Auditul financiar in sistemele de informatii computerizate - referat





referat, proiect, rezumat, caracterizare, lucrare de nota 10 despre: Auditul financiar in sistemele de informatii computerizate

Proiect

Auditul financiar in sistemele de informatii computerizate (CIS)


Auditul financiar in societatile comerciale in care functioneaza sisteme de informatie computerizate (CIS) se realizeaza in cadrul unui set de reglementari prevazute de legislatia de profil si de standardele internationale de audit (ISA), respectiv:

· ISA nr. 250 – “Rolul legislatiei si reglementarilor in vigoare in auditul situatiilor financiare” (Considerations of Laws and Regulations in an Audit of Financial Statements)

· ISA nr. 401 – “Auditul intr-un mediu de sisteme de informatii computerizate” (Auditing in a Computer Information Systems Environment)

· ISA nr. 1008 – “Evaluarea riscurilor si controlul intern – Caracteristici si considerente CIS” (Risk Assessments and Internal Control – CIS Characteristics and Considerations)

· ISA nr. 1009 – “Tehnici de audit asistate de calclator”

Toate aceste standarde au ca punct comun de debut structura organizationala a entitatii patrimoniale ca subiect de audit, structura proprie de conducere a activitatilor CIS, caracteristicile sistemului si natura procesarii.

Procesarea datelor in CIS

Potrivit ISA nr. 1008, preluarea si prelucrarea datelor si informatiilor, inregistrarea in conturi a modificarilor ce se produc in elementele bilantului, ca efect al tranzactiilor incheiate de societate, procedurile diferite ce se folosesc in CIS in comparatie cu proced



urile contabilitatii traditionale, particularizeaza CIS prin urmatoarele trasaturi:
· Absenta documentelor de intrare (justificative), asemanator procesarii in sistemele de tranzactionare on-line;
· Absenta probelor materiale de derulare a tranzactiilor, numeroase programe fiind concepute cu conservarea informatiilor numai sub forma de fisier in calculator, iar dupa un timp listarea sau, dupa caz, memorizarea externa si arhivarea lor pe CD;
· Absenta unor iesiri vizibile, rezultatele procesarii informatiilor de intrare neputandu-se examina vizual sau numai cu acces limitat la date de sinteza.
Mediul de audit in sistemele de informatii computerizate este definit in ISA nr. 401, in felul urmator:
“ Un mediu de audit CIS functioneaza in firmele in care un computer de orice tip sau marime este implicat in prelucrarea de catre entitate a informatiilor financiare semnificative pentru audit, indiferent daca acel computer este folosit de entitatea propriu-zisa sau de catre o terta parte.” (401.1)
Utilizarea computerului modifica modul de procesare, stocare si comunicare a informatiilor financiare si, dupa caz, dematerializarea informatiei si comunicatiei poate afecta sistemele contabil si de control intern, considerarea riscului inerent si a celui de control, planificarea si performanta testelor de control si a procedurilor de fond. Pentru aceste considerente “auditorul trebuie sa aiba cunostinte suficiente despre CIS pentru a planifica, a conduce, a supraveghea si a revizui activitatea desfasurata”. (401.4)
Obiectivele generale si procesul de audit al situatiilor financiare elaborate prin sistemele CIS nu difera structural de etapele si procedurile comune. Exceptiile apar numai din necesitatea cunoasterii de catre auditor a programelor de prelucrare, a intelegerii functionarii acestora pas cu pas, precum si a modului in care, pe masura derularii fiecarui program, sunt satisfacute cerintele utilizatorului .

Proceduri de audit in medii de sisteme de informatii computerizate CIS

Controlul intern prin intermediul prelucrarii computerizate, care contribuie la realizarea obiectivelor globale ale procesului de audit, include atat proceduri manuale, cat si proceduri caracteristice programelor computerizate. Aceste proceduri de control cuprind actiunile globale de control, care influenteaza cadrul CIS (controale generale CIS) si actiunile specifice de control asupra aplicatiilor contabile (controale de aplicatii CIS).
Obiectivele sistemului de control intern al CIS se refera la:
· Conformitatea activitatii conducerii intreprinderii/societatii-mama/sucursalei, etc., cu obiectul de activitate pe care aceasta il are prevazut si corespunde cu hotararile organelor statutare;
· Protectia activelor si pasivelor entitatii;
· Corectitudinea informatiilor/datelor.
Un sistem CIS in care sunt utilizate calculatoare personale este, in general, mai putin structurat decat un mediu CIS controlat central. In primul rand, programele de aplicatie pot fi dezvoltate relativ repede de catre utilizatorii care au numai abilitati de baza privind procesarea datelor. In asemenea cazuri, controalele asupra procesului de dezvoltare a sistemului (de exemplu, documentatia adecvata) si asupra operatiunilor (de exemplu, procedurile de control al accesului) care sunt esentiale pentru controlul eficient al unui mare mediu computerizat, pot sa nu fie privite de catre cel care le-a dezvoltat, utilizator sau conducere, ca fiind atat de importante sau rentabile intr-un mediu informatizat. Cu toate acestea, pentru ca datele sunt procesate pe un computer, utilizatorii unor asemenea date pot avea tendinta de a plasa o siguranta nejustificata pe informatiile financiare stocate sau generate de un microcomputer. Pentru ca PC-urile sunt orientate spre utilizatori finali individuali, gradul de acuratete si dependenta de informatiile financiare produse va depinde de controalele interne prescrise de catre conducere si adoptate de utilizator. De exemplu, atunci cand exista mai multi utilizatori ai unui singur calculator, fara controale adecvate, programele si datele stocate pe mijloacele de memorare permanente de catre un utilizator pot fi susceptibile la acces, folosire sau modificare neautorizata a continutului lor, sau furt de catre alti utilizatori.
Sistemul de control intern al departamentului IT actioneaza in stransa concordanta cu obiectivele auditului financiar, acestea constituindu-se intr-un ansamblu de controale generale si controale specifice.

Controlul general se refera la organizarea CIS si la componentele acestuia, chiar daca nu se afla in directa legatura cu elementele situatiilor financiare.
Controlul specific are in vedere procedurile automatizate care gestioneaza si elaboreaza informatiile si datele referitoare la evidenta contabila.


In mod deosebit, controlul specific are urmatoarele obiective:
· Fiecare eveniment, tranzactie sau operatie gestionara trebuie sa-si gaseasca reflectarea corespunzatoare in contabilitate;
· Fiecare inregistrare in evidenta contabila trebuie sa fie identificabila cu evenimentul sau tranzactia pe care a generat-o;
· Fiecare inregistrare in evidenta contabila trebuie sa fie elaborata si recunoscuta in conformitate cu principiile contabile.

Auditul financiar al structurilor CIS cuprinde trei faze, si anume:

· Faza preliminara efectuata cu scopul cunoasterii si evaluarii globale a caracteristicilor generale ale sistemului de control intern ale sectorului CIS, in vederea stabilirii gradului de credibilitate al sistemului insusi;
· Faza de examinare amanuntita si de studiere a constatarilor si concluziilor controalelor generale si controalelor specifice ale departamentului IT in general si al sectorului CIS in special, pentru prezentarea gradului de credibilitate a rezultatelor;
· Faza efectuarii de sondaje, cu scopul certificarii examinarii, studierii si controlului proceselor CIS.

In continuarea obiectivelor auditului sectorului CIS se evalueaza influenta generala a informatiei asupra organizarii contabilitatii si finantelor entitatii. In cursul tratamentului informatiilor financiare/contabile, este posibil sa nu se poata folosi tehnicile de audit, verificare ori control utilizate la entitatile cu gestiunea manuala.
Dimpotriva, poate fi necesara folosirea altor metode de control intern a caror aplicare sa prezinte o mai mare credibilitate tratamentului datelor.
Sistemele electronice automatizate total sau partial, proiectate pentru procesarea informatiilor financiar-contabile, prezinta urmatoarele particularitati definitorii:
· Credibilitatea rezultatelor furnizate se afla in dependenta directa, in principal, de corectitudinea informatiilor supuse tratamentelor informatice; trebuie sa se ia in considerare ca transferul in procesor a informatiilor dintr-un document citit de catre un operator poate fi cauza a erorilor;
· In sistemele automatizate este posibila integrarea mai multor tratamente separate ale datelor. Procesarea simultana a acestora micsoreaza posibilitatea confruntarii si verificarii continue a rezultatelor generate, caracteristica sistemului de gestionare manuala in care rezultatul fiecarei etape poate fi identificat si examinat separate;
· Prelucrarea electronica a datelor se realizeaza, in general, in ansambluri ale tehnicii de calcul, care concentreaza programe numeroase si diferite, unde opereaza un numar limitat de persoane cu drept de acces;
· In sistemele automatizate sunt memorizate pe diferite suporturi o varietate si un volum extrem de mare de date; deteriorarea, pierderea sau interventia ilicita intentionata sau nu in baza de date poate avea consecinte grave asupra sistemelor informatice;
· Procesele de prelucrare electronica a datelor prezinta trasee de elaborare si control mai putin documentate sau documentabile;
· Intr-un sistem electronic de prelucrare a informatiilor, este limitata posibilitatea de a preciza daca un program poate fi continuat sau daca este autorizata procesarea;
· In sistemele automatizate interventiile nelegale in derularea logica a programelor sau in mod direct asupra datelor pot altera rezultatele, facand imposibila sau ingreunand evidenta tranzactiilor sau proceselor economice-financiare.
Aceste particularitati ale CIS, si implicit ale entitatii, cer auditorului:
· Cunoasterea tehnicilor de control specifice CIS si sistemelor automate on-line care pot influenta in mod revelator situatiile financiare;
· Sistemele electronice si programele care pot fi revelatoare in elaborarea si prezentarea situatiilor financiare sa fie evaluate functional prin sondaje secventiale; sa se asigure o legatura cu functionarea si calitatea controlului intern in concordanta cu credibilitatea produselor finite furnizate (balanta, forme intermediare de bilant, contul de rezultate, fluxurile de trezorerie, modificarile capitalurilor proprii);
· Efectuarea de sondaje de confirmare a calitatii controlului intern si cu privire la calitatea si credibilitatea produselor informatice finite.
Obligatiile auditorului in sistemul CIS au in vedere identificarea si documentarea personala cu ajutorul diagramelor de flux cu privire la tratamentul informatiilor financiar-contabile cifric sau exprimate in forma narativa; cunoasterea procedurilor si metodologiilor de control adaptate CIS.


Structura sistemului de control intern in CIS

Sistemul de control intern in doemniul informaticii de gestiune, mai precis in procesele de prelucrare electronica a datelor cuprinde, asadar, controale generale si controale specifice.

Controlul general

Controlul general are ca obiectiv sa asigure fluxurile de procesare a datelor pe baza organizarii si functionarii in bune conditii a activitatii departamentului (sectorului, directiei, etc.) informaticii de gestiune.
Conform “Audit operationnel” (Becour J.C., Bouquin H. – Economia, Paris, 1991), realizarea acestui obiectiv este conditionata de:
· Structura organizationala a sectorului CIS;
· Repartizarea de activitati si responsabilitati precise personalului;
· Functionarea responsabila si protectia tehnicii din dotare;
· Metodologia de utilizare a sistemelor applicative;
· Metodologia gestionarii programelor de calcul si a bazei de date;
· Proceduri de operare;
· Controlul intern si supravegherea functionarii sistemelor CIS.
Controlul general detine o semnificatie majora in garantarea fiabilitatii functionarii CIS. Insa, numai prezenta acestora nu ofera nici o garantie cu privire la fidelitatea functionarii unui anume sistem elctronic de operare si nici obtinerea rezultatelor contabile estimate, intrucat certitudinea si credibilitatea acestora sunt dependente indeosebi de controalele specifice.
Controalele generale CIS pot include, conform ISA nr. 1008:<



/p>

a. Controale ale organizarii si conducerii – concepute sa stabileasca un cadru de lucru organizational pentru activitatile CIS, inclusive:
· Politici si proceduri referitoare la functiile de control;
· Impartirea adecvata a functiilor incompatibile (de exemplu, pregatirea tranzactiilor de intrare, operatii computerizate si de programare)

b. Dezvoltarea sistemelor de aplicatii si controale de intretinere – concepute sa ofere o siguranta rezonabila, in sensul ca aceste sisteme sunt dezvoltate si mentinute de o maniera autorizata si eficienta. De asemenea, ele sunt tipic concepute, cu scopul de a stabili un control asupra:
· Testarii, conversiei, implementarii si documentarii pentru sistemele noi sau pentru cele revizuite;
· Modificarilor sistemelor de aplicatii;
· Accesului la documentatia sistemelor;
· Achizitionarii sistemelor de aplicatii de la terte parti.

c. Controlul operatiunilor computerizate – conceput sa controleze operarea sistemelor si sa ofere o siguranta rezonabila in ceea ce priveste faptul ca:
· Sistemele sunt utilizate numai pentru scopuri autorizate;
· Accesul la operatiunile computerizate este limitat la personalul autorizat;
· Sunt utilizate numai programe autorizate;
· Erorile de procesare sunt detectate si corectate;

d. Controlul software-ului de sistem – conceput sa ofere o siguranta rezonabila ca software-ul de sistem este obtinut sau dezvoltat intr-o maniera autorizata si eficienta, incluzand:
· Autorizarea, aprobarea, testarea, implementarea si documentatia pentru noile pachete de software de sistem si pentru modificarile aduse pachetelor de soft existente;
· Limitarea accesului la software-ul si documentatia de sistem numai la persoanele autorizate.

e. Controlul intrarilor de date si al programelor – conceput sa ofere o siguranta rezonabila privind faptul ca:
· Este stabilita o structura de acordare a autorizarii pentru tranzactiile care sunt introduse in sistem;
· Accesul la date si programe este interzis personalului neautorizat.

Exista si alte masuri de siguranta care contribuie la continuitatea activitatii de procesare CIS. Acestea pot include:
· Copii in afara retelei Internet ale datelor si programelor de computer;
· Proceduri de recuperare pentru utilizare in caz de furt, pierdere, distrugere intentionata sau accidentala;
· Masuri pentru procesare in afara retelei Internet, in cazul in care survine un dezastru.

Controlul specific

Controlul specific se refera la securitatea inregistrarii si procesarii datelor in vederea cuprinderii ansamblului documentelor specifice fiecareia din componentele situatiilor financiare: bilant, contul de profit si pierdere, fluxurile de trezorerie, modificarile capitalului propriu, continutul notelor explicative. Aceste controale pot fi regrupate in trei structuri:

· Controale cu privire la datele de intrare (input controls), care au ca scop furnizarea certitudinii ca datele integrate in CIS in vederea procesarii au fost autorizate preventiv, au fost convertite in forma inteligibila acceptata de calculator si nu pot fi alterate pe cai neregulamentare;
· Controale cu privire la modul de procesare (processing controls) care au ca obiect obtinerea unei certitudini rationale potrivit careia procesarea se desfasoara in conformitate cu programul optim necesar si cu procedurile autorizate;
· Controale cu privire la rezultatele procesarii (output controls) care se efectueaza cu scopul ca datele de iesire, rezultatele procesarii – indiferent de suportul de prezentare- sa fie corecte, coerente si obtinute in conformitate cu metodologia prestabilita, programele autorizate fiind acceptate de personalul autorizat.

Controlul datelor de intrare

Controlul datelor de intrare cuprinde tehnici si metodologii de natura sa garanteze integralitatea, acuratetea si oportunitatea datelor contabile din momentul prezentarii lor spre procesare pana la prezentarea produsului avut in vedere – situatiile financiare ale exercitiului. Intrucat datele se obtin prin folosirea tehnicilor traditionale – manual – cat si prin mijloace tehnice, sistemul de control intern trebuie sa foloseasca proceduri adecvate. Sistemul de control intern al datelor elaborate cu tehnici traditionale trebuie sa ia in considerare urmatoarele aspecte:
· Definirea nivelurilor de autorizare si aprobare – cantitativ si valoric – a documentelor ce se cer a fi prezentate CIS pentru procesare;
· Verificarea datelor contabile de intrare;
· Controlul final de catre personalul CIS cu atributii de primire, control si acceptare preliminara a accesului la calculator a fiecarui document;
· Controale asupra documentelor, in faza de inregistrare si in faza de procesare;
· Existenta si folosirea adecvata a metodologiei de sesizare si corectie a erorilor.
Toate aceste aspecte cer auditorului sa cunoasca actiunile desfasurate de controlul intern, in legatura cu datele ce urmeaza a fi procesate la calculator si sa verifice:
· Existenta procedurilor autorizate pentru accesul datelor la prelucrarea CIS;
· Prezenta controalelor de acces la terminale si protectia datelor in scopul prevenirii tentativelor ilegale;
· Efectuarea de controale privitoare la ansamblul structurii datelor de intrare, a caracterului rational de prelucrare a acestora si a corectitudinii informatiilor de iesire;
· Existenta unor metodologii precise de sesizare si corectare a erorilor;
· Existenta controlului modului de transmitere, prelucrare si comunicare a datelor prin diferitele sisteme de telecomunicatii.

Controlul procesarii datelor

Cuprinde tehnici si metodologii menite sa garanteze tratamentul corect si complet al datelor in concordanta cu programele de calcul adoptate, prevenirea folosirii in mod inadecvat a aplicatiilor, omisiunea preluarii integrale a datelor si introducerea de date neautorizate.
Auditorul trebuie sa aiba in vedere modul in care controlul intern si-a indeplinit atributiile astfel incat sa se asigure:
· Respectarea secventelor logice ale fazelor procesarii;
· Existenta analizelor referitoare la producerea de erori si la cauzele acestora;
· Posibilitatea identificarii in mod univoc a datelor arhivate cu scopul prevenirii eventualelor erori de utilizare produse de operatori;
· Prezenta procedurilor de salvare si reluarea procedurilor de functionare in caz de eroare;
· Existenta unei documentatii complete si actualizate cu privire la gestiunea sistemului aplicativ si la activitatea personalului implicat (analisti, programatori,operatori, intretinere);
· Protectia procesarii si prezentarii documentelor finale cu erori, folosirea neadecvata sau neautorizata a datelor. Acest obiectiv semnificativ solicita control specializat privind:
- accesul numai pe baza de parole, cartele de identificare si memorare a accesului, inregistrarea utilizatorilor;
- gestiunea datelor, care se refera la actualizarea, introducerea, conservarea si arhivarea datelor numai pe baza de proceduri definite la nivelurile autorizate;
- conservarea si salvarea datelor arhivate si reconstituirea acestora la nevoie; prezenta procedurilor de reconstituire a datelor/documentelor si de copiere a datelor arhivate;
- controlul, care trebuie efectuat periodic, de natura sa asigure integritatea informatiilor arhivate
Studiul analitic al controalelor specifice cere auditorului sa cunoasca sistemele aplicative si credibilitatea rezultatelor procesarii. Procedurile cele mai uzuale au in vedere:
· interviuri cu personalul de operare si cu cel de intretinere a sistemului;
· examinarea documentatiei disponibile;
· observarea directa a activitatilor CIS;
· examinarea structurii datelor de intrare;
· examinarea documentelor elaborate si a informatiilor de iesire;
· examinarea instructiunilor insotitoare ale programelor si a instructiunilor de control;
· examinarea continutului datelor arhivate.
In domeniul CIS, o importanta deosebita o prezinta structura si continutul documentatiei sistemelor aplicative. O documentare a aplicatiilor este necesara atat intreprinderii pentru a garanta functionarea corecta a CIS, cat si auditorului, pentru a putea cunoaste si evalua aplicatiile. In cazul unei insuficiente documentari este necesara o activitate mai cuprinzatoare din partea auditorului pentru a ajunge sa inteleaga cat mai bine aplicatiile CIS. Documentatia referitoare la CIS cuprinde:
· descrierea fazelor logice componente ale sistemului aplicativ si ale programelor care il alcatuiesc;
· diagrama fluxului sistemului si programelor;
· lipsa cu instructiuni ale programului, in limbajul de origine;
· lista codurilor si denumirilor simbolice utilizate;
· un formular martor produs al fiecarui program;
· instructiuni pentru operatori privind procesarea;
· formatele si traseele documentelor arhivate pe care le utilizeaza programul;
· tabele si orice alte informatii necesare cunoasterii integrale a programelor si functiilor acestora;
· datele folosite pentru proba ale programelor si rezultatelor obtinute.

Controlul rezultatelor procesarii

Documentele de iesire implica existenta unor tehnici si metodologii concepute in vederea garantarii acuratetei tratamentelor electronice ale informatiei contabile de intrare si a profesionalismului operatorilor autorizati sa conduca si sa execute prelucrarea datelor.
In aceasta etapa auditorul trebuie sa observe modul de efectuare a controlului final, calitatea documentelor de iesire, confirmand corectitudinea tratamentelor cuprinse in programele de procesare ale calculatorului, precum si a celor de pregatire efectuate cu mijloacele traditionale. Controalele ce se efectueaza in aceasta etapa constau in confruntarea rezultatelor furnizate in documentele de iesire cu evenimentele, procesele economico-financiare si tranzactiile echipei manageriale a intreprinderii.
Controalele generale si controalele specifice acorda auditorului posibilitatea sa evalueze calitatea si functionalitatea controlului intern si, totodata, semnificatia diferitelor componente ale CIS, intre care: capacitatea si complexitatea tehnicii de calcul si a programelor utilizate in procesarea datelor, complexitatea si caracterisiticile sistemelor aplicative, exigentele privind rigurozitatea si certitudinea tratamentelor si procesarii datelor.









Copyright © Contact | Trimite referat