Auditul financiar in societatile comerciale in care functioneaza
sisteme de informatie computerizate (CIS) se realizeaza in cadrul
unui set de reglementari prevazute de legislatia de profil si
de standardele internationale de audit (ISA), respectiv:
· ISA nr. 250 – “Rolul legislatiei si reglementarilor in vigoare in auditul situatiilor financiare” (Considerations of Laws and Regulations in an Audit of Financial Statements)
· ISA nr. 401 – “Auditul intr-un mediu de sisteme de informatii computerizate” (Auditing in a Computer Information Systems Environment)
· ISA nr. 1008 – “Evaluarea riscurilor si controlul intern – Caracteristici si considerente CIS” (Risk Assessments and Internal Control – CIS Characteristics and Considerations)
· ISA nr. 1009 – “Tehnici de audit asistate de calclator”
Toate aceste standarde au ca punct comun de debut structura organizationala a entitatii patrimoniale ca subiect de audit, structura proprie de conducere a activitatilor CIS, caracteristicile sistemului si natura procesarii.
Procesarea datelor in CIS
Potrivit ISA nr. 1008, preluarea si prelucrarea datelor si informatiilor, inregistrarea in conturi a modificarilor ce se produc in elementele bilantului, ca efect al tranzactiilor incheiate de societate, procedurile diferite ce se folosesc in CIS in comparatie cu proced
Proceduri de audit in medii de sisteme de informatii computerizate CIS
Controlul intern prin intermediul prelucrarii computerizate,
care contribuie la realizarea obiectivelor globale ale procesului
de audit, include atat proceduri manuale, cat si proceduri caracteristice
programelor computerizate. Aceste proceduri de control cuprind
actiunile globale de control, care influenteaza cadrul CIS (controale
generale CIS) si actiunile specifice de control asupra aplicatiilor
contabile (controale de aplicatii CIS).
Obiectivele sistemului de control intern al CIS se refera la:
· Conformitatea activitatii conducerii intreprinderii/societatii-mama/sucursalei,
etc., cu obiectul de activitate pe care aceasta il are prevazut
si corespunde cu hotararile organelor statutare;
· Protectia activelor si pasivelor entitatii;
· Corectitudinea informatiilor/datelor.
Un sistem CIS in care sunt utilizate calculatoare personale
este, in general, mai putin structurat decat un mediu CIS controlat
central. In primul rand, programele de aplicatie pot fi dezvoltate
relativ repede de catre utilizatorii care au numai abilitati
de baza privind procesarea datelor. In asemenea cazuri, controalele
asupra procesului de dezvoltare a sistemului (de exemplu, documentatia
adecvata) si asupra operatiunilor (de exemplu, procedurile de
control al accesului) care sunt esentiale pentru controlul eficient
al unui mare mediu computerizat, pot sa nu fie privite de catre
cel care le-a dezvoltat, utilizator sau conducere, ca fiind
atat de importante sau rentabile intr-un mediu informatizat.
Cu toate acestea, pentru ca datele sunt procesate pe un computer,
utilizatorii unor asemenea date pot avea tendinta de a plasa
o siguranta nejustificata pe informatiile financiare stocate
sau generate de un microcomputer. Pentru ca PC-urile sunt orientate
spre utilizatori finali individuali, gradul de acuratete si
dependenta de informatiile financiare produse va depinde de
controalele interne prescrise de catre conducere si adoptate
de utilizator. De exemplu, atunci cand exista mai multi utilizatori
ai unui singur calculator, fara controale adecvate, programele
si datele stocate pe mijloacele de memorare permanente de catre
un utilizator pot fi susceptibile la acces, folosire sau modificare
neautorizata a continutului lor, sau furt de catre alti utilizatori.
Sistemul de control intern al departamentului IT actioneaza
in stransa concordanta cu obiectivele auditului financiar, acestea
constituindu-se intr-un ansamblu de controale generale si controale
specifice.
Controlul general se refera la organizarea CIS si la componentele
acestuia, chiar daca nu se afla in directa legatura cu elementele
situatiilor financiare.
Controlul specific are in vedere procedurile automatizate care
gestioneaza si elaboreaza informatiile si datele referitoare
la evidenta contabila.
In mod deosebit, controlul specific are urmatoarele obiective:
· Fiecare eveniment, tranzactie sau operatie gestionara
trebuie sa-si gaseasca reflectarea corespunzatoare in contabilitate;
· Fiecare inregistrare in evidenta contabila trebuie
sa fie identificabila cu evenimentul sau tranzactia pe care
a generat-o;
· Fiecare inregistrare in evidenta contabila trebuie
sa fie elaborata si recunoscuta in conformitate cu principiile
contabile.
Auditul financiar al structurilor CIS cuprinde trei faze, si anume:
· Faza preliminara efectuata cu scopul cunoasterii si
evaluarii globale a caracteristicilor generale ale sistemului
de control intern ale sectorului CIS, in vederea stabilirii
gradului de credibilitate al sistemului insusi;
· Faza de examinare amanuntita si de studiere a constatarilor
si concluziilor controalelor generale si controalelor specifice
ale departamentului IT in general si al sectorului CIS in special,
pentru prezentarea gradului de credibilitate a rezultatelor;
· Faza efectuarii de sondaje, cu scopul certificarii
examinarii, studierii si controlului proceselor CIS.
In continuarea obiectivelor auditului sectorului CIS se evalueaza
influenta generala a informatiei asupra organizarii contabilitatii
si finantelor entitatii. In cursul tratamentului informatiilor
financiare/contabile, este posibil sa nu se poata folosi tehnicile
de audit, verificare ori control utilizate la entitatile cu
gestiunea manuala.
Dimpotriva, poate fi necesara folosirea altor metode de control
intern a caror aplicare sa prezinte o mai mare credibilitate
tratamentului datelor.
Sistemele electronice automatizate total sau partial, proiectate
pentru procesarea informatiilor financiar-contabile, prezinta
urmatoarele particularitati definitorii:
· Credibilitatea rezultatelor furnizate se afla in dependenta
directa, in principal, de corectitudinea informatiilor supuse
tratamentelor informatice; trebuie sa se ia in considerare ca
transferul in procesor a informatiilor dintr-un document citit
de catre un operator poate fi cauza a erorilor;
· In sistemele automatizate este posibila integrarea
mai multor tratamente separate ale datelor. Procesarea simultana
a acestora micsoreaza posibilitatea confruntarii si verificarii
continue a rezultatelor generate, caracteristica sistemului
de gestionare manuala in care rezultatul fiecarei etape poate
fi identificat si examinat separate;
· Prelucrarea electronica a datelor se realizeaza, in
general, in ansambluri ale tehnicii de calcul, care concentreaza
programe numeroase si diferite, unde opereaza un numar limitat
de persoane cu drept de acces;
· In sistemele automatizate sunt memorizate pe diferite
suporturi o varietate si un volum extrem de mare de date; deteriorarea,
pierderea sau interventia ilicita intentionata sau nu in baza
de date poate avea consecinte grave asupra sistemelor informatice;
· Procesele de prelucrare electronica a datelor prezinta
trasee de elaborare si control mai putin documentate sau documentabile;
· Intr-un sistem electronic de prelucrare a informatiilor,
este limitata posibilitatea de a preciza daca un program poate
fi continuat sau daca este autorizata procesarea;
· In sistemele automatizate interventiile nelegale in
derularea logica a programelor sau in mod direct asupra datelor
pot altera rezultatele, facand imposibila sau ingreunand evidenta
tranzactiilor sau proceselor economice-financiare.
Aceste particularitati ale CIS, si implicit ale entitatii, cer
auditorului:
· Cunoasterea tehnicilor de control specifice CIS si
sistemelor automate on-line care pot influenta in mod revelator
situatiile financiare;
· Sistemele electronice si programele care pot fi revelatoare
in elaborarea si prezentarea situatiilor financiare sa fie evaluate
functional prin sondaje secventiale; sa se asigure o legatura
cu functionarea si calitatea controlului intern in concordanta
cu credibilitatea produselor finite furnizate (balanta, forme
intermediare de bilant, contul de rezultate, fluxurile de trezorerie,
modificarile capitalurilor proprii);
· Efectuarea de sondaje de confirmare a calitatii controlului
intern si cu privire la calitatea si credibilitatea produselor
informatice finite.
Obligatiile auditorului in sistemul CIS au in vedere identificarea
si documentarea personala cu ajutorul diagramelor de flux cu
privire la tratamentul informatiilor financiar-contabile cifric
sau exprimate in forma narativa; cunoasterea procedurilor si
metodologiilor de control adaptate CIS.
Structura sistemului de control intern in CIS
Sistemul de control intern in doemniul informaticii de gestiune, mai precis in procesele de prelucrare electronica a datelor cuprinde, asadar, controale generale si controale specifice.
Controlul general
Controlul general are ca obiectiv sa asigure fluxurile de
procesare a datelor pe baza organizarii si functionarii in bune
conditii a activitatii departamentului (sectorului, directiei,
etc.) informaticii de gestiune.
Conform “Audit operationnel” (Becour J.C., Bouquin
H. – Economia, Paris, 1991), realizarea acestui obiectiv
este conditionata de:
· Structura organizationala a sectorului CIS;
· Repartizarea de activitati si responsabilitati precise
personalului;
· Functionarea responsabila si protectia tehnicii din
dotare;
· Metodologia de utilizare a sistemelor applicative;
· Metodologia gestionarii programelor de calcul si a
bazei de date;
· Proceduri de operare;
· Controlul intern si supravegherea functionarii sistemelor
CIS.
Controlul general detine o semnificatie majora in garantarea
fiabilitatii functionarii CIS. Insa, numai prezenta acestora
nu ofera nici o garantie cu privire la fidelitatea functionarii
unui anume sistem elctronic de operare si nici obtinerea rezultatelor
contabile estimate, intrucat certitudinea si credibilitatea
acestora sunt dependente indeosebi de controalele specifice.
Controalele generale CIS pot include, conform ISA nr. 1008:<
a. Controale ale organizarii si conducerii – concepute
sa stabileasca un cadru de lucru organizational pentru activitatile
CIS, inclusive:
· Politici si proceduri referitoare la functiile de control;
· Impartirea adecvata a functiilor incompatibile (de
exemplu, pregatirea tranzactiilor de intrare, operatii computerizate
si de programare)
b. Dezvoltarea sistemelor de aplicatii si controale de intretinere
– concepute sa ofere o siguranta rezonabila, in sensul
ca aceste sisteme sunt dezvoltate si mentinute de o maniera
autorizata si eficienta. De asemenea, ele sunt tipic concepute,
cu scopul de a stabili un control asupra:
· Testarii, conversiei, implementarii si documentarii
pentru sistemele noi sau pentru cele revizuite;
· Modificarilor sistemelor de aplicatii;
· Accesului la documentatia sistemelor;
· Achizitionarii sistemelor de aplicatii de la terte
parti.
c. Controlul operatiunilor computerizate – conceput sa
controleze operarea sistemelor si sa ofere o siguranta rezonabila
in ceea ce priveste faptul ca:
· Sistemele sunt utilizate numai pentru scopuri autorizate;
· Accesul la operatiunile computerizate este limitat
la personalul autorizat;
· Sunt utilizate numai programe autorizate;
· Erorile de procesare sunt detectate si corectate;
d. Controlul software-ului de sistem – conceput sa ofere
o siguranta rezonabila ca software-ul de sistem este obtinut
sau dezvoltat intr-o maniera autorizata si eficienta, incluzand:
· Autorizarea, aprobarea, testarea, implementarea si
documentatia pentru noile pachete de software de sistem si pentru
modificarile aduse pachetelor de soft existente;
· Limitarea accesului la software-ul si documentatia
de sistem numai la persoanele autorizate.
e. Controlul intrarilor de date si al programelor – conceput
sa ofere o siguranta rezonabila privind faptul ca:
· Este stabilita o structura de acordare a autorizarii
pentru tranzactiile care sunt introduse in sistem;
· Accesul la date si programe este interzis personalului
neautorizat.
Exista si alte masuri de siguranta care contribuie la continuitatea
activitatii de procesare CIS. Acestea pot include:
· Copii in afara retelei Internet ale datelor si programelor
de computer;
· Proceduri de recuperare pentru utilizare in caz de
furt, pierdere, distrugere intentionata sau accidentala;
· Masuri pentru procesare in afara retelei Internet,
in cazul in care survine un dezastru.
Controlul specific
Controlul specific se refera la securitatea inregistrarii si procesarii datelor in vederea cuprinderii ansamblului documentelor specifice fiecareia din componentele situatiilor financiare: bilant, contul de profit si pierdere, fluxurile de trezorerie, modificarile capitalului propriu, continutul notelor explicative. Aceste controale pot fi regrupate in trei structuri:
· Controale cu privire la datele de intrare (input controls),
care au ca scop furnizarea certitudinii ca datele integrate
in CIS in vederea procesarii au fost autorizate preventiv, au
fost convertite in forma inteligibila acceptata de calculator
si nu pot fi alterate pe cai neregulamentare;
· Controale cu privire la modul de procesare (processing
controls) care au ca obiect obtinerea unei certitudini rationale
potrivit careia procesarea se desfasoara in conformitate cu
programul optim necesar si cu procedurile autorizate;
· Controale cu privire la rezultatele procesarii (output
controls) care se efectueaza cu scopul ca datele de iesire,
rezultatele procesarii – indiferent de suportul de prezentare-
sa fie corecte, coerente si obtinute in conformitate cu metodologia
prestabilita, programele autorizate fiind acceptate de personalul
autorizat.
Controlul datelor de intrare
Controlul datelor de intrare cuprinde tehnici si metodologii
de natura sa garanteze integralitatea, acuratetea si oportunitatea
datelor contabile din momentul prezentarii lor spre procesare
pana la prezentarea produsului avut in vedere – situatiile
financiare ale exercitiului. Intrucat datele se obtin prin folosirea
tehnicilor traditionale – manual – cat si prin mijloace
tehnice, sistemul de control intern trebuie sa foloseasca proceduri
adecvate. Sistemul de control intern al datelor elaborate cu
tehnici traditionale trebuie sa ia in considerare urmatoarele
aspecte:
· Definirea nivelurilor de autorizare si aprobare –
cantitativ si valoric – a documentelor ce se cer a fi
prezentate CIS pentru procesare;
· Verificarea datelor contabile de intrare;
· Controlul final de catre personalul CIS cu atributii
de primire, control si acceptare preliminara a accesului la
calculator a fiecarui document;
· Controale asupra documentelor, in faza de inregistrare
si in faza de procesare;
· Existenta si folosirea adecvata a metodologiei de sesizare
si corectie a erorilor.
Toate aceste aspecte cer auditorului sa cunoasca actiunile desfasurate
de controlul intern, in legatura cu datele ce urmeaza a fi procesate
la calculator si sa verifice:
· Existenta procedurilor autorizate pentru accesul datelor
la prelucrarea CIS;
· Prezenta controalelor de acces la terminale si protectia
datelor in scopul prevenirii tentativelor ilegale;
· Efectuarea de controale privitoare la ansamblul structurii
datelor de intrare, a caracterului rational de prelucrare a
acestora si a corectitudinii informatiilor de iesire;
· Existenta unor metodologii precise de sesizare si corectare
a erorilor;
· Existenta controlului modului de transmitere, prelucrare
si comunicare a datelor prin diferitele sisteme de telecomunicatii.
Controlul procesarii datelor
Cuprinde tehnici si metodologii menite sa garanteze tratamentul
corect si complet al datelor in concordanta cu programele de
calcul adoptate, prevenirea folosirii in mod inadecvat a aplicatiilor,
omisiunea preluarii integrale a datelor si introducerea de date
neautorizate.
Auditorul trebuie sa aiba in vedere modul in care controlul
intern si-a indeplinit atributiile astfel incat sa se asigure:
· Respectarea secventelor logice ale fazelor procesarii;
· Existenta analizelor referitoare la producerea de erori
si la cauzele acestora;
· Posibilitatea identificarii in mod univoc a datelor
arhivate cu scopul prevenirii eventualelor erori de utilizare
produse de operatori;
· Prezenta procedurilor de salvare si reluarea procedurilor
de functionare in caz de eroare;
· Existenta unei documentatii complete si actualizate
cu privire la gestiunea sistemului aplicativ si la activitatea
personalului implicat (analisti, programatori,operatori, intretinere);
· Protectia procesarii si prezentarii documentelor finale
cu erori, folosirea neadecvata sau neautorizata a datelor. Acest
obiectiv semnificativ solicita control specializat privind:
- accesul numai pe baza de parole, cartele de identificare si
memorare a accesului, inregistrarea utilizatorilor;
- gestiunea datelor, care se refera la actualizarea, introducerea,
conservarea si arhivarea datelor numai pe baza de proceduri
definite la nivelurile autorizate;
- conservarea si salvarea datelor arhivate si reconstituirea
acestora la nevoie; prezenta procedurilor de reconstituire a
datelor/documentelor si de copiere a datelor arhivate;
- controlul, care trebuie efectuat periodic, de natura sa asigure
integritatea informatiilor arhivate
Studiul analitic al controalelor specifice cere auditorului
sa cunoasca sistemele aplicative si credibilitatea rezultatelor
procesarii. Procedurile cele mai uzuale au in vedere:
· interviuri cu personalul de operare si cu cel de intretinere
a sistemului;
· examinarea documentatiei disponibile;
· observarea directa a activitatilor CIS;
· examinarea structurii datelor de intrare;
· examinarea documentelor elaborate si a informatiilor
de iesire;
· examinarea instructiunilor insotitoare ale programelor
si a instructiunilor de control;
· examinarea continutului datelor arhivate.
In domeniul CIS, o importanta deosebita o prezinta structura
si continutul documentatiei sistemelor aplicative. O documentare
a aplicatiilor este necesara atat intreprinderii pentru a garanta
functionarea corecta a CIS, cat si auditorului, pentru a putea
cunoaste si evalua aplicatiile. In cazul unei insuficiente documentari
este necesara o activitate mai cuprinzatoare din partea auditorului
pentru a ajunge sa inteleaga cat mai bine aplicatiile CIS. Documentatia
referitoare la CIS cuprinde:
· descrierea fazelor logice componente ale sistemului
aplicativ si ale programelor care il alcatuiesc;
· diagrama fluxului sistemului si programelor;
· lipsa cu instructiuni ale programului, in limbajul
de origine;
· lista codurilor si denumirilor simbolice utilizate;
· un formular martor produs al fiecarui program;
· instructiuni pentru operatori privind procesarea;
· formatele si traseele documentelor arhivate pe care
le utilizeaza programul;
· tabele si orice alte informatii necesare cunoasterii
integrale a programelor si functiilor acestora;
· datele folosite pentru proba ale programelor si rezultatelor
obtinute.
Controlul rezultatelor procesarii
Documentele de iesire implica existenta unor tehnici si metodologii
concepute in vederea garantarii acuratetei tratamentelor electronice
ale informatiei contabile de intrare si a profesionalismului
operatorilor autorizati sa conduca si sa execute prelucrarea
datelor.
In aceasta etapa auditorul trebuie sa observe modul de efectuare
a controlului final, calitatea documentelor de iesire, confirmand
corectitudinea tratamentelor cuprinse in programele de procesare
ale calculatorului, precum si a celor de pregatire efectuate
cu mijloacele traditionale. Controalele ce se efectueaza in
aceasta etapa constau in confruntarea rezultatelor furnizate
in documentele de iesire cu evenimentele, procesele economico-financiare
si tranzactiile echipei manageriale a intreprinderii.
Controalele generale si controalele specifice acorda auditorului
posibilitatea sa evalueze calitatea si functionalitatea controlului
intern si, totodata, semnificatia diferitelor componente ale
CIS, intre care: capacitatea si complexitatea tehnicii de calcul
si a programelor utilizate in procesarea datelor, complexitatea
si caracterisiticile sistemelor aplicative, exigentele privind
rigurozitatea si certitudinea tratamentelor si procesarii datelor.
