Facultatea de Ştiinţe Economice şi Gestiunea Afacerilor

Departamentul de Contabilitate şi Audit

Auditul sistemelor
informaţionale contabile
Curs 2
www.econ.ubbcluj.ro/~vasile.cardos/asic.html
 Competenţe IT ale profesioniştilor contabili

Specificaţia practică IEPS 2 “Tehnologia informaţiei pentru profesioniştii contabili”

identifică următoarele competenţe IT pentru rolul de auditor:
Nr. Competenţe
Evaluarea mediulul de control IT al entităţii
1 Identificarea, analiza şi evaluarea efectelor IT asupra entităţii auditate
2 Cunoaşterea/Înţelegerea complexităţii mediului IT
Analiza riscurilor şi a controalelor IT la nivelul entităţii pentru a stabili dacă
3
strategia IT este aliniată cu strategia entităţii
Planificarea evaluării sistemului contabil şi de raportare
1 Identificarea proceselor şi a fluxurilor de operaţiuni relevante
Identificarea riscurilor semnificative şi a controalelor relevante asupra utilizatorilor
2
şi aplicaţiilor
3 Identificarea infrastructurii IT şi a controalelor generale
Stabilirea pragului de semnificaţie în funcţie de nivelul/frecvenţa erorilor sau
4
deficienţelor sistemului
Stabilirea testelor asupra controlului aplicaţiilor/utilizatorilor şi a controalelor
5
generale
 4 Competenţe IT ale profesioniştilor contabili

Nr. Competenţe
Evaluarea sistemului contabil şi de raportare
1 Realizarea procedurilor/testelor planificate
2 Evaluarea controalelor generale IT şi a controalelor aplicaţiilor

3 Evaluarea relaţiilor dintre controalele generale şi controalele utilizatorilor/aplicaţiilor

4 Ajustarea procedurilor planificate în funcţie de modificarea circumstanţelor

5 Documentarea procedurilor şi a rezultatelor acestora
6 Analiza şi evaluarea procedurilor
Comunicarea rezultatelor evaluării
1 Identificarea formelor cele mai eficiente metode de comunicare a rezultatelor
2 Stabilirea strategiei finale

Mai multe detalii găsiţi la adresa:

http://web.ifac.org/media/publications/d/handbook-of-international-e/ieps-2-information-techno.pdf
 Aspecte privind noţiunea sistem

Aspecte generale

Definiţii:
 un sistem reprezintă orice instanţă din viaţa reală pentru care se identifică un
ansamblu de componente (fenomene, obiecte, procese, noţiuni, concepte,
entităţi sau colectivităţi) aflate atât în relaţii reciproce, cât şi cu mediul
înconjurător şi care acţionează în comun pentru atingerea unor obiective bine
stabilite.

 într-o altă abordare sistemul este „... un set de elemente diferenţiate conectate
sau interrelaţionate încât să îndeplinească o funcţie unică care nu poate fi
realizată de elementele privite în mod individual” (Rechtin, 1991: 7)
 Aspecte privind noţiunea sistem

Entitatea economică – abordare sistemică

Având în vedere particularităţile constructive ale unei entităţi economice putem afirma
ca aceasta se circumscrie caracteristicilor unui sistem, deoarece:

prezintă o structură proprie constând dintr-o mulţime de elemente (departamente,

secţii, servicii, activităţi etc);
între elementele constitutive există o serie de fluxuri (materiale, financiare,
informaţionale, umane etc.) care implică resursele entităţii;
elementele disponibile şi fluxurile existente urmăresc realizarea unui anumit
obiectiv.
 Aspecte privind noţiunea sistem

Entitatea economică – sistem cibernetic

Lucrările în domeniul sistemicii au condus la definirea unui model care promovează
viziunea sistemică asupra entităţii pe care o consideră formată din următoarele trei
subsisteme:
 subsistemul managerial sau decizional este sediul activităţii decizionale a entităţii.
 subsistemul informaţional transmite datele şi informaţiile din sistem;
 subsistemul condus sau operaţional are loc culegerea datelor care apoi sunt
transmise subsistemului informaţional;
2 Aspecte privind noţiunea sistem

Entitatea economică – sistem cibernetic

Mediul economic

Furnizori Clienţi

Entitatea economică

Sistem informaţional

Intrări Prelucrări Ieşiri

Feedback (conexiune inversă)

Legiuitor Acţionari Competitori

 Sistemul informaţional contabil

Funcţionarea tipică a unui sistem / sistem informaţional

Intrări Prelucrări Ieşiri

Feedback (conexiune inversă)

Dacă sistemul informaţional se bazează pe o structură IT (folosirea calculatorului) atunci în

etapa de prelucrare se interpun încă două elemente: procedurile şi Bazele/colecţiile de date.

Proceduri Baze/ Colecţii

de date

Intrări Prelucrări Ieşiri

Feedback (conexiune inversă)

 Sistemul informaţional contabil
Exemplificarea funcţionării sistemului informaţional contabil pentru achiziţii de stocuri:

% = 401.0x CA + TVA
3XX CA
4426 CA x %TVA
Contract

Bilanţ
Factura Proceduri Colecţii
RJ şi Balanţă
de date
Jcump şi D300
(4426)
Intrări Prelucrări Ieşiri
Situaţia furniz.
Feedback (conexiune inversă)
(401.XX)

Decizia de a cumpăra sau nu în perioada următoare

Situaţia stoc.
(3XX)
 3 Sistemul informaţional contabil
Într-o abordare generală pentru toate tipurile de operațiuni…

Intrări Prelucrări Ieşiri

Documente Situații financiare și

Jurnale
(surse de date) Rapoarte

Situații/Fișa cont
Fișiere aferente
Balanța de
verificare
 Auditul sistemelor informaționale

In God we trust. Everyone else we audit!’ (Baczko, 2007: 787)

Bagranoff et al. (2009)

 Auditul sistemelor informaționale

In God we trust. Everyone else we audit!’ (Baczko, 2007: 787)

Hall (2010:10)
Standarde relevante.
 Preambul

Limbaj comun şi
Proliferarea tehnologiilor competenţe specifice
pentru certificarea, evaluarea
sau auditarea sistemelor
Globalizarea economică informaţionale

1. ISACA
Standardizarea 2. ISO 2700X
3. ITIL
 Structura referenţialelor ISACA

Standarde CoBIT

ASI
AUDIT FINANCIAR GUVERNANŢĂ IT
AUDIT INTERN

ISACA
RISK IT VAL IT
IDENTIFICAREA
EVALUAREA EFICIENTIZAREA
GESTIONAREA INVESTIŢIILOR IT
RISCURILOR
 Standardele ISACA

Standardele ISACA pot fi folosite ca

ISACA referenţiale pentru diverse tipuri de
activităţi, printre care:

Audit Audit Audit Alte

ASI servicii
financiar intern securitate
 Standardele ISACA

Information Systems Audit and Control Association [ISACA]

17 Standarde care definesc

cerinţele obligatorii pentru
realizarea unei misiuni
de audit şi asigurare IT. Standarde

Standarde de audit
şi asigurare
Proceduri care oferă
18 de Ghiduri oferă diverse metode prin
informaţii suplimentare Ghiduri Proceduri
care auditorul unui
pentru implementarea sistem informaţional
şi respectarea le poate utiliza în
standardelor activitatea de audit.

Lista completă a standardelor se găseşte aici:

 Standardele ISACA

Exemplu de aplicare a standardelor ISACA

1202 Evaluarea riscurilor.
Auditorul trebuie să adopte o
metodă de evaluare a riscurilor în
faza de planificare pentru Standarde
determinarea priorităţilor şi
realizarea eficientă
a activităţilor.

Standarde de audit
şi asigurare

Ghiduri Proceduri

2202 Evaluarea riscurilor P1 Metode de evaluare

în planificarea misiunii. Metoda de a riscurilor exemplifică patru
evaluare poate fi cantitativă sau calitativă metode de evaluare a riscurilor cu
avantaje şi dezavantaje.
 Controalele generale

 Controalele generale sunt acele controale care vizează

mediul în care sistemele informaţionale sunt dezvoltate,
gestionate şi utilizate şi ca atare sunt aplicabile tuturor
zonelor entităţii.

 Identificarea exhaustivă a controalelor generale este o

misiune dificil de realizat deoarece entităţile pot stabili
politici proprii, relevante din perspectiva funcţionării şi
securităţii sistemelor informaţionale care sunt incluse în
strategia entităţii.
 IEPS 2 emis de IFAC prescrie competenţele IT pe care
profesioniștii contabili trebuie să le deţină. Activităţile
legate de tehnologia informaţiei pe care auditorii trebuie
să le întreprindă în faza de planificare constă în:
 Identificarea, analiza şi evaluarea efectelor IT asupra entităţii
auditate;
 Cunoaşterea/Înţelegerea complexităţii mediului IT;
 Alocarea sarcinilor membrilor misiunii sau specialiştilor care
deţin cunoştinţe IT specializate pentru a analiza controalele IT la
nivelul entităţii;
 Analiza riscurilor şi a controalelor IT la nivelul entităţii pentru a
stabili dacă strategia IT este aliniată cu strategia entităţii (IFAC
IEPS 2, 2009:62)
 Identificarea, analiza şi evaluarea efectelor IT asupra entităţii;

 Vizează tendinţele existente în acest domeniu; aceasta activitate fiind o

componentă esenţială pentru realizarea unui audit adecvat;

 Această activitate completează informaţiile obţinute de auditor despre

specificul activităţii entităţii şi a sectorului de activitate; influenţând în
acelaşi timp complexitatea IT şi riscurile generate de acesta la care
entitatea se expune.
 Cunoaşterea/Înţelegerea complexităţii mediului IT şi
analiza riscurilor;
• auditorul poate apela şi la arhitectura sistemului informaţional, dacă
aceasta există;
• arhitectura sistemului informaţional al entităţii are ca punct de
pornire obiectivele şi strategia entităţii, ceea ce presupune că
entitatea a depus eforturi în vederea alinierii strategiei IT cu
strategia entităţii;
• o asemenea aliniere facilitează şi implementarea unui mediu de
control intern „sănătos” ca urmare a faptului că în elaborarea
arhitecturii s-a ţinut cont de toate activităţile şi procesele
importante, favorizând astfel identificarea riscurilor la care entitatea
a fost expusă şi luarea unor măsuri pentru gestionarea acestora.
 ISACA (2009:25) propune o abordare a controalelor IT din perspectiva ariei
de aplicare al acestora asupra achiziţiei, implementării, utilizării şi susţinerii
sistemelor şi serviciilor informaţionale, astfel:
 Controalele generale – sunt acele controale care asigură minimizarea
riscurilor asupra funcţionării sistemelor, aplicaţiilor şi a infrastructurii
informaţionale în ansamblul lor. În cadrul acestor controale se diferenţiază:
• controalele universale – sunt acele controale generale proiectate
pentru a gestiona şi monitoriza mediul IT, şi ca urmare, afectează
toate activităţile dependente de tehnologia informaţiei;
• controalele detaliate – cuprind controalele de aplicaţii şi acele
controale generale care nu au un caracter universal;
 În cadrul controalelor generale pot fi incluse:
 Dezvoltarea şi implementarea unei strategii privind
sistemele informaţionale şi a unei politici de securitate
corespunzătoare;
 Administrarea funcţiei IT;
 Separarea sarcinilor şi responsabilităţilor legate de IT;
 Proiectarea/achiziţia sistemelor;
 Planul privind continuarea activităţii;
 Politica de securitate şi accesul fizic.
 Dezvoltarea şi implementarea unei strategii privind SI şi a politicii de securitate

 Are ca punct de pornire şi finalitate arhitectura entităţii. Pp. încadrarea sistemului

informaţional în strategia entităţii şi alinierea cu aceasta;

 Alinierea SI se realizează prin evaluarea importanţei fiecărei activităţi şi proces

desfăşurat. Evaluarea permite şi identificarea măsurilor de securitate care trebuie
implementate pentru a asigura faptul că SI susţine realizarea activităţilor entităţii.
 Administrarea funcţiei IT/SI

 …ca o componentă distinctă a fost determinată de recunoaşterea impactului pe

care informaţiile şi SI o au asupra obiectivelor entităţii;

 Vizează întreaga activitate a entităţii => trebuie să se subordoneze

managementului superior;
 Separarea sarcinilor şi responsabilităţilor legate de IT

 Vizează eliminarea riscurilor generate de combinarea unor atribuţii privind

gestionarea activelor IT, autorizarea şi înregistrarea operaţiunilor;

 Ex. cei implicaţi în proiectarea, implementarea şi gestionarea SI nu trebuie să aibă

atribuţii pe linia înregistrării sau controlării operaţiunilor.

 Separarea sarcinilor în cadrul funcției IT/SI:

 Dezvoltarea sistemului existent;
 Migrarea/transferul pe un alt sistem
 Mentenanță/Întreținere;
 Planul privind continuarea activităţii (refacere în caz de dezastru)

 Vizează eliminarea, gestionarea riscurilor generate de întreruperile care pot

apărea astfel încât să asigure funcţionarea sau refacerea într-un timp cât mai
scurt a activităţilor sau proceselor esenţiale;

 Ptr. acest plan se impune o analiză a riscurilor care ar duce la întreruperea

funcţionării activităţilor entităţii şi evaluarea impactului atât cantitativ (pierderi
generate de indisponibilitatea paginii web) cât şi calitativ (afectarea imaginii
entităţii în raport cu partenerii de afaceri).
 Politica de securitate şi accesul fizic.

 Entitatea trebuie să formalizeze şi să implementeze politici eficiente privind

securitatea informaţiei şi accesul la echipamentele şi locaţiile care conţin
activele/bunurile sistemului informaţional;

 Politica de securitate trebuie să specifice regulile de bază ce trebuie respectate de

către toţi angajaţii în vederea protejării activelor informaţionale.

 Controalele de securitate care pot fi implementate în acest sens ar putea fi:

 Controale fizice – asigură protecţia mediului IT (camere video, alarme);
 Controale tehnice – au în vedere în special controlul accesului (autorizarea şi monitorizarea
accesului la bunuri informaţionale);
 Controale administrative – sunt implementate în baza planului sau a politicii de securitate.
 Controalele de aplicaţii

Acestea sunt proiectate şi implementate în cadrul fiecărei aplicaţii şi contribuie la îmbunătăţirea

controlului intern. De asemenea, aceste controale ajută entitatea să răspundă celor şase
obiective de audit referitoare la operaţiuni:
realitatea sau existenţa,
exhaustivitatea,
acurateţea sau exactitatea,
înregistrarea în perioada corectă,
imputarea sau clasificarea corectă,
sistematizarea şi sintetizarea corectă

Standardele ISACA (2009) definesc controalele de aplicaţii ca fiind activităţi manuale sau
automate menite să asigure exhaustivitatea şi acurateţea înregistrărilor şi validitatea datelor
introduse.

Standardele de audit (IFAC, 2009) consideră controalele de aplicaţii ca fiind forme ale
controalelor detective şi preventive şi vizează integritatea înregistrărilor contabile.
 Controalele de aplicaţii

Din această perspectivă acestea sunt considerate proceduri utilizate pentru a iniţia, înregistra,
procesa şi raporta tranzacţiile sau alte date financiare. IIA GTAG 8 (2007) consideră
controalele de aplicaţii ca fiind acele controale care se referă la obiectivele proceselor şi
aplicaţiilor individuale, inclusiv editarea datelor, separarea sarcinilor, înregistrarea tranzacţiilor
efectuate şi raportarea erorilor.

Controalele de aplicaţii asigură faptul că:

datele introduse sunt exacte, complete, autorizate şi corecte;
datele sunt procesate conform cerinţelor într-o perioadă de timp rezonabilă;
informaţiile obţinute şi păstrate sunt exacte şi complete;
se poate urmări şi reconstitui traseul urmat de date din momentul intrării, prelucrării şi obţinerii
informaţiilor din sistem.
 Controalele de aplicaţii

Principalele categorii ale controalelor de aplicaţii sunt:

controlul intrărilor – acele controale sunt utilizate în special pentru a verifica integritatea
datelor introduse în aplicaţii;
controlul prelucrărilor – acestea oferă mijloace automate pentru a oferi o asigurare asupra
faptului că prelucrările sunt complete, exacte şi autorizate;
controlul ieşirilor – acestea vizează rezultatul procesărilor şi presupune verificarea
concordanţei cu datele de intrare;

Controlul intrărilor este componenta cea mai importantă din cadrul controalelor de aplicaţii
deoarece acestea trebuie să asigure faptul că sunt introduse în sistem doar date care reflectă
operaţiuni reale, evaluate în mod corect, de către personal autorizat.

Pentru un auditor aceste controale sunt importante deoarece:

în majoritatea sistemelor controalele de aplicaţii sunt cele mai frecvente;
activităţile realizate de personal/utilizatori sunt caracterizate de repetitivitate şi chiar
monotonie ceea ce poate fi o premisă a prelucrării eronate a datelor;
majoritatea tentativelor de fraudare a sistemelor informaţionale au loc în această fază
deoarece nu necesită cunoştinţe specializate în informatică
 Controalele de aplicaţii

Controalele vizând datele de intrare pot fi atât manuale şi automate.

Controalele manuale pot fi sub forma:

autorizării operaţiunilor,
întocmirii şi sistematizării documentelor justificative, angajarea de personal competent,
recalcularea manuală a totalurilor pe categorii de operaţiuni,
urmărirea traseului unei operaţiuni în documentele de sinteză (Jurnalul de cumpărări sau de
vânzări, Registrul de casă, Jurnalul de bancă).

Controalele automate sunt fie :

specifice mediului în care operează aplicaţiile informatice: domenii de utilizatori sau conturi
de utilizatori şi parole pentru sistemele de operare, programe antivirus şi firewall),
controale implementate în cadrul aplicaţiilor care prelucrează date provenind din activităţile şi
procesele entităţii (atât cele financiare cât şi cele nefinanciare)
 Controalele de aplicaţii

O categorie importantă de controale de aplicaţii automate vizează asigurarea acurateței, a

completitudinii şi integrităţii datelor.

Printre acestea se numără:

 ferestre de lucru cu câmpuri predefinite (de exemplu lista furnizorilor) care pot fi modificate
doar de către personalul cu atribuţii în acest sens;
 corelarea câmpurilor de preluare (asocierea dintre codul unui terţ şi contul analitic);
 limitarea tipului de date introduse prin definirea unor câmpuri care permit doar introducerea
de date numerice sau caractere sau alfanumerice;
 validarea calculelor şi a operaţiunilor (pornind de la parametri predefiniţi, cotele de TVA sau
cursurile valutare);
 Fixarea unor limite minime sau maxime privind valorile unor câmpuri (de exemplu plafonul
plăţii în numerar către o persoana juridică);
 mesajele de confirmare a preluării şi validării datelor introduse (în condiţiile în care
câmpurile esenţiale identificării şi urmăririi datelor au fost introduse);
 mesaje de eroare sau de atenţionare privind lipsa sau caracterul incomplet al datelor prin
care se reflectă o operaţiune.
 Controalele de aplicaţii

Controalele prelucrărilor sunt de regulă automate şi au menirea de a asigura faptul că datele

procesate sunt complete, exacte şi au fost autorizate facilitând în acelaşi timp preîntâmpinarea
şi detectarea erorilor produse în timpul prelucrării acestora.

Prin natura lor, aceste controale contribuie la asigurarea integrităţii datelor care reflectă
operaţiunile entităţii. Din perspectivă informatică, operaţiunea se identifică cu noţiunea de
tranzacţie şi are patru proprietăţi:
atomicitate: o tranzacţie trebuie acceptată la procesare sau respinsă în totalitate şi fără
ambiguitate. În eventualitatea eşecului oricărei operaţii, datele trebuie aduse la starea lor
iniţială;
consistenţă: tranzacţia trebuie să-şi păstreze toate proprietăţile invariabile;
izolare: fiecare tranzacţie trebuie să se execute independent de alte tranzacţii ce se pot
executa în mod concurent, în acelaşi mediu;
durabilitatea: efectele rezultate în urma execuţiei unei tranzacţii trebuie să fie persistente.
 Controalele de aplicaţii

Controalele asupra ieşirilor din sistem (controlul informaţiilor obţinute) trebuie să ofere
siguranţa că datele oferite sunt corecte, şi distribuite numai persoanelor autorizate, în condiţii
de siguranţă.

Printre modalităţile de asigurare a corectitudinii şi acurateței informaţiilor obţinute este

compararea acestora cu datele de intrare.

Al doilea aspect vizat de controalele asupra ieşirilor, distribuirea informaţiilor doar către
persoanele autorizate. Din această perspectivă se are în vedere clasificarea informaţiilor în
funcţie de:
importanţa acestora privind securitatea informaţiei
natura utilizatorilor vizaţi.

Astfel informaţiile pot fi secrete/confidenţiale, disponibile, sau publice. Măsurile de control se

vor concentra în special pentru limitarea divulgării informaţiilor confidenţiale şi a celor
disponibile.
2 ASI şi misiunile de audit financiar

În cadrul standardelor internaţionale de audit emise de IFAC se fac referiri la

situaţiile în care auditorul financiar apelează la cunoştinţele şi abilităţile unor experţi
pentru atingerea obiectivelor misiunii de audit:

"Auditorul poate răspunde riscurilor identificate de denaturări semnificative

datorate fraudei, spre exemplu, prin desemnarea unor persoane suplimentare cu
aptitudini şi cunoştinţe de specialitate, cum ar fi experţi specializaţi în domeniul
IT, sau prin desemnarea unor persoane cu mai multă experienţă care să participe la
misiune."
2 ASI şi misiunile de audit financiar

Un alt organism profesional care a emis standarde de audit care tratează impactul
tehnologiei sistemelor informaţionale asupra situaţiilor financiare este American
Institute of Certified Public Accountants [AICPA] prin documentul de lucru AU
Section 319 (2006) "Considerarea controlului intern într-un audit al situaţiilor
financiare":

"Auditorul trebuie să determine dacă sunt necesare cunoştinţe specializate în

determinarea riscurilor IT asupra auditului, să înţeleagă controalele IT sau să
stabilească şi să aplice teste ale controalelor IT sau teste substantive/de
detaliu. Un expert care să aibă abilităţi în domeniul IT poate fi fie un membru al
echipei sau un profesionist extern.
2 ASI şi misiunile de audit financiar

Pentru a stabili dacă e nevoie de un asemenea profesionist în echipa de audit,

auditorul (financiar n.a.) ia în considerare următorii factori:
complexitatea sistemelor utilizate de entitate şi a controalelor IT precum şi
maniera în care acestea sunt utilizate în activitatea entităţii;
schimbările semnificative aduse sistemelor existente sau implementarea noilor
sisteme;
măsura în care datele sunt utilizate în comun de mai multe sisteme;
măsura în care entitatea este implicată în comerţul electronic;
utilizarea tehnologiilor emergente;
importanţa probelor de audit care sunt disponibile numai în format electronic.
2 ASI şi misiunile de audit financiar

Procedurile pe care auditorul (financiar n.a.) le realizează sau le pune în sarcina

profesionistului care deţine cunoştinţe IT includ:
interogarea personalului IT asupra modului în care tranzacţiile sunt iniţiate,
înregistrate, procesate şi raportate;
analiza controalelor IT descrise de entitate;
inspectarea documentaţiei de sistem;
observarea controalelor IT;
planificarea şi realizarea testelor de control IT.

Dacă se ia în calcul apelarea la un profesionist auditorul trebuie să aibă

suficiente cunoştinţe în domeniul IT pentru a:
comunica profesionistului obiectivele auditului;
pentru a putea stabili dacă procedurile specificate vor duce la atingerea
obiectivelor;
pentru a evalua rezultatul procedurilor IT în corelaţie cu natura şi durata altor
proceduri planificate.
2 ASI şi misiunile de audit financiar

În procesul de identificare şi de evaluare a riscurilor un loc important îl ocupă

sistemul informaţional în calitatea sa de componentă a controlului intern.
“Auditorul va obţine o înţelegere a sistemului informaţional, inclusiv a proceselor
aferente ale întreprinderii, relevante pentru raportarea financiară, inclusiv
următoarele domenii:
clasele de tranzacţii din operaţiunile entităţii care sunt semnificative pentru
situaţiile financiare;
procedurile, atât cele din domeniul tehnologiei informaţionale (IT), cât şi
sistemele manuale prin care sunt iniţiat, înregistrate, procesate, corectate, dacă
este necesar, transferate în registrul general şi raportate în situaţiile financiare.
înregistrările contabile aferente, informaţiile de susţinere şi conturile specifice
din situaţiile financiare care sunt folosite pentru a iniţia, înregistra, procesa şi raporta
tranzacţiile; aceasta include corectarea informaţiilor incorecte şi modul în care sunt
transferate informaţiile în rapoarte. Înregistrările se pot face fie manual, fie în formă
electronică;
2 ASI şi misiunile de audit financiar

...continuare

modul în care sistemul captează evenimentele şi condiţiile, altele decât

tranzacţiile, care sunt semnificative pentru situaţiile financiare;
procesul de raportare financiară folosit pentru întocmirea situaţiilor financiare
ale entităţii, inclusiv estimările şi evidenţierile contabile semnificative;
controalele care sunt în jurul înregistrărilor în jurnale, inclusiv înregistrările din
jurnale care nu sunt standard şi care sunt folosite pentru a înregistra tranzacţiile
care nu apar în mod frecvent, cele neobişnuite sau ajustările.”(ISA 315, 2007:par.18)
 Tipologia proceselor/operaţiunilor

Din perspectiva controlului intern (Vaasen et al., 2009)şi a auditului

(Arens & Loebbecke, 2003), literatura de specialitate indică următoarele
procese sau fluxuri de operaţiuni principale:
Achiziţii şi plăţi;
Stocare;
Procese principale
Producţie;
Vânzări şi încasări;
Resurse umane;
Investiţii (imobilizări);
Procese secundare
Încasări, plăţi şi gestionarea lichidităţilor;
Contabilitate;
 Legătura dintre procese/fluxuri

Relaţia dintre procesele entităţii

Imobilizări,
Achiz. de Achiziţii de + mat. prime, -/- Producţie + Produse -/- Vânzări
servicii bunuri finite
materiale

+ + +
+

Înregistrare
Salarii Datorii şi
Creanţe
datorate credite
Contabilitate

-/- -/- -/-

Lichidităţi (casa
Plăţi Încasări
şi bancă)
-/- +
Resurse umane Achiz. de stocuri şi Stocarea bunurilor şi gestionarea lichidităţilor Vânzări
imobilizări
Sursa: Vaasen et al., 2009: 146