manipularea datelor;
 adeseori, este greu de determinat dacă aplicaţia ce urmează a fi testată este chiar
versiunea de lucru sau există situaţii în care auditorul nu poate utiliza versiunea
curentă pentru realizarea testelor (cazul sistemelor on-line).

Figura nr. 4.4-Tehnica testului de date


 Testul integrat (Integrated Test Facility: ITF)
Utilizarea unui ITF permite auditorului să introducă date fictive, fără ştiinţa
utilizatorilor, pentru a verifica eficienţa sistemului. Facilitatea pe care o oferă testul
presupune crearea unor fişiere principale-fictive în cadrul sistemului informatic; la
intervale aleatorii de timp, auditorul introduce „datele de testat” care vor fi procesate de
aplicaţie, dar care vor actualiza fişierele fictive, astfel încât procesarea datelor curente ale
firmei nu va fi afectată.

128
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Principalul avantaj al acestui test constă în posibilitatea auditorului de a procesa


tranzacţii fictive, în acelaşi timp cu tranzacţiile reale ale organizaţiei. Spre deosebire de
tehnica datelor de test, în acest caz auditorul este sigur că versiunea programului testat este
aceeaşi cu cea folosită la procesarea datelor firmei. Adesea, utilizarea unui astfel de test
presupune o modificare a aplicaţiei de bază pentru identificarea tranzacţiilor fictive. Astfel,
auditorul trebuie să se asigure că programatorul care se ocupă de această activitate nu va
modifica aplicaţia, astfel încât controalele să se efectueze asupra tranzacţiilor fictive şi nu
asupra celor reale.
Un ITF este foarte complex, dificil de utilizat şi presupune costuri ridicate pentru
integrarea lor în aplicaţie ( aceasta explică existenţa lor limitată). Ideal ar fi ca acestă
facilitate să fie gândită şi inclusă încă din faza de proiectare.

Figura nr.4.5 Testul integrat

4.3.1.3 Module de audit încorporate


În aplicaţia clientului, încorporarea unor module de audit permite vizualizarea şi
selectarea atât a tranzacţiilor de intrare, cât şi a celor generate în timpul procesului de
prelucrare, pe baza unor criterii predefinite de auditor, pentru o revedere ulterioară.
În literatura de specialitate s-au evidenţiat următoarele tipuri de module:

129
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 SCARF (System Control Audit Review File) – metoda permite auditorilor să


verifice rezonabilitatea testelor încorporate într-o aplicaţie (analizează sistemul de
control intern încorporat) şi realizează o copie a tranzacţiilor invalide ce nu se
încadrează într-o gamă aşteptată, într-un fişier distinct pentru o analiză ulterioară.
 SARF (Sample Audit Review File) – este similară metodei SCARF, cu excepţia
faptului că tranzacţiile sunt selectate aleator, neţinându-se cont de faptul că
acestea se încadrează sau nu în limitele stabilite de testele auditorului.

4.3.1.4 Alte instrumente de testare


 Analiza logicii programului: auditorul poate încerca să revadă secţiuni ale
codului de program sursă. De regulă, nu este posibilă o revedere completă a
codului sursă, auditorul concentrându-şi atenţia doar pe câteva zone selectate, în
funcţie de interesele sale proprii, cum ar fi spre exemplu: calculul unor sume,
puncte logice cheie.
 Analiza librăriilor programului reprezintă o tehnică de comparare a codului
sursă a aplicaţiei în uz cu „back-up” acesteia sau cu ceea ce documentaţia oferă,
pentru a determina dacă asupra aplicaţiei au fost efectuate modificări
neautorizate. Auditorul poate fi interesat să afle dacă programul compilat (codul
obiect) utilizat în mod curent corespunde versiunii master a codului sursă. Acest
lucru va evidenţia modificările frauduloase sau erorile existente şi va legitima
versiunea curentă de software utilizat.
 Software de analiză a log-urilor utilizatorilor permite identificarea tentativelor
de conectare neautorizată şi a încălcării parolelor. Majoritatea sistemelor
păstrează un fişier al intrărilor utilizatorilor şi a tentativelor de log-are, acesta
fiind uneori un simplu fişier text ce poate fi interogat.

4.3.2 CAAT pentru analiza datelor


Aceste instrumente sunt în general reprezentate de software generalizat de audit,
aplicaţii dezvoltate la cerere, instrumente de interogare SQL şi alte programe utilitare.
Studiul şi cercetarea lor conturează existenţa unor tehnici comune de analiză a datelor, cum
ar fi:
 Totalizarea este utilizată pentru a dovedi completitudinea şi conformitatea cu starea
unui cont.

130
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 Stratificarea oferă auditorului o imagine mai completă atunci când populaţia, masa
datelor ce urmează a fi analizate, nu este omogenă.
 Data Mining este utilizată pentru a furniza analize comparative şi trenduri care să
indice zonele de interes pentru viitoarele analize şi teste.
 Eşantionarea permite auditorului să extragă un set de tranzacţii reprezentative
dintr-un fişier în vederea realizării testelor de audit.
 Raportarea excepţiilor presupune selectarea înregistrărilor şi extragerea datelor care
sunt conforme sau dimpotrivă, încalcă criteriile specificate pentru o analiză viitoare.
 Verificarea înregistrărilor duplicate permite identificarea erorilor în tranzacţiile
efectuate sau posibilele activităţi frauduloase.
 Analiza „vârstei” plăţilor arată un tipar al plăţilor de-a lungul unei perioade, printr-
o monitorizare a perioadei dintre primirea şi plata tranzacţiilor.

4.3.2.1 Software generalizat de audit (Generalized Audit Software: GAS)


Standardul de audit 1009, defineşte software-ul generalizat de audit ca fiind un
ansamblu de „programe proiectate să efectueze funcţii de procesare de date care includ
citirea fişierelor din computer, selectarea informaţiilor, executarea calculelor, crearea
fişierelor de date şi tipărirea rapoartelor într-un format specificat de auditor”. Deşi
caracteristicile acestor aplicaţii sunt nuanţate, ele permit realizarea următoarelor
funcţionalităţi :
• selectarea eşantioanelor şi printarea confirmărilor către clienţi;
• manipularea, sortarea datelor conform cerinţelor exprimate de auditor;
Astfel de operaţii pot scoate în evidenţă spre exemplu plăţile duble, printr-o
sortare a datelor dupa nr.factura şi suma platită;
• testarea calculelor matematice;
• totalizări, stratificări;
• compararea datelor din fişiere diferite;
• listarea rapoartelor sau scrisorilor într-un format specificat de auditor;
• detectarea tranzacţiilor lipsă sau duplicate.

4.3.2.2 Programe dezvoltate la cerere sunt aplicaţii proiectate şi dezvoltate pentru a


rezolva sarcini de audit în circumstanţe specifice. Acestea pot fi elaborate de auditor (ceea

131
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

ce presupune că acesta să fie un bun programator), de către organizaţie sau de către un


programator independent la solicitarea auditorului.
Aceste programe vor conduce la o creştere a costului unei misiuni de audit, ceea ce
pentru clientul analizat va reprezenta o situaţie nefavorabilă; o soluţie mult mai viabilă
pentru acesta ar fi adaptarea programelor sale la cerinţele auditorului. Pentru a evita
rutinele frauduloase sau erorile de programare, auditorii preferă să apeleze la o firma
specializată. Deşi oferă o mai mare siguranţă, această variantă necesită mai mult timp
pentru a fi pusă în practică, creşte costurile de audit şi programul astfel dezvoltat nu se
poate aplica decât firmei în cauză.

4.3.2.3 Inteligenţa artificială şi sistemele expert


Gama diversificată a CAAT-urilor, dezvoltată în subcapitolele anterioare, a jucat un
rol important în evoluţia informatizării activităţii de audit, şi totuşi capacitatea lor de a
asista auditorul în domeniul “judecăţilor” este extrem de limitată. Cea mai mare provocare
o constituie pentru activitatea de audit – ca şi pentru orice alt domeniu managerial – luarea
deciziilor de către expertul uman.
Judecata auditorului include raţionamente, referiri la cazuri trecute sau la cazuri
ipotetice, creativitate şi nu în ultimul rând intuiţie.
Sistemele expert, definite ca „produse program, care emulează comportamentul
experţilor umani, în rezolvarea unor probleme din lumea reală asociate unui domeniu
particular al cunoaşterii”38 se remarcă astfel, ca fiind instrumente extrem de utile
auditorului în cadrul misiunii sale. Un sistem expert, prin intermediul motorului de
inferenţă, va oferi sugestii cu privire la procedurile specifice ce pot fi întreprinse.
Sistemele expert în domeniul auditului au fost destinate în special:
 Auditului intern – în scopul estimării şi menţinerii sistemelor interne de audit,
planificarea auditului intern, coordonarea procedurilor de audit, şi asistarea în auditarea
unui aspect particular şi a conturilor corespunzătoare.
 Auditului extern – sisteme expert de audit utilizate de firmele de consultanţă, cea mai
mare parte a lor fiind confidenţiale.
Firmele mari de consultanţă au fost primele care au conştientizat rolul şi importanţa
utilizării noilor tehnologii ale inteligenţei artificiale în păstrarea şi întărirea poziţiei lor pe
piaţă: “…obiectivul principal al cercetărilor legate de implementarea tehnologiilor
38
Pigford, D.V., Baur, Expert systems for Business.

132
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

inteligenţei artificiale în domeniul auditului îl constituie descrierea comportamentului


expertului uman prin identificarea euristicilor şi reprezentarea cunoştinţelor. Acest proces
contribuie nu numai la îmbogăţirea cunoştinţelor expertului, dar poate avea drept rezultat şi
o autoevaluare a firmei de audit. Aceasta va conduce la o îmbunătăţire a calităţii procesului
decizional, la reducerea inconsistenţelor în exprimarea opiniilor diverşilor auditori, şi în
final în reducerea semnificativă a riscurilor legate de activitatea de audit” (Dillard,
Mutchler, 1988).

Avantajele generale oferite de aceste instrumente sunt:


1. productivitate crescută prin reducerea ciclului de audit; concentrarea timpului pe
funcţii critice; operaţii simplificate datorită automatizării;
2. îmbunătăţirea calităţii auditului, datorită auditării 100% a datelor şi standardizării
metodelor de audit;
3. creşterea valorii clientului prin recuperarea veniturilor pierdute. Analiza în detaliu a
tuturor datelor poate descoperi multe pierderi, anomalii;
4. reducerea timpului de realizare a misiunii de audit deoarece se accelerează
identificarea excepţiilor, se simplifică pregătirea foilor de lucru, rapoartele se
generează automat;
5. asigură avantaje imediate clientului auditat prin reducerea riscului de zi cu zi;
detectarea iregularităţilor şi fraudelor; analiza datelor poate indica prognoze;
6. asigurarea unei independenţe mai mari faţă de mediul auditat;
7. reducerea cheltuielilor în timp.
Alături de avantajele subliniate, este necesar să menţionăm că aceste instrumente sunt
generatoare de riscuri, ele fiind influenţate de următorii factori:
 se sprijină auditorul în mod exclusiv pe analiza datelor în formularea concluziilor
auditului sau suplimentează CAAT-ul cu teste neinformatice pentru a furniza o
evidenţă coroborată?
 auditorul a coordonat controale de verificare a sistemului IT pentru consolidarea
fiabilităţii datelor introduse în sistem sau prelucrate de acesta ?
 cât de bine cunoaşte auditorul instrumentul CAAT ? Care sunt limitele formării
auditorului şi care este experienţa de care dispune acesta în utilizarea
instrumentului ?
 cât de bine înţelege auditorul sistemul IT de auditat şi datele ?

133
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Răspunsurile la aceste întrebări vin şi conturează dezavantajele CAAT:


1. cerinţele de specializare sunt costisitoare;
2. anumite CAAT sunt foarte generale astfel încât adaptarea lor poate fi un proces
dificil;
3. incompatibilitatea anumitor CAAT cu sistemul informatic al clientului (situaţii în
care este esenţială alegerea pe care o face auditorul).
Concluzia firească ce rezultă din analiza avantajelor şi dezavantajelor prezentate se
poate exprima astfel: necesitatea utilizării instrumentelor informatice în cadrul unei misiuni
de audit a devenit vitală, dar o combinaţie a tehnicilor manuale cu cele asistate de
calculator asigură reuşita acesteia, într-un timp optim şi costuri reduse. Mai mult, utilizarea
CAAT necesită din partea auditorilor o specializare şi formare continuă, o verificare a
compatibilităţii CAAT-ului cu sistemul clientului, iar în anumite situaţii o adaptabilitate a
„instrumentului” la particularităţile organizaţiei auditate.

4.4. Analiza unor CAAT-uri utilizate în cabinetele internaţionale de audit

1. ACL (Audit Command Language)39 este unanim acceptat ca fiind liderul între
pachetele software de audit, iar popularitatea sa este rezultatul flexibilităţii, simplei utilizări
şi încrederii pe care o oferă. Ea a fost dezvoltată de ACL Service şi permite auditorilor să-şi
conecteze propriul laptop la sistemul clientului şi apoi să-şi descarce datele acestuia pentru
o analiză viitoare. Aplicaţia furnizează jurnale detaliate ale auditului efectuat, care se
tipăresc, fiind folosite ulterior ca referinţă şi punct de plecare pentru documentele de audit
ce urmează a fi întocmite.
ACL permite asistenţa auditorului în orice fază a procesului de audit, tabelul4.4
ilustrând funcţiile ACL şi modul în care ele pot fi utilizate.
Etape Audit Functii ACL
I. Planificare „Statistics”- realizează a analiză statistică a
- evaluarea riscului datelor unui fişier
II. Evaluarea controlului intern
- teste de control Meniul „Sampling” cu comenzi specifice de
determinare a mărimii eşantionului şi a
- selectarea eşantioanelor criteriului de selecţie
Meniul „Analyze” include funcţii de
39
Analiza funcţionalităţilor aplicaţiei a fost posibilă prin consultarea sursei www.acl.com

134
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

- evaluarea rezultatelor numărare, totalizare, statistice, duplicate,


verificări, căutari, expresii construite de
auditor pentru filtrarea datelor
III. Teste de audit detaliate „Statistics”
- Proceduri analitice „Merge”
„Analyze”
- Teste de detaliu „Filter”
„File History”, Note de document,
- Documentare Comentarii
IV. Raport audit „Document Notes”
Alte facilitati:
- detectarea fraudelor „Analzye” -Benford
Tabelul nr. 4.4 Funcţionalităţile ACL

Se poate observa că aplicaţia oferă o gamă diversificată de teste ce fac obiectul unei
misiuni de audit precum: testarea datelor din punct de vedere al integrităţii, completitudinii,
unicităţii acestora. Înaintea unei astfel de analize, auditorul trebuie să se asigure că datele
sunt complete pentru că lipsa unor tranzacţii va genera o investigaţie invalidă. Opţiunea
Gaps din meniul Analyze permite testarea completitudinii datelor analizate care, în
esenţă, poate fi descrisă astfel: sistemul asociază fiecărei înregistrări dintr-un fişier un
număr secvenţial unic, iar rezultatul comenzii va fi o transpunere a tranzacţiilor lipsă (figura
nr. 4.6 ).

Figura nr.4.6 Formular de testare a completitudinii datelor

135
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Testarea unicităţii datelor, realizabilă cu ajutorul opţiunii Duplicates, permite


identificarea tranzacţiilor duplicate din cadrul unui fişier, având ca rezultat screen-ul din
figura 4.7. Utilizatorului i se solicită cheile de căutare a înregistrărilor duplicate (spre
exemplu să se afişeze toate facturile care au aceeaşi valoare şi data de emisiune).

Figura nr.4.7 – Formular de identificare a tranzacţiilor duplicat

O altă opţiune importantă Classify permite gruparea facturilor pe furnizori identificând


furnizorii cei mai importanţi, spre exemplu primii trei, cu tranzacţiile detaliate şi totalurile
aferente.
În esenţă, ACL se remarcă prin capacităţile sale analitice de analiză ce permit:
 asigurarea integrităţii datelor (prin funcţiile COUNT, TOTAL, VERIFY)
 detectarea fraudelor utilizând algoritmul Benford
 o clasificare a informaţiilor după importanţă, „vârstă”(prin comenzile Stratify, Age,
Clasify)
 teste secvenţiale (Sequence, Gaps, Duplicates);
 un control încrucişat al datelor din diferite fişiere (Facturi, DocumentPlata);
 selectarea eşantioanelor (Sampling).
Acest instrument se remarcă prin cel puţin 3 caracteristici esenţiale:
 capacitatea interactivă care permit auditorilor să testeze, investigheze, analizeze
şi să furnizeze rezultatele în timp oportun;

136
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 capacitatea de a furniza oricând un „traseu al auditului”(audit trail) – care, în


esenţă, este un istoric al înregistrărilor unui fişier, comenzilor utilizate de auditori
şi rezultatele asociate fiecărei comenzi;
 capacitatea de a genera rapoarte în formate diferite, incluzând atât formate
predefinite, cât şi personalizate.
Unul dintre dezavantajele importante ale ACL îl reprezintă imposibilitatea prelucrării
unor fişiere cu o structură complexă de date.

2. IDEA (Interactive Data Extraction & Analysis) este recunoscut tot ca un standard în
analiza datelor. Aplicaţia oferă auditorului o serie de funcţionalităţi ce vor permite:
 realizarea obiectivelor de audit privind situaţiile financiare oferind instrumente de
verificare şi calcul pline de acurateţe, verificări încrucişate a datelor, opţiuni de
calcul a eşantioanelor şi selecţie a acestora;
 investigarea fraudelor;
 testarea normelor de securitate;
 analize şi rapoarte manageriale: clasificarea datelor pe clienţi, produse, măsurarea
performanţelor.

3. PENTANA – este un sistem integrat de management al riscurilor şi auditului, ce


permite utilizatorului să desfăşoare o gamă diversificată de activităţi, asistându-l pe
parcursul misiunii sale în etapele importante. Astfel, aplicaţia permite, într-o primă
etapă, stabilirea unui univers al entităţilor auditate, prin culegerea informaţiilor legate
de organizaţia în sine:numele, tipul, adresa entităţii, persoane de contact din cadrul ei.
Asociat etapei de Planificare, etapă esenţială oricărui tip de misiune de audit, Pentana
oferă o evaluarea globală a riscurilor entităţii, cât şi planificarea în timp a lucrărilor de
audit (aşa numitul „calendar” al auditului). Tot în cadrul acestei etape de audit, aplicaţia
permite realizarea unei evaluări a riscurilor specifice şi a controalelor corespunzătoare.
În acest sens, se asociază fiecărui risc un „scor”, calculat pe baza a 2 componenete:
probabilitatea de realizare a riscului (L) şi impactul asociat (I)- celor 2 componente
fiindu-le asociată o mărime pe scala de la 0 la 10 conform figurii 4.8.
În cadrul etapei de „Execuţia testelor de audit”, Pentana planifică şi realizează teste
de audit, memorează rezultatele obţinute, evenimentele semnificative, păstrând astfel un

137
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

istoric al fiecărei misiuni. Situaţiile finale şi concluziile culese în cadrul fiecărei etape vor
sta la baza generării unui raport de audit în care sunt subliniate şi recomandările necesare.

Figura nr. 4.8 – Formular de evaluare globală a riscurilor unei entităţi40

În concluzie, faţă de aplicaţiile prezentate anterior, ACL, IDEA, PENTANA se


distinge printr-o altă abordare; aceasta nu realizează o analiză detaliată a datelor clientului
(operaţii specifice precum: eşantionare, clasificarea datelor, stratificare, verificarea
acurateţei calculelor aritmetice), ci am putea spune că pune un accent pe o documentare a
tuturor etapelor unei misiuni de audit şi păstrarea unui istoric al acestora. Aplicaţia
abordează, în special evaluarea generală a riscurilor unei entităţi şi a celor specifice,
aprecierea controalelor existente, analiza unei matrici asociate acestor riscuri.

4. AutoAudit este o aplicaţie dezvoltată de Paisley Consulting, care se încadrează în


aceeaşi categorie cu Pentana. Aplicaţia se remarcă prin următoarele funcţionalităţi:
 o gestiune a lucrărilor de audit cu auditorii implicaţi în realizarea ei;
 o evidenţă a auditorilor din cadrul cabinetului cu caracteristicile specifice;
 o planificare a misiunii cu stabilirea orelor estimate pentru fiecare lucrare şi
a tarifelor orare. Fiecare lucrare are asociat un plan de activităţi ce vor
reprezenta un ghid de lucru pentru asistenţii implicaţi;

40
sursa: www.pentana.com

138
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Figura nr.4.9 Formular de prezentare a unui Plan de audit cu activităţile asociate41

 realizează o evaluarea a riscurilor misiunii, pe baza unor chestionare


predefinite, în funcţie de tipul de risc analizat;
 o gestiune a foilor de lucru
 o analiză a datelor clientului.

5. ProAudit Advisor este o altă aplicaţie utilizabilă într-o misiune de audit care permite:
 Crearea universului entităţii auditate;
 Determinarea abordării unui audit;
 Evaluarea riscului şi a controalelor

41
sursa: www.paisleyconsulting.com

139
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Figura nr. 4.10 ProAudit Advisor 42

În urma acestei analize, se poate observa că există numeroase instrumente CAAT,


care se caracterizează printr-un ansamblu de funcţionalităţi comune, dar şi prin
particularităţi ce le individualizează. Exemplele prezentate au pus în evidenţă o categorie
de aplicaţii ce se axează pe analiza datelor clientului (ACL, IDEA) şi o altă clasă (Pentana,
AutoAudit, ProAudit Advisor) ce presupune păstrarea unui istoric al fiecărei misiuni
desfăşurate, cu planul de audit dezvoltat, identificarea şi evaluarea riscurilor la nivelul unei
organizaţii – aplicaţii ce pot oferi şi o analiză a eficienţei şi eficacităţii unei misiuni de
audit.
Creşterea complexităţii sistemelor de contabilitate informatizată cât şi a procesului
de audit în sine au marcat o nouă tendinţă în dezvoltarea software-ului de audit, prin
integrarea tehnicilor OLAP, Data Mining dezvoltate în cadrul capitolului al VI-lea – ce pot
asigura o analiză multidimensională a datelor, detectarea fraudelor, descoperirea
cunoştinţelor ascunse în spatele datelor clasice, oferind astfel noi oportunităţi auditorilor.

CAPITOLUL 5

42
sursa: www.methodware.com/products/proaudit

140
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

PROIECTAREA ŞI REALIZAREA UNUI SISTEM INFORMATIC PRIVIND


AUDITUL ÎNTOCMIRII, PREZENTĂRII ŞI PUBLICĂRII SITUAŢIILOR
FINANCIARE

5.1 Proiectarea obiectuală a sistemului

În cadrul dezvoltării sistemelor şi aplicaţiilor informatice de gestiune se resimte astăzi


un curent pregnant al utilizării metodelor de proiectare obiectuală. Practica a dovedit, ceea
ce cercetările teoretice au anticipat, că aplicarea acestui demers conduce la soluţii mai
puternice şi fiabile, chiar dacă, ulterior, implementarea se va realiza utilizând o bază de
date relaţională.
Inceputul anilor 90 este momentul apariţiei metodelor de proiectare orientate obiect,
dintre care amintim:
 OMT (Object Modeling Technique) – James Rumbaugh
 OOD (Object Oriented Design) – Greedy Booch
 OOSE (Object-Oriented Software Engineering) – Ivar Jacobson
Caracteristic metodelor orientate obiect este faptul că sistemul informatic este
gândit ca un ansamblu de obiecte care se organizează şi cooperează între ele. Toate aceste
metode urmăresc, în ultimă instanţă, să permită formularea cerinţelor sistemului, în faza de
analiză şi în timpul proiectării, să dezvolte un model al claselor de obiecte. În acest context,
este de remarcat abordarea simultană a datelor şi prelucrărilor, prin comparaţie cu
metodele generaţiilor precedente (Metoda Merise, spre exemplu), când o proiectare şi o
implementare separată a lor conducea adesea la sisteme instabile, vulnerabile la erori.
Fiecare din metodele amintite se bucurau de o recunoaştere mondială, la acea dată,
ele având propriile puncte forte şi slăbiciuni, după cum autorii puneau accentul pe anumite
idei de modelare - fapt ce crea, adeseori, în rândul utilizatorilor, confuzii. Experienţa
acumulată îi va determina pe autori să-şi unească eforturile în vederea realizării unei
unificări complete a metodelor proprii, această încercare de standardizare aducând un cadru
de stabilitate în industria software şi pe piaţa limbajelor de modelare. Limbajul UML este
rezultatul muncii depuse şi literatura de specialitate îl defineşte drept o “colecţie a celor
mai bune practice aplicate în modelarea sistemelor informatice de mari dimensiuni şi
complexitate”.

141
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

În acest sens, paradigma obiectuală aduce, printre altele, avantajul de a utiliza un


limbaj comun şi standardizat de reprezentare a conceptelor utilizate (UML).
UML introduce un set de 8 diagrame pentru descrierea unui sistem informatic, cu
semantica asociată, dar nu propune şi un proces de utilizare a acestora în construcţia unei
aplicaţii. Cele opt tipuri de diagrame propuse de UML sunt:
• diagrama cazurilor de utilizare,
• diagrama de clase (cea mai utilizata),
• diagrama de activităţi,
• diagrama de stări,
• diagrama de colaborare,
• diagrama de secvenţă,
• diagrama de componente,
• diagrama de amplasare.
Datorită complexităţii lor, metodele orientate obiect impun o analiză mai detaliată a
realităţii şi un efort mai mare din partea proiectanţilor pentru elaborarea acestor diagrame.

5.1.1 Procesul de dezvoltare a unui sistem informatic folosind UML

Într-un cadru general, procesul de dezvoltare a unui sistem informatic identifică o


suită de activităţi de bază, precum: definirea cerinţelor, analiza, proiectarea, implementarea
şi testarea.
Definirea cerinţelor este etapa care se concentrează pe identificarea cerinţelor
funcţionale şi nefuncţionale ale sistemului, furnizând imaginea externă percepută de
utilizatorii săi. Rezultatul acestei activităţi este, în consecinţă, un model al cazurilor de
utilizare ce are rolul de a reprezenta într-o formă grafică detalitată funcţionalităţile
viitorului sistem.
Analiza urmăreşte, în punctual său final, obţinerea unui model al problemei
concretizat într-o diagramă a claselor de obiecte, la care sunt asociate diagramele de
activităţi şi de secvenţe, recunoscute şi sub numele de diagrame de comportament, pe care
se bazează şi care o completează. În vederea asigurării unei cunoaşteri mai aprofundate a
cerinţelor funcţionale specificate prin cazurile de utilizare, analiza debutează, în fapt, cu
realizarea diagramelor de comportament.

142
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

“Proiectarea este extinderea şi adaptarea tehnică a rezultatelor analizei”43; în


vederea unei implementări adecvate, proiectarea vine şi completează modelul din faza de
analiză cu toate detaliile tehnice, principalii factori de influenţă fiind: mediul de dezvoltare,
limbajul de programare, stilul de arhitectură, tehnologiile informaţionale de care dispune
entitatea: caracteristicile echipamentelor şi mijloacelor de comunicaţie. Astfel, diagrama
claselor – realizată la un nivel conceptual, în faza precedentă, se adaptează şi detaliază
corespunzător nevoilor implementării, devenind o diagramă a claselor de obiecte mult mai
complexă, proprie etapei de proiectare. La acest nivel, diagramele de stare şi colaborări
pot constitui surse importante ce conferă detalii importante claselor de obiecte.
Implementarea implică transpunerea conţinutului diagramelor şi specificaţiilor de
proiectare în forma specifică limbajului de programare utilizat. Punctul de plecare îl poate
reprezenta modelul de persistenţă, iar finalitatea poate fi transpusă în diagrama
componentelor şi diagrama de amplasare.
Testarea este activitatea ce îşi propune identificarea şi corectarea erorilor de
programare şi totodată ea stabileşte măsura în care sistemul răspunde cerinţelor funcţionale
şi nefuncţionale definite în prima etapă.

5.1.2.1 Definirea cerinţelor sistemului

Scopul realizării acestui sistem este de a construi un instrument ce va permite


eficientizarea unui proces de audit, asistând auditorul în fazele importante ale acestuia.
Definirea cerinţelor funcţionale este axată pe cercetarea defăşurată în cadrul capitolului al
II-lea „ Teorie şi dimensiuni practice ale strategiei generale referitoare la o misiune de
audit” şi ea poate fi descrisă astfel:
Clienţii solicită unui auditor extern (cabinet de audit) desfăşurarea unei misiuni de
audit, cu un obiectiv clar precizat. În acest sens, auditorul va desfăşura, într-o primă etapă,
o analiză a clientului prin realizarea unor acţiuni de documentare a riscurilor majore pe
care le-ar implica acesta, finalitatea etapei concretizându-se într-o scrisoare de angajament,
care odată semnată (acceptată) declanşează procesul de audit propriu-zis.
Procesul de audit debutează cu etapa de planificare a misiunii în cadrul căreia
obiectivele auditorului sunt concentrate asupra unor acţiuni importante, precum:

43
H.E.Eriksson, M.Penker, UML Toolkit, John Wiley & Sons, 2000 citat de D. Zaharie, I. Rosca –
Proiectarea obiectuală a sistemelor informatice, Dual Tech, 2002

143
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 setarea pragului de semnificaţie;


 desfăşurarea procedurilor analitice preliminare;
 evaluarea riscurilor;
 elaborarea planului de lucru (programului de audit).
Evaluarea riscurilor este o activitate esenţială oricărei misiuni de audit, indiferent
de obiectivul său. Astfel, riscurile unei entităţi pot fi evaluate la nivel general, iar o analiză
detaliată a lor va presupune asocierea acestor riscuri domeniilor semnificative (vânzări,
cumpărări, personal, producţie, trezorerie, imobilizări). Această evaluare se va realiza pe
baza unor chestionare standardizate, preluate din Normele Minimale de Audit.
Finalitatea etapei o reprezintă elaborarea unui plan de lucru, în care vor fi cuprinse
lucrările ce se vor desfăşura, cu orele estimate, tarifele/lucrare şi asistenţii/ auditorii ce vor
fi angajaţi în execuţia lor. Responsabilitatea acestei etape de planificare revine în sarcina
şefului misiunii, dar ea poate fi analizată şi verificată de managerul sau partenerul
cabinetului. Lucrările asociate planului de audit, odată realizate vor fi înscrise în Dosarul
Permanent sau Dosarul Exerciţiului, dosare caracterizate prin secţiuni proprii pentru care se
vor întocmi foi de lucru, codificate într-o manieră corespunzătoare.
Testarea tranzacţiilor clientului constituie, de asemenea, o funcţionalitate distinctă a
sistemului ce se va concretiza în selectarea unor eşantioane pentru desfăşurarea testelor de
control şi /sau a procedurilor de fond.
Analiza situaţiilor financiare din punct de vedere al completitudinii şi acurateţii va
fi o altă caracteristică identificată pentru sistemul curent. Această analiză va sta la baza
calculului indicatorilor economico-financiari, pentru că interpretarea lor constituie
elemente ce justifică opinia finală formulată.

***

Diagrama cazurilor de utilizare dezvoltată în figura 5.1 este rezultatul acestei


activităţi care descrie, într-o formă grafică, funcţionalităţile sistemului, proiectarea ei având
la bază dialogul dintre utilizatorii sistemului şi proiectant. Diagrama se individualizează
prin reprezentarea a două categorii de entităţi, actorii şi cazurile de utilizare cât şi a
relaţiilor dintre acestea.

144
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Inregistreaza
clientul

Verifica (Modifica)
planificarea si realizarea
Partenerul procesului de audit

Stabileste componenta
echipei de audit

Verifica scrisoare
de angajament

Verifica (Modifica)
programul de audit
Manager
(Director)

Verifica/Semneaza
Rapoartele finale

Seteaza pragul
de semnificatie

Elaboreaza «include»
Introduce
planul de audit lucrarile de audit

Auditor
senior
Verifica aprecierea
riscurilor:
RC, RI, RND, RA

Elaboreaza Raportele
finale

145
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Evalueaza riscul
«include» Evalueaza
informatic chestionare
«include»

Evalueaza controlul
intern in mediul
informatic «include»

Stabileste tipurile «extend»


Auditor expert de controale ce se Realizeaza testele
informatica vor testa
Intocmeste raport
de evaluare a
sistemului informatic

Evalueaza riscul
de control

Calculeaza marimea
esantioanelor pentru
Selecteaza «include» testele de control
Asistent esantioanele
Control Intern pentru testele de control «extend»

Intocmeste foi
de lucru
Intocmeste raportul
de apreciere a controlului
intern

Selecteaza
«include» Calculeaza marimea
esantioanele clientului esantioanelor

«include»
Analiza esantionului Verifica acuratetea
Asistent ce matematica
executa proceduri «extend»
de fond

Executa proceduri «extend»


analitice Intocmeste
«include» foi de lucru

Introduce date
istorice

Figura nr.5.1 Diagrama cazurilor de utilizare asociate sistemului

Actorii sunt rolurile jucate de diverse persoane care interacţionează cu sistemul


informatic aflat în dezvoltare, ei regăsindu-se în poziţia de a introduce date în sistem, de a

146
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

le consulta, interoga, actualiza şi, în toate situaţiile, iniţiativa va aparţine actorului şi nu


sistemului. Identificarea cazurilor de utilizare se face în corelaţie cu actorii identificaţi
anterior, mulţimea cazurilor de utilizare reprezentând mai curând ceea ce sistemul trebuie
să facă şi nu cum.
Un caz de utilizare reprezintă, în fapt, un model de comportament al sistemului ca
urmare a dialogului cu un actor, descris printr-o secvenţă de tranzacţii ce au loc în sistem.
În acest sens, cazurile de utilizare se disting prin câteva caracteristici generale:
 sunt unităţi de sine stătătoare, bine delimitate (începutul şi sfârşitul unui caz de
utilizare sunt cuprinse în acesta);
 e necesar ca ele să fie iniţiate de un actor şi finalizarea lor să fie “văzută” de un
actor;
 trebuie să îndeplinească anumite scopuri de logică a problemei (dacă nu se poate
găsi un astfel de obiectiv atunci cazul de utilizare trebuie regândit);
 realizarea cazului, trebuie să ofere sistemului o stare stabilă (nu poate fi îndeplinit
doar pe jumătate).
Ca o concluzie a elementelor prezentate, o diagramă a cazurilor de utilizare este
proiectată prin studierea actorilor şi determinarea operaţiilor pe care ei le vor putea realiza
cu sistemul, ea reprezentând în fapt “adevăratul dirijor” al întregului proces de dezvoltare.
UML prevede pentru acest tip de diagramă o gamă diversificată de legături ce se pot
stabili atât între actori şi cazuri de utilizare, cât şi între cazuri de utilizare diferite sau actori
diferiţi.
Relaţii între actori şi cazuri de utilizare:
• relaţia de asociere (participare) – indică participarea unui actor la un caz de
utilizare, direcţia de navigare a relaţiei sugerând cine iniţiază comunicarea.
Relaţii între cazuri de utilizare:
• relaţia de incluziune indică faptul că o instanţă a unui caz de utilizare
cuprinde şi comportamentul specificat printr-un alt caz de utilizare. Figura 5.1
prezintă mai multe exemple de relaţii de incluziune între cazurile de utilizare,
între care menţionăm: „Elaborează planul de audit” include cazul „Introduce
lucrări de audit”, deoarece elaborarea unui plan de audit presupune asocierea
lucrărilor necesare, stabilirea bugetului de ore (orele estimate de realizare) cât
şi a tarifului/lucrare, ceea ce impune existenţa cazului „Introduce lucrări de
audit”.

147
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

• relaţia de extensie: este folosită pentru a sugera un comportament opţional,


care are loc doar în anumite condiţii. Spre exemplu, cazul de utilizare
„Selectează esantioanele pentru testele de control” poate fi extins cu
„Intocmeste foi de lucru”, condiţia ce autorizează extensia fiind controlul
eşantionului selectat şi validarea lui.
Relaţii între actori:
• relaţia de generalizare: semnifică faptul că un actor poate interacţiona cu
sistemul în toate modalităţile prin care interacţionează un altul. În virtutea
relaţiei de generalizare ce se stabileşte între Partener şi Manager, spre
exemplu, actorul „Partener” poate realiza şi cazul de utilizare „Stabileşte
componenţa echipei de audit”.
• relaţia de dependenţă: semnifică faptul că, pentru a interacţiona cu sistemul
informatic prin intermediul unui caz de utilizare, un actor depinde de alt actor,
în situaţia curentă este vorba de relaţia dintre actorii : Client, Partener.
Fiecare caz de utilizare alături de reprezentarea sa grafică în diagramă trebuie să fie
însoţit de un document de descriere a cazului. Un exemplu, în acest sens, îl poate
reprezenta descrierea cazului de utilizare „Selecţie eşantion pentru testele de control”:

Descriere caz de utilizare: Selecţie eşantion pentru testele de control


Realizat de actorul: Asistent control intern
Scop: Realizarea testelor de control
Intrări: (se detaliază ce informaţii sunt transferate de la actor la sistem)
numele fişierului din care se va extrage eşantionul
mărimea eşantionului
numele fişierului în care va fi salvat eşantionul extras
Ieşiri: (se detaliază ce informaţii sunt transferate de la sistem către actor)
confirmarea efectuării selecţiei
tipărirea înregistrărilor ce aparţin eşantionului extras.

Practica a semnalat că există o serie de cazuri de utilizare aşa-zis “ascunse” care nu


sunt identificate întotdeauna în fazele analizei funcţionale (în special din cauza faptului că
interlocutorii nu sunt familiarizaţi cu informatica): securitate, arhivare, infrastructură
arhitecturală, verificare, care se recomandă a fi introduse în toate modelele de cerinţe.

148
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

5.1.2.2 Analiza sistemului

Pornind de la prezentarea cazurilor de utilizare, pentru o descriere a dinamicii acestora,


în continuare sunt exemplificate diagrama de activităţi şi diagrama de secvenţe pentru
cazul de utilizare “Elaborează planul de audit”, abordarea lor fiind necesară pentru
finalitatea acestei etape, concretizată în diagrama claselor de obiecte.

5.1.2.2.1. Diagrama de activităţi pentru un caz de utilizare permite reprezentarea derulării


acţiunilor şi proceselor interne, detaliind şi precizând descrierea textuală a acestuia. Pentru
exemplificare, în figura 5.2 este prezentată diagrama de activitate corespunzătoare cazului
de de utilizare “Elaborează planul de audit”:
 auditorul asistent declanşează acţiunea de creare a planului, dar pentru aceasta în
prealabil verifică existenţa scrisorii de angajament şi a soluţiei acesteia
(“accept”/”refuz” sau “riscuri majore”);

149
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

punct de start

Creeaza plan
audit

Identifica
scrisoare de
angajament

[Riscuri majore]
[Date modificate]

[Angajament nou]

Actualizare Creeaza
scrisoare scrisoare

Ataseaza
scrisoare la
plan

subactivitate
Indica
Lucrare

Ore_planificate,
Tarif_orar
[Auditor disponibil]

Indica
auditor
executant

[Confirmare Lucrare]

Ataseaza lucrare
la planul de audit

Inregistrare Anuleaza
plan de audit plan de audit

punct final

figura nr. 5.2 Diagrama de activităţi asociată cazului de utilizare “Elaborează planul de audit”
 dacă scrisoarea există şi are o soluţie favorabilă (“accept”), auditorul va stabili
lucrările ce fac obiectul misiunii, asociindu-le un tarif/orar şi un număr de
ore_planificate. Totodată fiecărei lucrări i se asociază un auditor executant, în
condiţiile în care acesta este disponibil.
 procesul apelează o buclă repetitivă – subactivitate – pentru că un plan de audit
conţine mai multe lucrări_misiune;
 o dată procesul validat, planul este verificat şi salvat, generând realizarea unei
tranzacţii.

5.1.2.2.2. Diagrama de secvenţe

150
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Diagrama de secvente are rolul de a reflecta modul intern de realizare a unui caz de
utilizare, ilustrând interacţiunea dintre obiecte din punct de vedere temporal, acestea fiind
prezentate la un nivel general, sintetic, fără precizarea argumentelor şi a tipului de rezultat
returnat. O diagramă de secvenţe este formată dintr-un set de mesaje schimbate între
diverse obiecte, identificând astfel operaţiile ce trebuie să intre în comportamentul fiecăreia
dintre clasele de obiecte participante.

: Formular Plan Misiune : Misiune : Lucrari_Misiune : Lucrari : Auditori


: Asistent
Cerere creare
Cerere creare Plan Misiune
Misiune noua

Cerere acceptata

Introduce date Misiune Inregistreaza date Verifica

Nr. Plan Misiune

Introduce lucrare asociata Cauta lucrare Verifica

Transmite Cod_lucrare

Asociaza ore_planificate Transmite date


tarif_ora/lucrare
Inregistrare date

Verifica
Asociaza auditor Cauta auditor disponibilitate

Inregistreaza auditor la Misiune

figura nr.5.3 Diagrama de secvenţe asociată cazului de utilizare “Elaborează planul de


audit”
Fiecarui obiect sau clase îi corespunde o linie a timpului, reprezentată printr-o linie
punctată pe verticală, mesajele transmise între obiecte fiind reprezentate prin săgeţi,
etichetate cu numele mesajului.

5.1.2.2.3. Diagrama claselor de obiecte


Diagrama claselor descrie structura internă a sistemului informatic prin identificarea
claselor, a atributelor şi operaţiilor acestora cât şi a relaţiilor dintre clase.
Literatura de specialitate nu defineşte o “reţetă unică” de elaborare a acestor diagrame,
ele fiind dependente de experienţa şi judecata profesională a proiectantului.
O abordare metodică a determinării claselor este aceea de a extrage substantivele
esenţiale din documentele de specificaţie a cerinţelor. În acest proces de selecţie a

151
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

substantivelor, experienţa practică a marcat şi o etapă de filtrare a acelor substantive ce nu


vor reprezenta "clase bune", urmărindu-se astfel eliminarea claselor candidat .
Clasele sunt şabloane de creare a obiectelor, astfel încât fiecare obiect este o instanţă a
unei clase. Obiectele, pentru a fi utile, trebuie să interacţioneze între ele şi această
interacţiune nu este altceva decât instanţa legăturii ce se stabileşte între clasele din care fac
parte.
Asocierea este legătura ce se stabileşte între două clase de obiecte independente.
Agregarea constituie o asociere binară “puternică” şi nesimetrică în care una dintre
clase are un rol predominant în raport cu cea de-a doua. În mod uzual, aceasta corespunde
unei relaţii de tipul “parte-întreg”.
Compozţia este un tip particular de agregare şi apare în cazurile în care obiectele
clasei "parte" aparţin clasei "întreg”. Într-o asemenea corelaţie, multiplicitatea clasei
compuse nu poate fi mai mare de 1, iar clasa parte nu mai poate participa la alte agregări.
Generalizarea modelează moştenirea proprietăţilor şi a operaţiilor între două clase;
clasa generală este denumită superclasă, iar cea specializată subclasă.
În acest punct, diagrama claselor este independentă de limbajul ce se va utiliza la
implementare, fapt pentru care identificarea atributelor este mai importantă decât
descrierea operaţiilor, ce poate fi detaliată în faza de proiectare.

152
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Istoric Date * prezinta 1 Client


Scrisoare angajament Misiune
- CodSet:Integer - Codcl: Integer 1 incheie * 1 genereaza 0..1
- An Financ:Date - Dencl: String - Nrscris: Integer
- Stocuri: Long
- Debitori: Long
- Adresacl: String - Data_scis:Date - Nrplanmisiune:Integer
- Creditori: Long - Termen_executie: String - Obiectiv: String
- CifraAfac: Long - Solutie: String - Dataintocmirii: Date
- Datorii Curente: Long +adauga()
- DataVerif: Date
- Cap pr:Long +modifica() +adauga()
+salveaza() +modifica()
+RataRentabVen() +sterge() +sterge()
+SolvabGen() Situatii Financiare +anuleaza() +adauga()
- SerieSit:Integer 1
+modifica()
analizeaza
- DenSit:String * +onorariu()
Foi Lucru +onorariu_estimat()
Lucrari Misiune
- CodFl: String determina
+salveaza()
- DenFl: String 1..* 1 - Ore_realizate:Integer
+calculeaza indicatori() 1 1 1
- tarif_orar: Long 1..* contine
obtine +adauga(0
Bilant +modifica() +onorariu_lucrare()
0..1 CPP 1..* Lucrare
+sterge()
- NrBilant: String - NrCPP: String inscriu - CodL: Integer
- DataBil:Date - DataCPP:Date
1..*
1 - DenL:String
0..1 - Ore_estimate: Integer
+afiseaza() Dosar Audit executa
+afiseaza() 1
- CodSect: String
- DenSect: String Auditor Riscuri
1
1 - TipDosar: String - CodR: Integer
- CodA: Integer
Balanta are Cont - DenR: String
+adauga() - DenA: String
- NrBalanta:Integer - SimbolCont: Integer +actualizeaza() - Functie: String
- DataBalanta: Date - DenCont: String +sterge() +adauga() evalueaza
- FunctieCont: String +modifica()
+TotalSumeDeb()
+TotalSumeCred() 1..* +sterge() 1..*
+SoldFinalDeb()
+SoldFinalCred() Formula Rand Domenii Semnificative
Riscuri Generale
- semnOperatie:String - Eval_risc_g: String - CodDomeniu: Integer
Continut Balanta - DenDomeniu:String
+documenteaza()
+Total SoldFinalDeb() +evalueaza() +adauga()
- SoldInitDeb: Integer
+TotalSoldFinalCred() +modifica()
- SoldInitCred:Integer * *
+sterge()
- RulajDeb:Double Rand Situatii Financ Riscuri Specifice
- RulajCred: Double 1
- SerieRand:String - eval_risc_sp:String asociate
compuse - NrRand: Integer
- DenRand:String *
1..* +evalueaza()

149
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

150
5.1.2.3. Proiectarea

Proiectarea are ca punct de plecare rezultatele analizei, pe care le detaliază


corespunzător nevoilor implementării. Astfel, diagrama claselor de obiecte este adaptată şi
remodelată, punând-se un accent deosebit pe modelarea comportamentului fiecărei clase.
Diagrama de stări şi diagrama de colaborări constituie “instrumente” importante în
construirea diagramei claselor – la nivelul implementării. De asemenea, un alt aspect
important şi demn de menţionat este faptul că diagramele de activităţi şi secvenţe se pot
relua, îmbunătăţi sau chiar remodela în această etapă.

5.1.2.3.1 Diagrama de stări serveşte pentru a reprezenta suita de stări prin care poate trece
un element de modelare – fie acesta obiect sau interacţiune – în cursul existenţei sale, ca
reacţie la evenimentele survenite în exteriorul său. În acest sens, figura 5.5 prezintă toate
stările prin care poate trece o instanţă a clasei „Misiune” precum şi evenimentele ce
schimbă starea unui obiect .

/asistent intocmeste plan /auditor senior verifica plan Plan Misiune /semneaza plan
Plan Misiune
Modificat
Creat

Plan Misiune
Avizat

/executa plan

Plan Misiune
Realizat

figura nr.5.5 Diagrama de stare asociată clasei Misiune

5.1.2.3.2 Diagrama de colaborare


Diagrama de colaborare este un instrument necesar în stabilirea legăturilor dintre
obiecte, manifestându-şi utilitatea cu precădere în faza de proiectare. Diagrama am putea
spune că se identifică, ca putere de modelare, cu diagrama de secvenţe, individualizându-se
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

printr-o reprezentare grafică. Figura 5.6 prezintă derularea operaţiilor necesare pentru
elaborarea unui nou plan de misiune, sub forma unei diagrame de colaborări.

Formular Principal

15. Inchide formular 1. Deschide Plan Misiune

2. Creeaza misiune noua


4. Date Misiune
7. Date Lucrari
11. Date Auditor
Formular Plan Misiune

Auditor Asistent
8. Creeaza lucrari misiune
3. Creeaza misiune noua 9. Date lucrare
5. Date misiune 10. Salveaza lucrare misiune
6. Salveaza Misiune 12. Asociaza auditor

13. Creeaza asociere


14. Salveaza asociere

: Misiune : Lucrari Misiune [new] : Auditor

Figura nr. 5.6 Diagrama de colaborări asociată cazului de utilizare “Elaborează planul de
audit”

5.1.2.3.3. Diagrama componentelor “reflectă structurarea programelor prin care se


implementează pachetele din planul architectural logic şi legăturile necesare între
acestea”44. UML foloseşte pentru a indica unităţile fizice de program, termenul de
componentă.

44
D. Zaharie, I. Rosca – Proiectarea obiectuală a sistemelor informatice, Dual Tech, 2002

151
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

CLIENT
(client.cls)

Scrisoare Anagajament
(scris.cls)

Misiune
(misiune.cls)

Lucrari Misiune
(lucr_misiune.cls)

Lucrare
(lucrare.cls)

Foi Lucru
(foil.cls)

Auditor
(auditor.cls)

Dosar Audit
(dosar.cls)

Riscuri Generale
AUDIT (riscurig.cls)
(audit.dll)

Riscuri Generale Misiune


(riscuri_mis.cls)

Riscuri Specifice
(riscuri_sp.cls)

Domenii Semnificative
(domenii.cls)

Date Istorice
(date_ist.cls)

Situatii Financiare
(situatii.cls)

Balanta
(balanta.cls)

Bilant
(bilant.cls)

Cont
(cont.cls)

Continut Balanta
(cont_bal.cls)

Rand Sit Fin


(rand_sit.cls)

Figura nr.5.7 Diagrama componentelor sistemului

152
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

5.1.2.3.4. Modelul de persistenţă


Menţinerea obiectelor de la o execuţie la alta impune memorarea acestora în baze
de date relaţionale. Modelul relaţional corespunzător diagramei claselor de obiecte este
reprezentat în figura 5.8. şi el a constituit punctul final al etapei de proiectare pentru
sistemul analizat.

153
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Clienti

IDOClient DenClient AdresaCl

Scrisoare Angajament

IDOScris Data_scris Termen_executie Slolutie IDOClient

Misiune

IDOMisiune Obiectiv Data_intocmirii Data_verif IDOScris

Lucrari Misiune

IDOMisiune IDOLucrare ore_realizate tarif_orar IDOAuditor IDODosar IDOFl

Lucrare

IDOLucrare DenLucrare Ore_estim


Auditori
Foi Lucru
IDOAuditor DenAuditor
IDOFL DenFL

Dosar Audit

IDODosar DenSectiune

Riscuri Generale Misiune

IDORisc IDOMisiune Eval_r_gen

Riscuri Generale

IDORisc DenRisc

Riscuri Specifice

IDORisc IDODomeniu IDOMisiune Eva_r_sp

Domenii Semnificative

IDODomeniu DenDomeniu

ISTORIC DATE

IDOClient IDODateIstorice Active_curente stocuri debitori ....

Situatii Financiare Balanta

IDOSitFin DenSitFin IDOClient IDOMisiune IDOBalanta data_balanta

Rand SitFin
Bilant

IDOBilant data_bil IDOSitFin IDOBalanta IDORand NrRand DenRand IDOSitFin

Continut Balanta

IDOBalanta IDOCont sid sic rd rc Ajustare

Cont Formula Rand


IDOCont DenCont FunctieCont IDORand IDOCont SemnOp

Figura nr. 5.8 Modelul relaţional asociat diagramei claselor de obiecte


5.1.2.4 Implementarea

Implementarea sistemului am realizat-o folosind facilităţile limbajului Visual Basic


6.0, conexiunea la baza de date audit.mdb fiind redată cu ajutorul tehnologiei ADO
(ActiveX Data Objects).

154
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Interfaţa aplicaţiei debutează cu un meniu principal, prezentat în cadrul figurii 5.8,


care îşi propune să urmărească etapele importante ale unei misiuni de audit permiţând
utilizatorului să-şi exprime cu uşurinţă opţiunile: Acceptarea Clientului, Planificarea
auditului, Evaluarea sistemului informatic, Testarea tranzacţiilor Clientului şi Analiza
Situaţiilor financiare.

Figura nr.5.8. Formular asociat Meniului principal

1. Acceptarea Clientului este prima etapă a unei misiuni de audit, în care auditorul va
înregistra entitatea auditată şi apoi va documenta riscurile majore ale acesteia.
Aplicaţia debutează pentru această opţiune cu un formular “Actualizare Clienţi”,
afişat în figura 5.9, în care utilizatorul poate realiza fie crearea unui nou Client,
modificarea datelor unui client existent sau ştergerea acestuia. Atât operaţia de
“Adauga”, cât şi cea de “Modifica”, vor fi urmate de o “Salvare” a datelor noi
introduse sau de o “Anulare” a acestora.

155
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Figura nr.5.9. Formular de actualizare a clienţilor

În cadrul acestei etape, auditorul va analiza în continuare riscurile pe care şi le-ar


asuma în vederea acceptării mandatului; formularul a fost proiectat ca un chestionar,
fiecare întrebare inclusă având un răspuns pozitiv sau negativ, răspunsul pozitiv
reprezentând întotdeauna o situaţie de risc pe care auditorul trebuie să o documenteze.

Figura nr.5.10. Formular de documentare a riscurilor asumate în vederea acceptării


mandatului
2. Planificarea auditului
• Calculul pragului de semnificaţie

156
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Pragul de semnificaţie stabilit în etapa de planificare se utilizează în special, pentru


determinarea eşantioanelor; în acest sens, literatura de specialitate recomandă o serie de
factori în determinarea acestui prag, reprezentaţi în figura 5.11 şi totodată, propune analiza
sumelor aferente exerciţiului anterior. Pragul de semnificaţie ar trebui, în mod normal, să se
situeze în intervalul indicat de valoarea minimă/maximă a celor 6 indicatori, din anul
curent. Atunci când societatea analizată înregistrează pierderi sau profitul prezintă fluctuaţii
majore, factorii 5 şi 6 nu se vor lua în considerare, oricare ar fi motivul distorsionării sale.
Figura 5.11. relevă o astfel de situaţie, pentru exemplul analizat, fapt pentru care pragul de
semnificaţie este setat, pe baza raţionamentului profesional, la valoarea de 1%* Cifra
Afaceri.

Figura nr.5.11. Formular pentru determinarea pragului de semnificaţie

Formularul include şi opţiunea „Imprima” cu rol de a salva într-un fişier text


conţinutul acestuia, facilitate ce-i va permite auditorului completarea rapidă a foii de lucru
F0 (prezentă în anexele lucrării), element ce constituie o probă inclusă ulterior în Dosarul
Exerciţiului .

157
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

• Proceduri Analitice

Aplicarea procedurilor analitice, încă din etapa de Planificare, reprezintă o condiţie


necesară pentru înţelegerea activităţii şi identificarea domeniilor cu risc potenţial. În acest
sens, plecând de la date financiare istorice (culese, spre exemplu din ultimii 3 ani – figura
5.12), această procedură are ca rezultat final calculul unor indicatori uzuali, cum ar fi:
lichiditatea generală, lichiditatea imediată, perioada de colectare a crenţelor, perioada de
achitare a datoriilor, rata autonomiei financiare, eficienţa capitalurilor proprii – indicatori
prezentaţi în figura nr. 5.13.

Figura nr.5.12 Formular de introducere/vizualizare a datelor financiare istorice

Formulele de calcul asociate acestor indicatori sunt:


Lichiditatea generală = Active curente/Datorii curente
Valoarea subunitară a acestui indicator este expresia existenţei unor lichidităţi mai mici
decât exigibilităţile potenţiale. Totuşi aceasta nu constituie un pericol atunci când stocurile
se reduc treptat, în scopul achitării datoriilor exigibile pe termen scurt. Pragul recomandat
ca fiind acceptabil este în jurul valorii 2 şi oferă garanţia acoperirii datoriilor curente din
activele curente.

158
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Lichiditatea imediată = Active curente - Stocuri/Datorii curente


Această rată este, de regulă, subunitară şi ea trebuie analizată, interpretată cu prudenţă. În
teoria economică există opinii potrivit cărora o rată cuprinsă între 0.8 şi 1 ar reprezenta o
situaţie optimă.
Perioada de colectare a creanţelor = (Creanţe comerciale/Cifra de AfaceriNetă) * 365 zile
- exprimă numărul de zile până la data la care debitorii îşi achită datoriile către societate. O
valoare în creştere a indicatorului poate indică probleme legate de controlul creditului
acordat clienţilor şi, în consecinţă, creanţe mai greu de încasat (clienţi rău platnici).
Perioada de achitare a datoriilor = (Datorii comerciale/Cumpărări ale perioadei) * 365 zile
- aproximează numărul de zile de creditare pe care societatea îl obţine de la furnizorii săi.
Eficienţa capitalurilor proprii = Profit Net/Capital propriu
- recunoscută în literatura de specialitate şi ca rata rentabilităţii financiare măsoară
randamentul capitalurilor proprii, remunerând proprietarii societăţii prin distribuirea
dividendelor şi prin creşterea rezervelor. Este de dorit ca rata rentabilităţii financiare să fie
mai mare decât rata dobânzii la titlurile de stat plus prima normală pentru riscul asumat de
acţionari; numai această rentabilitate financiară va face atractive acţiunile societăţii.
Rata autonomiei financiare = (Capital propriu/Total active mai puţin datorii curente nete)
- se apreciază că pentru asigurarea autonomiei fianciare într-o organizaţie, capitalurile
proprii trebuie să reprezinte cel puţin jumătate din capitalurile permanente (Total active
mai puţin datorii curente nete). Autonomia financiară este primordială pentru o societate
deoarece îi oferă posibilitatea de a decide liber şi totodată, de a găsi şi contracta noi
împrumurturi.

159
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Figura nr.5.13. Formular de calcul a indicatorilor economico-financiari pe ultimii 3 ani

• Evaluarea riscului de audit şi a riscurilor specifice


Evaluarea riscului este o etapă esenţială oricărei misiuni de audit, indiferent de
obiectivul propus. Aplicaţia debutează cu un formular de afişare a formulei matematice de
calcul a riscului de audit, formular prezentat în figura 5.14, propus mai mult din dorinţa de
a da aplicaţiei şi un caracter didactic.

Figura nr.5.14 Formularul asociat determinării Riscului de Audit

160
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Selecţia opţiunii “Calculeaza” activează un alt formular “Risc General” ce va permite


realizarea următoarelor funcţionalităţi :
 o evaluare generală a riscului de management (figura 5.15)
 o evaluare generală a riscului contabil
 o evaluare generală a riscului de afaceri
 o evaluare generală a riscului de audit (figura 5.16 )
 o evaluare a riscului inerent specific (figura 5.17)
 determinarea mărimii eşantioanelor. (figura 5.18)
Modul de abordare a acestei evaluări a fost preluat din Normele Minimale de Audit, foile
de lucru F1-F3 (al căror model se regăsesc în anexele lucrării), aplicaţia urmărind legislaţia
în vigoare, tocmai pentru a fi un ghid util viitorilor utilizatori. Evaluarea riscului inerent
general se realizează pe baza unui chestionar, întrebările fiind formulate astfel încât
răspunsul “DA” este un indiciu de risc. Aprecierea riscului pentru cele 4 secţiuni:
Management, Afacere, Contabilitate şi Audit se realizează cu calificativele “Ridicat”,
“Mediu”,”Scazut”, “F. Scazut”.

Figura nr.5.15 Formular de evaluarea a Riscului de Management

161
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

În cadrul secţiunii Conducere se regăseşte un chestionar care conţine 8 întrebări,


fiecare dintre acestea având asociate 2 controale checkbox de selecţie a răspunsului
DA/NU. În urma selecţiei răspunsurilor, activarea opţiunii “Risc Conducere” va furniza
aprecierea riscului conform algoritmului de mai jos.

Private Sub ButonEV1_Click() Function EV1(s)


Dim I As Integer If s < 3 Then
Dim intSumDA As Integer EV1 = "F SCAZUT"
Dim intSumNu As Integer ElseIf s >= 3 And s <= 4 Then
For I = 1 To 8 EV1 = "SCAZUT"
If chkDA(I).Value = 1 Then ElseIf s >= 5 And s <= 6 Then
intSumDA = intSumDA + 1 EV1 = "MEDIU"
Else Else
intSumNu = intSumNu + 1 EV1 = "RIDICAT"
End If End If
Next End Function
tot1 = intSumDA
TXTEV1 = EV1(tot1)
End Sub

În mod similar au fost proiectate şi celelalte pagini asociate secţiunilor


Contabilitate, Afacere şi Audit, aceasta din urmă având şi caracteristica “Imprimă” ce va
salva într-un fişier text conţinutul paginilor anterioare.

Figura nr.5.16 Formular de evaluarea a riscului de audit şi de apreciere a riscului inerent


general

162
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

După evaluarea riscului inerent general este important să se considere dacă există
vreun domeniu de audit care să aibă ataşat un risc specific. Riscul inerent specific
reprezintă posibilitatea apariţiei unei informaţii eronate semnificative într-un anumit
domeniu. Acest risc specific este evaluat pe baza a 6 întrebări45 ce sunt concentrate către
justificarea “de ce sunt erori”, întrebări ce pot primi un răspuns pozitiv sau negativ
(DA/NU), răspunsul pozitiv indicând întotdeauna un risc. Riscul inerent specific va fi
apreciat în funcţie de calificativul riscului inerent general şi numărul de răspunsuri pozitive
pentru cele 6 întrebări; rezultatul va fi apreciat printr-un procent conform tabelului 5.1.
Număr de riscuri Nivel general de risc inerent
inerent specifice
identificate
Foarte Scazut Mediu Ridicat
scazut
0,1 sau 2 riscuri 23% 50% 70% 100%
3 sau 4 riscuri 50% 70% 100% 100%
5 sau 6 riscuri 70% 100% 100% 100%
Tabelul nr. 5.1 Factori de risc asociaţi riscului inerent specific

Figura nr.5.17 Formular de evaluare a Riscului Inerent Specific

45
Se regăsesc specificate în capitolul al II-lea.

163
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Scopul final al acestui exerciţiu este determinarea mărimii eşantioanelor. Algoritmul


folosit presupune parcurgerea următoarelor etape:
1. calculul riscului de audit (RA - literatura de specialitate îl consideră, în acest punct
o constantă 5%)
2. calculul riscului inerent (RI)
a. risc inerent general
b. risc inerent specific
3. calculul riscului de control (RC)
4. calculul riscului de nedetectare, neasociat cu eşantionare RNNE
5. determinarea eşantioanelor

Figura nr.5.18 Formular pentru determinarea mărimii eşantioanelor

Analizând ecuaţia Riscului de Audit şi plecând de la ipoteza că RA=5%, se va determina


mărimea eşantioanelor, conform tabelului 5.2.

RA=RI * RC * RNNE * RNE

Banda de risc

164
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Banda de Risc Mărimea eşantionului


78.4% până la 100% 53
58.5% până la 78.3% 48
43.8% până la 58.4% 43
33.0% până la 43.7% 38
24.9% până la 32.9% 33
18.9% până la 24.8% 28
14.4% până la 18.8% 23
11.1% până la 14.3% 18
8.5% până la 11.0% 13
6.6% până la 8.4% 8
0% până la 6.5% 3
Tabelul nr.5.2 Mărimea eşantionului la o populaţie < 400

• Determinarea eşantioanelor
Comparativ cu soluţia propusă de Normele Minimale de Audit, prezentată anterior,
aplicaţia furnizează şi alte metode de determinare a eşantioanelor, folosite frecvent în
practica cabinetelor de audit, soluţii prezentate la un nivel teoretic şi exemplificate în
cadrul capitolului al II-lea. Formularul – prezentat în figura 5.19 - are la bază formulele de
calcul pentru determinarea eşantioanelor, atunci când se cunoaşte mărimea valorică a
întregii populaţii sau numărul de înregistrări existente în cadrul populaţiei, coeficientul de
încredere (complementul riscului de nedetectare legat de eşantionare), eroarea tolerabilă
(pragul de semnificaţie individual la nivelul aserţiunii verificate) şi numărul de erori
aşteptate.

Figura nr. 5.19 Formular pentru determinarea mărimii eşantioanelor

165
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

• Elaborarea planului de audit

Planificarea, ca etapă esenţială a unei misiuni de audit se va finaliza prin elaborarea


unui plan de lucru – dezvoltat în cadrul formularului din figura 5.19 - planul respectiv
având ataşate lucrările ce urmează a fi realizate, orele estimate de realizare şi auditorii
cabinetului ce răspund de execuţia lor.

Figura nr.5.20 Formular de elaborare a unui Plan de Misiune

3. Evaluarea sistemului informatic se realizează pe baza unui set de chestionare pentru


cele 8 tipuri de riscuri identificate la nivelul sistemului informaţional (prezentate în cadrul
capitolului al III-lea – paragraful “Analiza riscului într-un mediu informatizat”). Aprecierea
riscului se realizează prin calificativele: “Ridicat”, “Mediu”,”Scazut”, “F. Scazut”, în
funcţie de numărul de răspunsuri “NU”, valoare care indică un factor de risc pentru această
situaţie.

166
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Figura nr.5.21 Formular de evaluare a riscurilor informatice

4. Testarea tranzacţiilor Clientului

Pentru exploatarea facilităţilor acestei opţiuni se impune realizarea conexiunii la sursa de


date a clientului prin selectarea comenzii Alege baza de date, din meniul Fisier, care va
genera o casetă de dialog în cadrul căreia utilizatorul va preciza numele bazei de date ce
urmează a se prelucra.

167
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Rezultatul acestei operaţii este deschiderea unui formular Tabele, prezentat în figura 5.22,
ce va permite, în panoul din stânga afişarea conţinutului bazei de date alese în pasul
anterior, cât şi a înregistrărilor existente pentru una din tabelele selectate, într-un ListView
- panoul din dreapta. Opţiunile utilizatorului în cadrul acestui formular se pot rezuma
astfel:
 Stergerea unei tabele selectate din cadrul bazei de date,
 Selectarea unui eşantion de date, în mod aleator – în vederea realizării Testelor de
Control
 Selectarea unui eşantion de date, printr-o metodă proporţională de selecţie – în
vederea realizării Testelor de Detaliu asupra soldului unui cont

Figura nr.5.22 Formular ce permite afişarea structurii bazei de date analizate

Propunem două metode de selectare a eşantionului pe care le asociem realizării a două


tipuri de controale, total diferite: testele de control şi testele de detaliu asupra valorilor unor
tranzacţii. În primul caz, în vederea realizării testelor de control, auditorul, în general,
verifică forma documentului, spre exemplu existenţa unei semnături (avizări), motiv pentru
care eşantionul de date poate fi ales aleator dintr-o mulţime. Astfel, selecţia opţiunii
Eşantionare aleatorie va genera deschiderea formularului din figura.nr. 5.23, în care sunt
solicitate mărimea eşantionului de extras şi numele unei tabele, în care vor fi salvate
elementele acestuia.

168
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Figura nr.5.23 Selecţia eşantioanelor asociate testelor de control

Codul asociat acestui formular este:


Dim cnn As New Connection, blnIncarcat As Boolean
Private Sub Form_Load()
cnn.ConnectionString = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Db & " ;Persist
Security Info=False"
cnn.Open
End Sub

Private Sub Form_Activate()


If blnIncarcat Then Exit Sub
blnIncarcat = True
End Sub

Private Sub Buton_a_Click()


Dim NrInreg As Long
Dim rs As New ADODB.Recordset
rs.Open "Select * from " & Me.Tag, cnn, adOpenStatic, adLockOptimistic, adCmdText
NrInreg = rs.RecordCount
If NrInreg = 0 Then
MsgBox "Tabelul " & Me.Tag & " pe care l-ati selectat anterior nu are nici o inregistrare!",
vbCritical, "Atentie..."
Exit Sub
End If
Dim b As Boolean
cnn.BeginTrans
b = True

169
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

If Len(txttabel) > 0 Then


cnn.Execute "Select * into tblTemporar from " & Me.Tag
cnn.Execute "Select * into " & Me.txttabel.Text & " from " & Me.Tag
InserareInregAleator Me.txtnr.Text, Me.txttabel.Text
AfisareInregistrariLst (Me.txttabel.Text)
cnn.Execute "drop table tblTemporar"
End If
cnn.CommitTrans
b = False
End Sub

Private Sub InserareInregAleator(NrInregTotal As Long, NumeTabel As String)


On Error GoTo err:
Dim rs As New ADODB.Recordset
Dim campvalue As String, fld As Field
Dim rsNou As New ADODB.Recordset

strg = "SELECT * From tbltemporar"

rs.Open strg, cnn, adOpenStatic, adLockOptimistic, adCmdText


rs.MoveFirst
rsNou.Open "Select * from " & NumeTabel, cnn, adOpenDynamic, adLockOptimistic,
adCmdText
Do While Not rsNou.EOF()
rsNou.MoveFirst
rsNou.Delete
rsNou.MoveNext
Loop

For I = 1 To NrInregTotal
rs.MoveFirst
rs.Move Int(Rnd * NrInregTotal)
rsNou.AddNew
For Each fld In rs.Fields
campvalue = fld.Name
rsNou.Fields(campvalue).Value = rs.Fields(campvalue).Value
Next
rsNou.Update
rs.Delete
rs.MoveNext
Next
Exit Sub
err:
MsgBox err.Description, vbCritical, err.Number
End Sub

Private Sub AfisareInregistrariLst(NumeTabel As String)


On Error GoTo errdesc:
Dim rs1 As New Recordset
rs1.Open "Select * from " & NumeTabel, cnn, adOpenStatic, adLockOptimistic, adCmdText
AfisareColoane rs1
lstesant.ListItems.Clear
lstesant.Refresh
If rs1.RecordCount > 0 Then

170
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

AfisareInregistrariTabel rs1
End If
rs1.Close
Set rs1 = Nothing
Exit Sub
errdesc:
MsgBox "Eroare: " & vbCrLf & err.Description, vbInformation
End Sub

Private Sub AfisareColoane(rs As Recordset)


Dim Camp As Field
lstesant.ColumnHeaders.Clear
For Each Camp In rs.Fields
lstesant.ColumnHeaders.add , , Camp.Name
Next

End Sub

Private Sub AfisareInregistrariTabel(rs As Recordset)


Dim Camp As Field
Dim Item As ListItem
Dim campvalue As String
Dim I As Integer

rs.MoveFirst
Do While Not rs.EOF
I=0
For Each Camp In rs.Fields
campvalue = Camp.Name
If I = 0 Then
Set Item = lstesant.ListItems.add(, , IIf(Len(rs.Fields(campvalue).Value) > 0,
rs.Fields(campvalue).Value, 0))
Else
Item.ListSubItems.add , , IIf(Len(rs.Fields(campvalue).Value) > 0, rs.Fields(campvalue).Value, 0)
End If
I=I+1
Next
rs.MoveNext
Loop
Set Item = Nothing
Set Camp = Nothing
End Sub

Private Sub Buton_impr2_Click()


Dim iFileNum1 As Integer
Dim sFileName As String
Dim sInputLine As String
Dim campvalue As String
Dim s As String
Dim I As Integer
Dim Camp As Field
Dim rs As New ADODB.Recordset

rs.Open "Select * from " & txtNumeTabel, cnn, adOpenStatic, adLockOptimistic, adCmdText

171
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

iFileNum1 = FreeFile
sFileName = App.Path & "\ESANTION1.txt"
Open sFileName For Output As #iFileNum1
sInputLine = "Selectie Esantion - Tabela " & txtNumeTabel
Print #iFileNum1, Space(70) & sInputLine
Print #iFileNum1, "________________________________________________________"
For Each Camp In rs.Fields
campvalue = campvalue & Camp.Name & Space(14)
Next
Print #iFileNum1, campvalue
Print #iFileNum1, "________________________________________________________"
rs.MoveFirst
Do While Not rs.EOF
I=0
For Each Camp In rs.Fields
campvalue = Camp.Name
If I = 0 Then
s = IIf(Len(rs.Fields(campvalue).Value) > 0, rs.Fields(campvalue).Value, 0)
Else
s = s & Space(7) & IIf(Len(rs.Fields(campvalue).Value) > 0, rs.Fields(campvalue).Value, 0)
End If
I=I+1
Next
Print #iFileNum1, s
rs.MoveNext
Loop
Print #iFileNum1, "________________________________________________________"
Print #iFileNum1, "TOTAL INREGISTRARI " & Space(7) & rs.RecordCount
Print #iFileNum1, "________________________________________________________"
rs.Close
Set Camp = Nothing
End Sub

Private Sub Form_Unload(Cancel As Integer)


cnn.Close
Set cnn = Nothing
End Sub

În cel de-al doilea caz, soluţia o reprezintă o metodă proporţională de selecţie,


menţionată şi în cadrul Normelor Minimale de audit, metodă care presupune împărţirea
eşantionului în proporţia 80: 20, astfel încât 80% din mărimea eşantionului va fi ales din
rândul celor mai mari elemente în ordine descrescătoare, iar 20% vor fi alese aleatoriu din
restul populaţiei. Astfel, selectarea opţiunii Esantionare proportinala, va genera
deschiderea formularului din figura 5.24, în care auditorul trebuie să aleagă câmpul valoric,
ce va fi ulterior verificat, să menţioneze mărimea eşantionului cât şi numele noii tabele în
care vor fi salvate elementele acestuia.

172
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Figura nr.5.24 Selecţia eşantioanelor asociate testelor de detaliu

5. Analiza situaţiilor financiare este opţiunea creată pentru verificarea completitudinii şi


acurateţii situaţiilor financiare, având ca rezultat final calculul unui set de indicatori
economico-financiari. Punctul de plecare îl constituie introducerea balanţei de verificare
„ajustate” a unei societăţi; utilizarea termenului „ajustate” este impusă de faptul că, adesea,
auditorul poate veni cu modificări la această situaţie, în urma testelor de control şi
procedurilor de fond desfăşurate. Noua balanţă obţinută va constitui sursa generării
Bilanţului, Contului de Profit şi Pierdere şi determinării indicatorilor economico-financiari.

173
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Figura nr. 5.24 Bilanţ financiar

Figura nr.

174
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Fără a avea pretenţia exhaustivităţii, prin intermediul acestei aplicaţii se oferă o


nouă soluţie de rezolvare a unor probleme strict legate de auditul situaţiilor financiare ce va
permite eficientizarea unei misiuni, în termeni de timp şi de cost.

CAPITOLUL 6
TENDINŢE ÎN DEZVOLTAREA SOFTWARE-ULUI DE AUDIT

6.1. Data Mining

În ultimii ani, informatica a surprins omenirea printr-o serie de rezultate noi şi


inedite, cum au fost: apariţia şi extinderea Internetului la scară planetară, apariţia
tehnologiei agenţilor inteligenţi, a algoritmilor genetici, a depozitelor de date, a sistemelor
fuzzy, etc.
Accentuarea dramatică a concurenţei, globalizarea comerţului, diminuarea
crescândă a ciclurilor de viaţă a produselor datorită dinamicii tehnologiei, impunerea unor
cerinţe calitative extrem de ridicate au evidenţiat şi mai mult valoarea strategică a
informaţiei. Toate aceste schimbări asociate cu noile avantaje ale tehnologiilor
informaţionale moderne au avut un impact deosebit şi asupra misiunilor de audit, auditorii
recunoscând astăzi o creştere dramatică a volumului tranzacţiilor şi a complexităţii
sistemelor de contabilitate informatizată. Ultimii ani au marcat o reorientare în utilizarea
volumelor de date acumulate, de la un proces de cercetare retrospectiv spre unul care
abordează mai mult aspecte legate de viitor, schimbare ce s-a putut impune ca urmare a
maturizării tehnologiilor legate de Data Mining.

175
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Literatura de specialitate abundă în definiţii pentru conceptul de Data Mining, dar


în esenţă ele exprimă acelaşi lucru: un proces de extragere a noi informaţii din colecţiile de
date existente, informaţii ce pot răspunde nu numai la întrebarea ce se întâmplă, ci şi de ce
se întâmplă ? Un Data Mining are, în general, două obiective: unul de descriere ce constă
în determinarea variabilelor semnificative şi a influenţelor acestora, cât şi unul de predicţie.
Prin contrast cu interogările obişnuite adresate bazelor de date curente, folosind un limbaj
de interogare ca SQL, Data Mining clasifică şi grupează date, din sisteme diferite şi,
eventual, incompatibile, căutând noi asociaţii. Tehnicile folosite în data mining permit
utilizatorilor să analizeze datele la nivele de detaliere sau abstractizare diferite, ceea ce
uşurează luarea deciziilor.
Analiza şi exploatarea datelor unei baze de date multidimensionale se realizează
folosind tehnici de analiză avansată ce includ algoritmi statistici, inteligenţă artificială,
reţele neuronale, logică fuzzy, algoritmi genetici şi vizualizarea datelor. Data Mining nu
este, în fapt o “reţetă universală” pentru orice problemă de gestiune, ci am putea spune că
aportul său se rezumă la următoarele categorii de operaţii:
 Descrierea datelor
 Analiza dependenţelor
 Clasificări şi predicţii
 Analiza cluster-elor
 Analiza excepţiilor

Descrierea datelor. Obiectivul descrierii datelor este de a asigura o prezentare


completă a datelor de analizat. În acest sens, se disting două abordări în realizarea acestei
operaţii: pe de o parte, caracterizarea datelor printr-o cumulare a caracteristicilor generale
ale datelor, iar pe de altă parte, de o comparaţie a acestora la nivelul dintre contrastele
grupelor sau claselor. În mod normal, cele două abordări se utilizează într-o manieră
agregată. Cele mai utilizate tehnici data mining sunt: agregarea şi generalizarea datelor,
analize în timp, reguli de inducţie şi tehnici asociate conceptului de cluster.

Analiza dependenţelor, numită şi analiza asocierilor urmăreşte să determine care sunt


obiectele care apar cel mai frecvent împreună. Exemplul tipic pentru acest gen de acţiune
este determinarea articolelor care se cumpără uzual împreună, de unde şi denumirea de

176
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

“analiză a coşului gospodinei”. Tehnica se poate aplica pentru căutarea nedirijată de


informaţii şi nu este pretenţioasă sub aspectul tipului şi conţinutului datelor tratate. Ea îşi
găseşte aplicabilitatea în analiza oricăror tranzacţii comerciale, analiza mişcărilor de
fonduri dintr-o bancă, analiza incidentelor de asigurare, etc. Tehnicile specifice asociate
metodei sunt: regresii neliniare, eşantionări statistice, normalizarea datelor, reguli de
inducţie, algoritmi apriori, vizualizarea datelor.

Clasificări şi predicţii. “Clasificarea urmăreşte să plaseze obiectele prelucrate într-un


grup limitat de clase predefinite. Predicţia urmăreşte să claseze înregistrările tratate în
funcţie de un comportament sau o valoare estimată viitoare. În acest scop, se recurge la o
colecţie de exemple, bazate pe date din trecut, în care valorile variabilei de previzionat sunt
deja cunoscute, elemente ce vor conduce la construirea unui model care să explice
comportamentul observat”46. Tehnicile Data Mining cele mai adecvate sunt: reţele
neuronale, arbori de decizie, algoritmi genetici, regresii lineare sau nelineare, reţele de tip
“Bayes”, raţionamentul bazat pe cazuri. Particularizarea acestor categorii de opeaţii pe
exemplul unei misiuni de audit se poate concretiza în analiza etapei de acceptare a
clientului; în acest sens având drept fundament situaţiile de sinteză aferente ultimilor 3 ani
din activitatea entităţii analizate, poziţia deţinută pe piaţă în cadrul ramurii economice
respective, clientul poate fi încadrat într-una din grupele:”favorabil” sau „nefavorabil”.
Rezultatul acestei evaluări se va exprima prin acceptarea sau refuzul misiunii.

Analiza cluster-elor urmăreşte divizarea unei populaţii eterogene în grupuri mai


omogene, numite “clustere”, fără a avea ca punct de pornire un anumit criteriu sau
proprietate. Diferenţa dintre clasificare şi analiza clusterelor se poate rezuma la faptul că,
aici nu există un set predeterminat de clase şi nici exemple trecute, segmentarea propriu-
zisă realizându-se, în exclusivitate, pe baza similitudinilor sesizate între obiecte. Este o
tehnică ce are capacitatea de a releva caracteristici ascunse – sub volumul şi diversitatea
detaliilor – într-un anumit set de înregistrări. Modelarea acestei operaţii în cadrul unei
misiuni de audit îşi găseşte aplicabilitatea, după opinia mea, în selectarea eşantioanelor.
Astfel, tranzacţiile contabile ale clientului cu caracteristici similare sunt grupate în clustere,
iar eşantioanele sunt selectate din fiecare cluster.

46
D. Zaharie – Sisteme informatice pentru asistarea deciziei, Ed. Dual Tech, 2001.

177
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Analiza excepţiilor. Detectarea fraudei, utilizarea unor modele neobişnuite sunt doar
câteva rezultate ale unei astfel de analize. O astfel de analiză nu se poate realiza în mod
singular, ci aplicarea ei trebuie să fie precedată de analiza cluster-elor. În viziunea unui
proces de audit, având drept sursă rezultatele exemplului anterior (obţinute prin analiza
cluster-elor) şi completând aceste informaţii cu datele neobişnuite identificate prin metode
de analiză a excepţiilor, auditorul poate selecta eşantioanele de analizat, eşantioane care
putem afirma vor reprezenta cel mai fidel realitatea.
Aceste operaţii descrise pot asigura o analiză complexă a tranzacţiilor clientului,
identificarea tranzacţiilor neobişnuite, sau chiar frauduloase, definirea unor trenduri,
previziuni, fapt pentru care, integrarea acestei tehnologii poate reprezenta un instrument
extrem de util îndeosebi auditorilor interni din cadrul oricărei organizaţii.

Procesul Data Mining

În literatura de specialitate se disting diferite modele care au fost propuse pentru a servi
drept ghid al procesului de exploatare a datelor. Între acestea, două modele se impun ca
standarde în domeniu: CRISP – DM şi SEMMA.

Abordarea propusă de SAS Institute este recunoscută sub apelativul SEMMA (Sample –
Explore – Modify – Model – Assess) şi ea se caracterizează prin următoarele etape:
Eşantionarea – Explorarea – Modificarea – Modelarea – Evaluarea. Particularitatea acestei
metode se concretizează în importanţa pe care o acordă activităţilor tehnice tipice asociate
unui proiect Data Mining.

O altă abordare – metodologia Six Sigma – recunoscută în industria americană, datorită


implementării sale de succes, se distinge prin obiectivele pe care le abordează: eliminarea
defectelor din date, rezolvarea problemelor de calitate a controlului pentru toate tipurile de
afaceri. Aceasta stabileşte o secvenţă de aşa numiţi paşi DMAIC (Define – Measure –
Analyze – Improve –Control): Definire – Măsurare – Analiză – Perfecţionare – Control.

CRISP (CRoss Industry Standard Process for Data Mining) a fost propus la mijlocul
anului 1990 de un consorţiu European de companii pentru a servi ca un standard asociat
procesului de Data Mining. Această abordare propune o derulare secvenţială a următoarelor
etape, reprezentate schematic în figura 6.1:

178
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

1. analiza problemei
2. identificarea datelor
3. pregătirea datelor
4. modelarea
5. evaluarea
6. integrarea noilor cunoştinţe

Figura nr. 6.1 Etapele procesului Data Mining în abordarea CRISP-DM


(prelucrare după sursa:www.crisp-dm.org-process-index.htm)

1. Analiza problemei.
În abordarea CRISP, această etapă identifică următoarele faze:
 Determinarea obiectivelor. Declanşarea unui astfel de proces este determinată
de sesizarea unei oportunităţi sau necesităţi de afaceri, ceea ce impune
delimitarea exactă a ceea ce se urmăreşte de rezolvat prin data mining, care sunt
obiectivele urmărite şi rezultatele aşteptate. Problemele pot fi diverse:
optimizarea răspunsului clienţilor în cadrul unei campanii de marketing,

179
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

prevenirea utilizării frauduloase a cardurilor bancare, detectarea intrărilor ostile


într-un sistem informaţional.
 Definirea criteriilor de succes. Odată problema conturată, CRISP recomandă
definirea unor criterii ce pot asigura reuşita proiectului; aceste criterii pot fi, atât
de natură obiectivă (cantitativă): îmbunătăţirea numărului abaterilor detectate,
îmbunătăţirea gradului de răspuns al clienţilor la campaniile de matketing, cât şi
de natură subiectivă (calitativă), situaţie în care expertul domeniului apreciază
rezultatele utilizării tehnicilor data mining corespunzător obiectivelor problemei
de rezolvat.
 Evaluarea situaţiei impune o analiză a costurilor implicate şi a beneficiilor
viitoare, a experienţei deţinute în rezolvarea problemei propuse.
 Determinarea scopurilor Data Mining. Etapele anterioare au stabilit problema
şi criteriile de succes pentru o soluţionare corectă a acesteia, astfel încât în acest
moment este necesară o traducere a scopurilor problemei de rezolvat în termeni
“data mining”. Practica a demonstrat adesea, că scopul general al unei probleme
este diferit de scopul “data mining”, exemplele din tabelul 6.1. evidenţiind acest
aspect:

Scopul general al
Scopul „data mining”
problemei de rezolvat
Determinarea caracteristicilor clienţilor în
Creşterea vânzărilor
funcţie de puterea acestora de cumpărare
Determinarea modelelor critice de
utilizare frauduloasă a cărţilor de credit
Prevenirea fraudării
sau
cărţilor de credit
Construirea unui algoritm precis pentru
detectarea automată a fraudelor
Tabelul 6.1 Exemple de transpunere a scopurilor generale ale unei probleme de rezolvat în
scop „data mining”

Scopul „data mining” este într-o relaţie directă cu principalele categorii de operaţii, ce
caracterizează acest proces: descrierea datelor, clasificarea, predicţia, analiza
dependenţelor, analiza cluster-elor, analiza excepţiilor.

 Elaborarea unui plan al proiectului. Finalitatea acestei etape se rezumă în


descrierea unui plan de acţiune, cu toate lucrările ce se vor executa, tehnicile ce se
vor utiliza în cadrul acestora şi obiectivele urmărite.

180
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

2. Identificarea surselor de date. Odată problema definită, este necesară stabilirea


structurii generale a datelor cât şi delimitării surselor acestor date. Practica a demonstrat
adeseori că este vorba de date dispersate în diverse sisteme operaţionale, stocate în formate
diferite, administrate cu produse software diferite, uneori disponibile doar pe hârtie. Etapa
în sine implică realizarea următoarelor acţiuni: colectarea iniţială a datelor, descrierea
datelor şi verificarea calităţii acestora. Aceste acţiuni, în ansamblul lor, permit extragerea şi
plasarea tuturor datelor într-o bază comună ce urmează a fi folosită, verificarea conţinutului
fiecăreia dintre surse pentru o identificare a eventualelor incoerenţe sau probleme de
definire, “elemente” care ar putea compromite rezultatele analizelor viitoare.

3. Pregătirea datelor. Datele selectate în etapa anterioară trebuie supuse unui proces
preliminar de pregătire înainte de a fi realizată extracţia prin data mining. Acţiunile
importante ce caracterizează această etapă se pot rezuma la: selectarea datelor, „curăţirea
datelor”, obţinerea noilor date şi formatarea lor. „Curăţirea datelor” se distinge ca o fază
importantă a etapei, recunoscută ca mare consumatoare de timp datorită tehnicilor
diversificate ce pot fi implementate pentru asigurarea fiabilităţii datelor. Aceste tehnici
vizează:

• normalizarea datelor

• omogenizarea datelor

• administrarea valorilor care lipsesc. Absenţa anumitor valori influenţează


negativ exploatarea optimă a tehnologiilor Data Mining, precum şi aplicarea
unor metode statistice. În general realizarea unor experimente cu şi fără aceste
atribute în etapa de modelare, evidenţiază importanţa valorilor lipsă. O soluţie
simplă de rezolvare a problemei presupune fie:

a) înlocuirea tuturor valorilor lipsă cu o constantă totală unică,

b) înlocuirea unei valori lipsă cu caracteristica sa medie,

c) înlocuirea unei valori lipsă cu caracteristica previzionată.

Adesea, însă, această soluţie nu asigură valoarea optimă fapt pentru care datele vor
fi afectate. Dacă valorile lipsă pot fi reduse la doar câteva caracteristici, atunci se poate
încerca o soluţionare prin ştergerea exemplelor continând valori lipsă, sau ştergerea
atributelor ce conţin majoritatea valorilor lipsă. O altă soluţie este de a se încerca predicţia

181
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

valorilor lipsă cu ajutorul unui instrument data mining. În acest caz previzionarea valorilor
lipsă reprezintă un caz special al problemei de predicţie data mining.

• reducerea datelor. Motivele pentru reducerea datelor sunt în majoritatea


cazurilor duble: fie volumul datelor este prea mare pentru aplicaţie, fie timpul
estimat pentru obţinerea soluţiei este prea lung. Tehnicile pentru reducerea
datelor sunt de regulă eficiente, dar imperfecte. Cel mai frecvent algoritm
pentru reducerea dimensiunilor datelor este de a se examina atributele şi de a
lua în considerare doar potenţialul predictiv. În general, o parte dintre atribute
pot fi în mod obişnuit ignorate, fie pentru că sunt slab predictive, fie pentru că
sunt suplimentare în raport cu alte atribute bune.

4. Modelarea este etapa de construire a unui model informatic care va efectua explorarea
propriu-zisă a datelor. Analizând noutatea şi abundenţa tehnicilor şi algoritmilor utilizaţi în
cadrul acestei etape, se poate considera că ea este cea mai interesantă parte a unui proces
Data Mining. Selectarea tehnicii de modelare este hotărâtoare pentru construcţia modelului
în sine, fapt pentru care în tabelul 6.2 sunt prezentate cele mai importante tehnici de
modelare asociate acţiunilor uzuale Data Mining.

Clasificare Metode de inducţie a regulilor, Arbori de decizie, Reţele


neuronale, Metoda celor mai apropiaţi K vecini, Raţionament
bazat pe cazuri
Predicţie Analiza regresiei, Reţele neuronale, Metoda celor mai
apropiaţi K vecini
Analiza dependenţelor Analiza corelaţiei, Analiza regresiei, Reguli de asociere,
Reţele Bayesian
Descrierea datelor Tehnici statistice, OLAP
Analiza cluster-elor Tehnci de clustering, Reţele neuronale, Vizualizarea datelor

182
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Tabelul 6.2. Tehnici Data Mining asociate celor mai importante operaţii Data Mining
Construirea modelului este însoţită de o fază de testare, care verifică calitatea şi
valabilitatea modelului. De exemplu, în acţiunile de clasificare a datelor este uzuală
folosirea valorilor eronate ca o măsură a calităţii modelelor de data mining. Astfel, datele
colectate în etapele anterioare vor fi divizate în seturi de „date de pregătire” şi seturi de
„date pentru testare”. Prima categorie de date va reprezenta baza construirii modelului, iar
estimarea calităţii sale va fi abordată prin prisma celei de-a doua categorii. Odată ales
instrumentul/tehnicile de modelare, acestea se vor utiliza pe setul de date de pregătire,
generând diferite tipuri de modele. În general, toate instrumentele de modelare au un număr
de parametri ce conduc procesul de generare al modelului, coeficienţi ce pot fi modificaţi
până la obţinerea rezultatelor scontate.

5. Evaluarea modelului. Această etapă validează modelul din punct de vedere al datelor
analizate. În fazele anterioare, cu precădere în faza de modelare, evaluarea presupunea o
analiză a fiabilităţii şi generalităţii modelelor generate, în timp ce această etapă realizeză o
evaluarea a modelelor prin prisma obiectivelor iniţiale ale problemei. Această fază permite
relevarea motivelor ce fac ineficientă construirea modelelor, recomandându-se în acest sens
testarea lor pe probleme reale. Se vor analiza şi interpreta atât rezultatele direct legate de
obiectivele de soluţionare a problemei cât şi alte constatări efectuate, acest lucru putând
oferi sugestii pentru modelele viitoare şi alte informaţii suplimentare.

6. Integrarea noilor cunoştinţe. Această etapă finalizeză procesul prin expansiunea


modelului obţinut şi a rezultatelor sale la nivelul sistemului informatic al organizaţiei.

6.2. Analiza caracteristicilor software-ului de audit generalizabil şi a pachetelor Data


Mining

Caracteristicile software-ului generalizabil de audit (GAS)

În general, aceste aplicaţii sunt dezvoltate în cadrul marilor cabinete de audit şi, aşa
cum menţionam în cadrul capitolului 4, pagragraful 4.3.2.1, prezintă, în esenţă, următoarele
caracteristici:
 Caracteristica “tot în unul” – pachetele GAS sunt concepute să asiste întregul
proces de audit, putând fi utilizate în coordonarea tuturor procedurilor de audit.

183
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 Interfaţă prietenoasă cu utilizatorul - multe pachete GAS au o interfaţă prietenoasă,


asistând utilizatorul în “punctele cheie” ale procesului de audit, şi îi oferă o
reprezentare clară şi concisă a informaţiilor complexe.
 Aptitudini tehnice minime din partea utilizatorului - aceste instrumente, proiectate
în mod special pentru activitatea de audit, nu solicită utilizatorului aptitudini
tehnice deosebite pentru a-l folosi.
 Viteza de lucru depinde de volumul tranzacţiilor supuse prelucrării.
 Cerinţa raţionamentului uman - caracteristicile auditului surprinse de pachetele
GAS includ sortarea, interogarea, stratificarea, eşantionarea, analiza întârzierilor
aferente termenelor scadente a plăţilor, etc. Multe firme de audit îşi bazează
activitatea pe pachetele GAS, dar cu toate acestea, experienţa şi raţionamentul
auditorilor sunt încă indispensabile, aceste instrumente favorizând reducerea
personalului specializat, dar nu înlocuirea acestuia la toate nivelele.

Trăsăturile pachetelor Data Mining

O serie de aplicaţii, precum DB2 Intelligent Miner for Data, DB Miner, Microsoft
Data Analyzer, SAS Enterprise Miner, SAS Analytic Intelligence, având încorporate tehnici
Data Mining şi fiind recunoscute ca instrumente pentru analiza datelor, prezintă o serie de
caracteristici cum ar fi:
 Capabilităţi de automatizare. Obiectivul central al tehnologiilor Data Mining
se rezumă în descoperirea automată a unor informaţii ascunse, utile într-un set
de date. Astăzi, pachetele Data Mining nu sunt complet automatizate,
prezentând doar caracteristici de ghidare a utilizatorului în descoperirea de noi
informaţii.
 Complexitate înaltă. Tehnicile de analiză avansată ce includ algoritmi
statistici, inteligenţă artificială, reţele neuronale, logică fuzzy, algoritmi
genetici sunt extrem de complexe şi adesea, explicaţiile sărace legate de
logica acestora conduc la un grad redus de încredere în rezultatele lor.

184
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 Scalabilitatea. Faptul că, depozitele de date sunt fundamentul evoluţiei data


mining, justifică aprecierea „scalabilităţii” ca fiind una din trăsăturile cheie
ale pachetelor data mining.
 Oportunitatea de a descoperi informaţii neaşteptate, ascunse. În general, în
cadrul unei misiuni de audit, auditorii ştiu concret ceea ce caută, fapt ce
determină o limitare a ariei testelor de executat. Tehnologia Data Mining
poate fi utilizată chiar şi atunci când utilizatorii nu au o idee preconcepută
despre ceea ce caută, deoarece prin intermediul ei orice informaţie interesantă,
ascunsă în tranzacţiile contabile poate fi relevată.
 Integrarea capacităţii de învăţare. Mulţi algoritmi data mining dispun de un
ansamblu de caracteristici destinate „procesului de învăţare”, astfel încât
experienţe şi greşeli din trecut pot fi utilizate pentru a îmbunătăţi calitatea
modelelor în mod automat.
 Aptitudini tehnice avansate. Utilizatorii software-ului Data Mining trebuie să
dispună de trăsături tehnice substanţiale, acest lucru fiind motivat de cel puţin
trei cerinţe stringente:
 utilizatorul e necesar să cunoscă diferenţele între diversele tipuri de algoritmi
data mining pentru a-l alege pe cel optim;
 se presupune că utilizatorul va dirija întregul proces pentru a fi sigur că noile
informaţii sunt interesante;
 rezultatul procesului data mining trebuie evaluat, pe criterii de competenţă
profesională.
 Absenţa interoperabilităţii. Procesul Data Mining poate fi abordat prin prisma
a numeroase tehnici şi metode de algoritmizare. Cu toate acestea, pachetele
software disponibile tind să se concentreze pe una din metode, angajând doar
câteva tehnici. Interoperabilitatea între diferitele metode de algoritmizare data
mining constituie încă o provocare semnificativă pentru dezvoltatorii de
software data mining.
 Absenţa capacităţii de auto-explicare. În general, procesul data mining este
automat şi motivele semnificative prin care se ajunge la un anumit rezultat,
sunt în mod frecvent, subtile. Prin prisma auditului, acest lucru constituie o

185
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

problemă majoră deoarece „traseul de audit”şi replicabilitatea sunt cerinţe


cheie în misiunea de audit.
 Cost relativ ridicat. În comparaţie cu alte aplicaţii, software-ul data mining
este considerat scump, utilizatorii încorporând în acest preţ şi costul de
pregătire a datelor, de analiză a lor şi instruire a personalului.

Conceptele dezvoltate anterior sunt comparate în mod sintetic, în cadrul tabelului 6.3 şi
constituie fundamentul pentru integrarea tehnicilor Data Mining în cadrul aplicaţiilor
asociate unei misiuni de audit.
Caracteristici GAS Data Mining
Orientare pe activitate de Da Nu
audit
Asistarea tuturor Da Nu
procedurilor de audit
Interfaţă prietenoasă cu Mai mult Mai puţin
utilizatorul
Aptitudini tehnice cerute Mai mult Mai puţin
Automatizare Nu Da
Capabil de învăţare Nu Da
Cost Mai scăzut Mai ridicat
Tabelul 6.3 Sinteza caracteristicilor GAS - pachete Data Mining

6.3. Integrarea tehnicilor şi metodelor Data Mining în cadrul procesului de audit

Detalierea analizei procesului de audit şi a metodelor Data Mining au condus la


identificarea unor posibile arii de integrare47:
Procesul de audit Metode Data Mining Posibile arii de integrare
1.Acceptarea clientului Plecând de la declaraţiile financiare
ale anilor anteriori, media ramurii de
activitate respective (rating-ul
industrial), clientul poate fi apreciat
Clasificarea şi predicţia „favorabil” sau „nefavorabil”, prin
Analize de evaluare utilizarea metodelor de predicţie şi
47
Elemente prelucrate după sursa: Sirikulvadhana S. - Data Mining As A Financial Auditing Tool

186
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

clasificare. Ulterior, împreună cu


preţul estimat bazat pe înregistrările
anilor anteriori şi a indicelui inflaţiei,
se poate obţine un rezultat al evaluării.
2. Planificarea
 Evaluarea riscului Analiza dependenţelor poate fi
considerată ca fiind operaţia Data
Mining oportună identificării factorilor
de risc asociaţi unei entităţi. Setul de
date cerute a fi analizate poate fi
Analiza dependenţelor alcătuit din declaraţiile financiare ale
Clasificarea şi predicţia anilor anteriori, media ramurii
economice respective (rating-ul
industrial), indicele inflaţiei,
diagramele de flux (flowcharts) ale
sistemului ce permit identificarea
controalelor existente. În acest context,
evaluarea riscurilor la nivelul fiecărui
domeniu semnificativ poate fi analizată
utilizând clasificarea şi metodele de predicţie.
 Elaborarea Informaţiile colectate despre client,
programului de împreună cu riscurile identificate în
audit Clasificarea şi predicţia pasul anterior constituie elemente de
bază pentru elaborarea programului de
audit.
3. Evaluarea
controlului intern
 Testarea Testarea controalelor are ca punct de
controalelor plecare selectarea eşantioanelor,
Analiza cluster-elor urmată apoi de o analiză a excepţiilor
Analiza excepţiilor ce poate releva probleme neobişnuite
sau de fond. Rezultatele finale pot fi
clasificate ca fiind satisfăcătoare sau
nesatisfăcătoare, situaţie care impune

187
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

aplicarea testelor de detaliu.


4. Aplicarea testelor de
detaliu
 Proceduri analitice Analiza tranzacţiilor contabile ale
anilor anteriori, asociate cu mediul
economic în ansamblul său poate
Clasificarea şi predicţia conduce la o previzionare a datelor
Analiza excepţiilor curente. Astfel, diferenţele între cifrele
actuale şi cele aşteptate sunt grupate,
iar cele care nu se încadrează într-o
plajă acceptabilă vor fi analizate
ulterior.
 Teste de detaliu Tranzacţiile contabile cu caracteristici
asupra similare sunt grupate prin tehnica
tranzacţiilor „clustering”, ceea ce va permite
- selectarea Analiza cluster-elor selectarea eşantioanelor din fiecare
eşantioanelor Analiza excepţiilor cluster, împreună cu date neobişnuite
- testarea identificate prin metoda analizei
eşantioanelor excepţiilor. Rezultatele etapei pot fi
clasificate ca satisfăcătoare sau
nesatisfăcătoare, în cel de-al doilea caz
fiind necesare investigaţii
suplimentare prin reiterări ale testului.
5. Raportul de audit
 Formularea Utilizând analiza dependenţelor, pot fi
concluziilor colectate probele legate de
împrejurările ce vor afecta diferitele
Analiza dependenţelor tipuri de opinii formulate. Apoi,
Clasificarea şi predicţia analizând rezultatele testelor
întreprinse şi alte circumstanţe
determinate, pot fi raportate
concluziile şi definitivată opinia
auditorului.
Tabelul 6.4 Posibile arii de integrare a tehnicilor Data Mining în cadrul procesului de audit

188
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

În urma analizei realizate se poate observa că fiecărei etape a unui proces de audit i se
pot asocia tehnici şi metode Data Mining. În realitate, cea mai periculoasă situaţie este dată
de absenţa datelor disponibile, mai ales în cazul primului an de audit. În construirea unui
model Data Mining este necesară utilizarea seturilor de date bazate pe informaţii istorice,
informaţii ce pot include atât datele anului anterior, cât şi date ale altor clienţi ce aparţin
aceleiaşi ramuri industriale. Singurele informaţii disponibile în mod cert, în cazul tuturor
angajamentelor de audit sunt tranzacţiile contabile ale perioadei curente şi situaţiile
financiare ale aceluiaşi an. În acest context, se subliniază ideea conform căreia anumite
etape, precum acceptarea clientului şi planificarea nu pot fi abordate întotdeauna prin
prisma tehnologiei Data Mining. În schimb, realizarea etapelor de evaluare a controlului
intern şi aplicarea testelor de detaliu, permit o analiză complexă a datelor ce conduce
adeseori la detectarea fraudelor, descoperirea informaţiilor ascunse în spatele datelor
clasice, oferind astfel noi oportunităţi auditorilor.

De exemplu, să considerăm următoarea situaţie furnizată auditorilor(numărul de


tranzacţii este de cel puţin 2000):
Număr Număr Data Număr Descriere Valoare Persoana
Jurnal Tranzacţie Tranzacţie Document autorizată
JV 100 100201 01-02-03 Fact201 Vânzare 5000 A
JV 100 100202 03-03-03 Fact203 Vânzare 2200 B
------ ------ ---- ---- ---- ---- ----
Tabelul 6.5 Situaţia tranzacţiilor de vânzare generate în perioada
01-01-03....31-12-03, în cadrul societăţii S.C. ALFA S.A.

Analiza acestui volum considerabil de date, cu ajutorul tehnologiilor Data Mining


permite identificarea unor modele, şabloane deosebite.
 Abordarea etapei de evaluare a controlului intern, cu toate fazele ce o
caracterizează, poate conduce la descoperirea următoarelor tipare:
 tranzacţiile aprobate de o persoană neautorizată
 tranzacţiile care sunt aprobate de o persoană autorizată, dar nu întotdeauna
aceeaşi.
 volumul tranzacţiilor aprobate de fiecare persoană autorizată
 distribuţia volumului tranzacţiilor pe fiecare lună/trimestru/semestru

189
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 disocierea termenelor scadente aferente tranzacţiilor pregătite de fiecare


persoană autorizată.
 Abordarea procedurilor analitice, prin prisma acestor tehnologii avansate permite
o previzionare a cifrelor următoarelor luni, pe baza perioadelor anterioare, a
caracterului sezonier, ratei inflaţiei, ratei dobânzii şi indicelui industrial. Exemple
de tipare interesante sunt:
 cifrele aşteptate în cazul existenţei unei tendinţe stabile
 cifrele aşteptate în cazul unei tendinţe instabile
 În cazul testelor de detaliu a tranzacţiilor:
 cifrele vânzărilor din anumite luni ce sunt considerate excesiv de ridicate sau
scăzute în raport cu alte luni.
 tranzacţii mici ce sunt executate în mod repetat într-o anumită perioadă a lunii
 tranzacţii ce nu se încadrează în clustere (excepţiile)
 grupul tranzacţiilor ce deţin un procentaj mare din populaţie
 volum mare de tranzacţii ce se desfăşoară la aceeaşi dată
 tranzacţii neobişnuite, de valori similare, ce au loc repetat. Spre exemplu,
vânzarea unor active fixe, de valori apropiate, la fiecare sfârşit de lună.
Şirul exemplelor poate continua, dar astfel de analize aduc, în mod cert, un plus de valoare
clientului auditat.
În concluzie, se poate aprecia că integrarea tehnologiilor Data Mining în cadrul
procesului de audit, merită cercetată şi în condiţiile în care rezultatele se dovedesc a fi
eficiente, atunci se poate vorbi de o dezvoltare a pachetelor Data Mining individualizate pentru
misiuni de audit. Aşa cum se observă şi în tabelul 6.4., selectarea eşantioanelor se detaşează ca
fiind funcţionalitatea esenţială care poate fi abordată prin prisma acestei tehnologii deoarece o
analiză clustering va permite auditorilor identificarea eşantioanelor din câteva grupuri
reprezentative clasificate într-un mod nesesizabil cu alte instrumente.

190
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

CONCLUZII

Lucrarea de faţă a urmărit, pe parcursul celor şase capitole, să ofere o imagine clară
asupra unui proces de audit al informaţiei contabile într-un mediu informatizat şi, totodată,
să sublinieze necesitatea crescândă a utilizării tehnicilor moderne de audit (tehnici
informatizate), în vederea eficientizării acestui proces.
Etimologic, termenul “audit” îşi are originea în limba latină, însemnând “a asculta,
a audia”, dar practica anglo-saxonă l-a transformat, desemnând astăzi, într-un sens larg, o
activitate de verificare a unei informaţii, desfăşurată de experţi independenţi, în vederea
exprimării unei opinii asupra sincerităţii şi conformităţii acesteia cu criterii standard de
calitate.
Necesitatea realizării unui audit financiar, la nivelul unei organizaţii, este
accentuată de conflictul de interese, de asimetria informaţională creată între diverşi

191
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

utilizatori ai informaţiilor financiare şi, nu în ultimul rând, de caracterul din ce în ce mai


complex al contabilităţii.
Studiul cadrului teoretic şi conceptual al unei astfel de misiuni a constituit premisa
abordării acestei lucrări.
Orice misiune de audit identifică, în general, următoarele etape: acceptarea
clientului (misiunii), planificarea, evaluarea controlului intern, testarea detaliată a
conturilor clientului şi, în final, întocmirea raportului de audit. Eficienţa unei misiuni de
audit este asigurată – în viziunea Standardelor internaţionale de audit – de planificarea
acesteia. Această etapă presupune, în linii mari, o cunoaştere generală a entităţii de auditat,
o apreciere a riscurilor existente şi o analiză a continuităţii activităţii acesteia în vederea
identificării conturilor şi domeniilor semnificative de auditat.
O auditare exhaustivă este imposibil de realizat şi, în esenţă, nu reprezintă un scop
al procesului de audit. Testarea selectivă – prin eşantionare – reprezintă tehnica frecvent
întâlnită atât pentru evaluarea controlului intern cât şi pentru testarea detaliată a valorilor
din conturi şi a tranzacţiilor. Auditorul va examina elementele justificative care vor susţine
valorile şi informaţiile conţinute în situaţiile financiare, pe baza unei evaluări a principiilor,
metodelor contabile şi a estimărilor semnificative făcute de managementul entităţii pentru
prezentarea situaţiilor financiare. Activitatea de testare trebuie să pornească însă de la
prezumţia de completitudine, integritate şi acurateţe a datelor de auditat. Acest lucru este
asigurat tocmai de o înţelegere a mediului informatizat şi o evaluare a controlului intern la
nivelul sistemului informaţional. Deşi, aparent, prezumţia invocată anterior poate fi
considerată ca lipsită de semnificaţie, practica a demonstrat incidenţele grave (fraude,
alterarea datelor sau aplicaţiilor, pierderea definitivă a datelor dintr-un sistem) ce pot
apărea, într-un mediu informatizat, acolo unde amploarea riscurilor ia o altă dimensiune.
Realitatea practică impune abordarea riscului prin prisma a 3 factori: ameninţările
privite ca evenimente sau activităţi (în general, din exteriorul sistemului auditat) care pot să
afecteze vulnerabilităţile existente în orice sistem cauzând astfel impactul, apreciat a fi o
consecinţă pe termen scurt, mediu sau lung suportată de organizaţie. În general, riscurile
asociate unui mediu informatizat, pe care auditorul trebuie să le analizeze şi evalueze, în
vederea aprecierii sistemului în sine, vizează: riscul securităţii fizice, riscul de comunicaţie
a informaţiilor atât la nivelul reţelei proprii cât şi a reţelei publice, riscul privind
integritatea datelor şi tranzacţiilor, riscul de acces neautorizat, riscul privind protecţia
antivirus, riscul legat de documentaţia sistemului informatic, riscul de personal, riscul de

192
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

infrastructură, riscul de disponibilitate. Această analiză va furniza punctele “sensibile” ale


sistemului, auditorul urmărind în continuare o testare detaliată a acestora.
Controlul intern la nivelul unui sistem informaţional presupune abordarea unui
control general şi a unui control la nivelul aplicaţiilor existente. Practica auditului nu relevă
o distincţie între cele două tipuri de control pentru că, în realitate, ele se completează
reciproc, iar evaluarea acestui control va conferi auditorului financiar încrederea asupra
datelor ce urmeză a fi auditate.
Astăzi, într-o eră informatizată, în care complexitatea sistemelor de contabilitate
informatizată şi volumul tranzacţiilor au crescut semnificativ, este recunoscută necesitatea
unor tehnici de audit asistate de calculator care să permită o creştere a eficienţei misiunii de
audit.
Literatura de specialitate distinge două categorii de tehnici:
 pentru analiza şi testarea sistemului informatic;
 pentru analiza datelor de auditat.
Studiul şi analiza acestor tehnici şi instrumente, în special a celor utilizate în
practica cabinetelor internaţionale de audit – prezentate în cadrul capitolului 4, precum şi
întreaga cercetare desfăşurată până în acest punct au condus la formarea unei imagini a
viitorului sistem informatic, conceput şi realizat într-o viziune personală în cadrul
capitolului 5. Sistemul oferă o soluţie de rezolvare a unor probleme strict legate de auditul
financiar, privite prin prisma auditorului extern, dar este de la sine înţeles că o activitate
cum este auditul, unde raţionamentul şi experienţa profesională a celui care o practică au
un rol esenţial în aprecierea aspectelor economice, nu poate fi integral informatizată.
Determinarea pragului de semnificaţie, evaluarea riscului de audit, selecţia eşantioanelor,
analiza situaţiilor financiare sunt doar câteva din funcţionalităţile sistemului care vor
permite auditorului să-şi formeze, să-şi exprime şi să-şi susţină o opinie cu mai multă
acurateţe.

Testarea sistemului s-a realizat pe un set de date reale. Analizând informaţiile pe


care le generează sistemul, din prisma auditului, se pot remarca următoarele:
 Pragul de semnificaţie a fost stabilit la 1% din cifra de afaceri, în etapa de
planificare, ceea ce înseamnă în valori absolute 1.890.534.710 lei. Raţionamentul
acestei alegeri a ţinut cont şi de faptul că, în anul precedent societatea a înregistrat
pierderi.

193
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

 Analiza principalilor indicatori economico-financiari, pe ultimii trei ani, pune în


evidenţă următoarele observaţii (figura 5.12, capitolul 5):
o Indicatorul lichidităţii imediate, a cărui valoare se recomandă a fi supraunitară,
pentru societatea în cauză, în anii 2002, 2003 nu conferă independenţă
financiară.
o Indicatorul lichidităţii generale, apreciat cu valori de peste 1,49 oferă garanţia
acoperirii datoriilor curente din activele curente.
o Perioada de încasare a clienţilor, prin valorile pe care le evidenţiază, indică o
scădere a indicatorului în timp; totuşi valorile sunt apreciate a fi destul de mari,
ceea ce conduce la creanţe mai greu de încasat (clienţi rău platnici).
o Perioada achitării furnizorilor se încadrează în parametrii recomandaţi de
practica comerciala.
o Eficienţa capitalurilor proprii, prin valorile furnizate, nu face atractive acţiunile
societăţii, deoarece societatea nu se remarcă printr-un profit semnificativ în
raport cu capitalul angajat. (în anul 2002, exerciţiul se încheie cu pierderi)
o Rata autonomiei financiare, se apreciază ca fiind o rata foarte bună, în creştere
în 2003 faţă de anii anteriori, ceea ce denotă o autonomie ridicată ce-i va putea
facilita eventuala contractare a unor credite noi.
 Evaluarea riscului inerent general a fost apreciat ca fiind „Scăzut”, această
apreciere influenţând determinarea mărimii eşantioanelor de auditat.
 Analiza situaţiilor financiare a avut ca surse de informare balanţa de verificare şi
situaţiile financiare furnizate de client, situaţii ce intră sub responsabilitatea
acestuia. Pe baza informaţiilor din balanţa de verificare, sistemul generează Bilanţul
şi Contul de profit şi pierdere, pentru a verifica acurateţea acestoraşi pentru a
calcula o serie de indicatori financiari. Analiza comparativă a informaţiilor generate
cu cele furnizate de client au condus la aprecieri pozitive.

O opinie finală este dificil de avansat, având în vedere volumul informaţiilor


disponibile, deoarece procedurile enumerate trebuie să fie completate de proceduri manuale
precum: participarea la inventarierea manuală, discuţii cu managementul entităţii, aprecieri
ale estimărilor managementului precum şi de alte informaţii suplimentare.

194
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

*
* *

Complexitatea contemporană a activităţilor economice subliniază necesitatea unor


instrumente contabile şi de audit evoluate, care să răspundă ”foamei” de informaţie
relevantă a utilizatorilor. O asemenea responsabilitate nu poate fi realizată de tehnicile
clasice de audit, singure. Alianţa cu tehnicile de audit asistate de calculator este una
naturală şi benefică scopurilor auditului. Simbioza dintre audit şi tehnologia informaţională
era una previzibilă şi benefică.
Cercetarea de faţă urmăreşte cu satisfacţie acest proces şi îndrăzneşte mai mult decât un
pariu, o predicţie: orice auditor al viitorului care va dispreţui sau neglija tehnicile asistate
de calculator va rata scopul ultim al misiunii sale: o opinie cu adevărat calificată într-un
mediu cu dimensiuni informatice globale.

BIBLIOGRAFIE

1. Alan Oliphant Using Risk Models to determine information risk levels


(„www.theiia.org/itaudit”)
2. Alan Oliphant Modeling information risk elements
(„www.theiia.org/itaudit”)
3. Ali E., Albescu Auditul financiar – domeniu de aplicaţie a tehnologiilor
F., Bojan I. inteligenţei artificiale, Sesiune comunicări
4. Ali E., Stanciu V. Auditul sistemelor informaţionale, suport de curs, ASE.
5. Bakshi Sunil Computer Assisted Audit Tools and Techniques
(CAATT), CISA
6. Boritz J.E., PhD, CISA, Computer Control & Audit Guide, Centre for information
FCA systems assurance, University of Waterloo
7. Camera Auditorilor din Auditul financiar contabil 2000, Standarde, norme privind
România conduita etcă şi profesională, Ed. Economică, Bucureşti, 2000
8. Camera Auditorilor din Norme minimale de audit, Ed. Economică, Bucureşti, 2001

195
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

România
9. CECCAR Norme naţionale de audit, Bucureşti, 1999
10 Constantinescu D., Auditul intern, Colecţia Naţională, Bucureşti, 1999
. Dobrin M.
11. Cosserat G.W. Modern auditing, Ed. John Wiley & Sons, New York, 2000
12 Dobroteanu L., Audit – concepte şi practici. Abordare naţională şi
. Dobroţeanu C. internaţională, Ed. Economică, Bucureşti, 2002
13 Feleaga N., Malciu L. Politici şi opţiuni contabile, Ed. Economică, Bucureşti, 2002
.
14 Feleagă N. Îmblânzirea junglei contabilităţii, concept şi normalizare în
. contabilitate, Ed. Economică, Bucureşti, 1996.
15 Fînaru L., Brava I. Visual Basic, primii paşi...şi următorii, Ed. Polirom, 2001
.
16 Florescu V. & colectiv Baze de date, fundamente teoretice şi practice, Ed. Infomega,
. Bucureşti, 2002
17 Gary Hinson A practical model for risk assessment and prioritization
. („www.theiia.org/itaudit”)
18 Gray, S. Manson The audit process: principles, practice and cases, Ed. Business
. Press, SUA.
19 Han J., Kamber M. Data Mining – Concepts and Techniques (www.cs.sfu.ca)
.
20 I.S.A.C.A. IS Standards, Guidelines and Procedures for
. Auditing and Control Professionals
21 INTOSAI Principles of Computer Assisted Audit techniques, Students
. Notes
22 Jacobson I. Applying UML in the Unified Process, Rational Software
.
23 Lanza Richard B. Getting to Realistic Estimates and Project Plans – A Monte
. Carlo Approach
24 Malciu L. Cererea şi oferta de informaţii contabile, Ed. Economică,
. Bucureşti, 1998
25 Munteanu A. Auditul sistemelor informaţionale contabile: cadru general,
. Ed. Polirom, Iaşi, 2001
26 Munteanu V. & colectiv Control şi audit financiar contabil, Ed. Sylvi, Iaşi, 2002
.
27 Nigrini M.
Digital Analysis: a computer-assisted data analysis
.
technology for internal auditors „www.theiia.org/itaudit”)
28 Nitchi S., Nitchi R. Data mining, o nouă eră în informatică

196
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

.
29 O’Reilly V.M., Hirsch Mongomery’s auditing, Ed. John Wiley & Sons, New York,
. M.B., Defiliese P.L., 1990
30 Oprea D. Protecţia şi securitatea informaţiilor, Ed. Polirom, Iaşi, 2003
.
31 Patriciu V. V., Bica I., Securitatea comerţului electronic, Ed. Bic All, Bucureşti,
. Văduva C.,Voicu N. 2001
32 Popescu G. Procedurile controlului intern şi auditul financiar, Ed.
. Gestiunea, Bucureşti, 1997.
33 Randy Marchany Seven step IT risk assessment („www.theiia.org/itaudit”)
.
34 Renard J. Théorie et practique de l’audit interne, Ed. d’Organisation,
. Paris, 2002
35 Rosca I., Zaharie D. Proiectarea obiectuală a sistemelor informatice, Ed. Dual
. Tech, 2002
36 Rusovici A., Cojoc F., Audit financiar la societăţile comerciale, Regia autonomă
. Rusu G. Monitorul Oficial, Bucureşti, 2003
37 Sirikulvadhana S. Data Mining As A Financial Auditing Tool, Thesis in
. Accounting
38 Sîrbu M. Analiza multidimensională
.
39 Stoian A., Turlea E. Auditul financiar contabil, Ed. Economica, Bucureşti, 2001
.
40 Taylor D., Glezen W. Auditing: integrated concepts and procedures, Ed. John Wiley
. G. & Sons, New York, 1988
41 Toma M., Chivulescu Ghid practic pentru audit financiar şi certificarea bilanţurilor
. M. contabile, Ed. CECCAR, Bucureşti, 1995
43 Udrică M. Modelare orientată obiect, Ed. CISON, Bucureşti, 2000.
.
44 Vasiu I. Criminalitatea informatică, Ed. Nemira, Bucureşti, 2001
.
45 Vilan A. Data warehouses, data marts si data mining
.
46 Wah T. Y., Kamal M. Data Mining in Computer Auditing, University of Malaya
.
47 Wanda A. Wallace Auditing, Ed. MacMillan Publishing Company, New York,
. 1986
48 Will Ozier Introduction to information security and risk management

197
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

. („www.theiia.org/itaudit”)
49 Will Yancey Data Mining (www.willyancey.com/datamining.htm)
.
50 Zaharie D. şi colectiv Sisteme informatice pentru asistarea deciziei, Ed. Dual Tech,
. Bucureşti, 2001
51 *** Ghid practic de aplicare a standardelor internaţionale de
. contabilitate, Ed. Economică, Bucureşti, 2001
52 *** Management Planning Guide for Information Systems
. Security Auditing, GAO – General Accounting Office and the
National State Auditors Association, 2001
53 *** Information Security Risk Assesment – Practices of Leading
. Organizations, General Accounting Office and the National
State Auditors Association, 1988
54 *** Microsoft Visual Basic 6.0, Ghidul programatorului, Ed. Teora, 1999.
.

F0
Dosar de audit financiar REF: 2.1
la: PRAGUL DE SEMNIFICATIE Data:
Intocmit de:
Exerciţiul: Verificat de:
Situaţii financiare Buget
exerciţiu curent Exerciţiu Exerciţii anterioare
curent 2002
Lei Lei Lei
Active totale (înainte de
scăderea datoriilor) 226.348.371.000 216.804.082.000
1 1% 2.263.483.710 2.168.040.820
2 2% 4.526.967.420 4.336.081.640

Cifra de afaceri 189.053.471.000 176.551.376.000


3 0,5% 945.267.355 882.756.880
4 1% 1.890.534.710 1.765.513.760

Profit înainte de
impozitare 745.512.000 -21.485.104.000
5 5% 37.275.600 -1.074.255.200
6 10% 74.551.200 -2.148.510.400

Prag de semnificaţie 1.890.534.710

Etapa de planificare

198
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Etapa exprimării opiniei

NOTĂ EXPLICATIVĂ privind raţionamentul selecţiei pragului de semnificaţie.

Note:
1. Pragurile de semnificaţie ar trebui, în mod normal, să se situeze în intervalul indicat de factorii 1
până la 6. Nu se vor lua în considerare factorii 5 şi 6 dacă există pierderi sau dacă profitul nu este
corect prezentat, oricare ar fi motivul pentru distorsionarea sa. Se pot utiliza şi alţi factori, dacă se
vor considera că sunt mai adecvaţi.

2. Pragul de semnificaţie stabilit în etapa de planificare se utilizează, în principal, pentru


determinarea mărimii eşantioanelor şi cel din etapa exprimării opiniei – pentru a se determina
dacă sunt necesare ajustării finale. Nu se vor folosi pragurile de semnificaţie pentru a se verifica
remuneraţiile directorilor şi alte elemente sensibile.

3. Înainte de înregistrarea pe cheltuieli a primelor de profit şi a altor elemente extraordinare.

4. Dacă nu există estimări sau un buget pentru exerciţiul în curs, pragul de semnificaţie din etapa de
planificare se va baza pe sumele aferente exerciţiului anterior. Acest prag trebuie revizuit după ce
vor putea fi consultate sumele aferente exerciţiului în curs.

Secţiunea
LISTĂ DE VERIFICARE A RISCULUI INERENT F1
GENERAL
Iniţiale Data
Client: Întocmit de:
Perioada: Revizuit de:

Da Nu

1. Managementul
(a) Le lipsesc managerilor cunoştinţele şi experienţa necesare pentru a X
conduce societatea?
(b) Au managerii tendinţa de a angaja societatea în asocieri cu grad de X
risc ridicat?
(c) Au avut loc schimbări ale managerilor cu funcţii-cheie în cursul X
exerciţiului financiar?
(d) Există anumite cerinţe privind menţinerea unui nivel al rentabilităţii X
sau îndeplinirea unor obiective? (de ex. Pentru îndeplinirea unor
cerinţe din partea creditorilor)
(e) Are rezultatul raportat o semnificaţie personală pentru manageri? X
(de ex. prime legate de profit)
(f) Controlul administrativ şi cel exercitat de manageri sunt slabe? X

(g) Lipsesc sistemele informatice manageriale performante? X

(h) Sunt managerii implicaţi concret în sarcinile zilnice? (Această X


întrebare este relevantă numai dacă se identifică un risc la punctul
(d) sau (e) de mai sus)

199
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

EVALUARE GENERALĂ A RISCULUI DE MANAGEMENT

FOARTE SCĂZUT/SCĂZUT/MEDIU/RIDICAT

Explicaţii

Da Nu
CONTINUARE
2. Contabilitate
(a) Este funcţia contabilităţii descentralizată? X

(b) Le lipsesc personalului din contabilitate instruirea şi capacitatea de X


a-şi duce la îndeplinire sarcinile care le revin?
(c) Există probleme de atitudine sau de moral scăzut în departamentul X
de contabilitate?

(d) Există riscul comiterii unor erori ca urmare a faptului că angajaţii X


societăţii lucrează sub presiune?

EVALUARE GENERALĂ A RISCULUI CONTABIL

FOARTE SCĂZUT/SCĂZUT/MEDIU/RIDICAT

Explicaţii

3. Activitatea societăţii auditate


(a) Îşi desfăşoară societatea activitatea într-un sector cu risc ridicat? X

(b) Există vreun creditor – terţă parte cu o importanţă individuală X


semnificativă?

200
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

(c) Există o concentrare de acţiuni sau de drepturi de vot mai mare de X


25% în posesia unor membrii ai Consiliului de Administraţie fără
funcţie executivă?
(d) Se anticipează că afacerea (sau o parte din ea) ar putea fi vândută în X
viitor?
(e) A fost preluat controlul societăţii de altcineva în ultimele 12 luni? X

(f) Este societatea insolvabilă? X

EVALUARE GENERALĂ A RISCULUI DE AFACERI

FOARTE SCĂZUT/SCĂZUT/MEDIU/RIDICAT

Explicaţii

Da Nu
CONTINUARE
4. Auditul societăţii
(a) Este prima dată când firma va audita acest client? X

(b) S-a exprimat în raportul de audit o opinie cu rezerve semnificative X


în vreunul din ultimii doi ani?
(c) Aţi descrie relaţia cu societatea-client ca fiind “conflictuală” sau “în X
deteriorare”?
(d) Există presiuni legate de onorarii sau de timp? X

(e) Există un număr însemnat de operaţiuni “greu de auditat”? X

EVALUARE GENERALĂ A RISCULUI DE AUDIT

FOARTE SCĂZUT/SCĂZUT/MEDIU/RIDICAT

Explicaţii

EVALUARE GENERALĂ A RISCULUI INERENT

201
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Pe baza celor de mai sus:

FOARTE SCĂZUT/SCĂZUT/MEDIU/RIDICAT

LISTA DE VERIFICARE A RISCULUI INERENT


SPECIFIC Secţiunea
F2
Data
Iniţiale
Client: Întocmit de:.
Perioada: Revizuit de:
Mărimea
Ref. eşantionului
Pragul de semnificaţie = Riscuri inerente specifice sit. (bazată pe
judecată)
/Factorul iniţial
de risc (la F3)
Riscul inerent general = Î1 Î2 Î3 Î4 Î5 Î6 Evaluare
Imobilizările corporale şi X - X - X X Scazut 70%
necorporale
Conturi ale grupului şi - - - - - - .Scazut 50%
investiţii
Stocuri şi producţie în curs X - X - X X Scazut 70%
de execuţie – cantităţi
Stocuri şi producţie în curs X - X - X X Scazut 70%
de execuţie – evaluare
Debitori - - - - - - Scazut 50%
Plasamente pe termen scurt - - - - - - Scazut 50%
Conturi la bănci şi casa – - - - - - - Scazut 50%
plăţi
Conturi la bănci şi casa – - - - - - - Scazut 50%
încasări
Conturi la bănci – - - - - - - Scazut 50%
confruntate cu extrasele de

202
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

cont
Creditori - - - - - - Scazut 50%
Creditori pe termen lung - - - - - - Scazut 50%
Vânzări - - - - X - .Scazut 50%
Cumpărări - - - - X - .Scazut 50%
Cheltuieli - - - - X - .Scazut 50%
Salarii şi indemnizaţii X - X - X - .Scazut 70%
Alte secţiuni de audit - - - - X X .Scazut 50%
Balanţa de verificare şi - - - - X X .Scazut 50%
înregistrări contabile
Situaţii financiare - - - - - X .Scazut 50%
preliminare şi înregistrări
după sfârşitul exerciţiului
RISCURI INERENTE SPECIFICE ŞI MĂRIMEA Secţiunea
EŞANTIOANELOR INIŢIALE F3
Iniţiale Data
Client: Întocmit de
Perioada: Revizuit de:
RDNE Riscul de
Risc inerent Calculul benzii Dimensiunea
(RI): sursa control eşantionului
de risc
F2 (RC)
RI x RDNE x
RC
Imobilizările corporale şi necorporale 70% 56% 100% 39.2% 38
Conturi ale grupului şi investiţii 50% 56% 100% 28% 33
Stocuri şi producţie în curs de 70% 56% 100% 39.2% 38
execuţie – cantităţi
Stocuri şi producţie în curs de 70% 31% 100% 21.7% 28
execuţie – evaluare
Debitori 50% 31% 13.5% 2.09% 3

Plasamente pe termen scurt 50% 31% 13.5% 2.09% 3

Conturi la bănci şi casa – plăţi 50% 31% 13.5% 2.09% 3

Conturi la bănci şi casa – încasări 50% 31% 13.5% 2.09% 3


Conturi la bănci – confruntate cu 50% 31% 13.5% 2.09% 3
extrasele de cont
Creditori 50% 31% 13.5% 2.09% 3

Creditori pe termen lung 50% 31% 13.5% 2.09% 3

Vânzări 50% 56% 100% 28% 33

Cumpărări 50% 56% 100% 28% 33

203
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________

Cheltuieli 50% 56% 100% 28% 33

Salarii şi indemnizaţii 70% 31% 13.5% 2.92% 3

Alte secţiuni de audit 50% 31% 13.5% 2.09% 3

Balanţa de verificare şi înregistrări 50% 31% 13.5% 2.09% 3


contabile

Situaţii financiare preliminare şi 50% 31% 13.5% 2.09% 3


înregistrări după sfârşitul exerciţiului

204