ISA 620: Utilizarea activității unui expert din partea auditorului Utilizarea unui expert IT în auditul sistemelor informatice Claudiu BRANDAS, conf. univ. dr. Facultatea de Economie si de Administrare a Afacerilor Universitatea de Vest din Timisoara claudiu.brandas@e-uvt.ro
Cuprins 1. ISA 620 Utilizarea activității unui expert din partea auditorului 2. Impactul utilizării sistemelor informatice în cadrul proceselor financiar-contabile şi de gestiune 3. Determinarea necesităţii utilizării serviciilor unui auditor de sisteme informaţionale 4. Metodologia de audit a sistemelor informaţionale 5. Tehnici de audit asistate de calculator (CAATs) 6. Studii de caz
ISA 620 Utilizarea activității unui expert din partea auditorului conferă auditorului financiar dreptul de a apela la serviciile unui specialist atunci când: expertiza într-un domeniu, altul decât contabilitatea sau auditul, este necesară în vederea obținerii de probe de audit suficiente și adecvate, auditorul trebuie să stabilească dacă va utiliza activitatea unui expert din partea auditorului.
ISA 620 prevede că este posibil să fie necesar un expert din partea auditorului în vederea asistării auditorului în următoarele situații [Mirela G.] : Obținerea unei înțelegeri a entității și a mediului său, inclusiv a controlului său intern. În acest sens, standardul ISA 315 Identificarea și evaluarea riscurilor de denaturare semnificativă prin înțelegerea entității și a mediului său recomandă auditorului să înțeleagă sistemul informațional, riscurile care decurg din utilizarea tehnologiilor informaționale pentru a putea realiza o evaluare a sistemului de control intern al entității. Identificarea și evaluarea riscurilor de denaturare semnificativă. Același standard ISA 315 prevede între condițiile și evenimentele care pot indica riscuri de denaturare semnificativă următoarele: inconsecvențele dintre strategia informatică a entității și strategiile sale de afaceri, modificări ale mediului informatic, instalarea de noi sisteme informatice semnificative aferente raportării financiare etc. Stabilirea și implementarea răspunsurilor generale la riscurile evaluate la nivelul situațiilor financiare. Conceperea și efectuarea de proceduri de audit ulterioare pentru a răspunde riscurilor evaluate la nivelul afirmației, cuprinzînd teste ale controalelor sau proceduri de fond. Evaluarea caracterului suficient și a gradului de adecvare probelor de audit obținute prin formarea unei opinii asupra situațiilor financiare.
Impactul utilizării sistemelor informatice în cadrul proceselor financiar-contabile şi de gestiune
Sisteme Informatice de Gestiune (S.I.G.) Date şi informaţii Sistemul informaţional al organizaţiei Date şi informaţii Date şi informaţii Sistemul informatic al organizaţiei -Politici şi proceduri de lucru -Proceduri de control Mediu informaţional extern
Aplicaţii (programe) informatice economice Aplicaţii informatice pentru: financiar-contabilitate gestiunea stocurilor gestiunea mijloacelor fixe personal-salarizare producţie calculaţia costurilor distribuţie şi logistică analiza economico-financiară ş.a. Sisteme informatice economice integrate (ERP Enterprise Resource Planning) Pachete de aplicaţii informatice pentru birou: MS Office, Lotus Smart Suite, Star Office ş.a.
Tehnologii şi sisteme informatice E-Business (E-Commerce, E-Banking) Cloud Computing (SaaS, PaaS, IaaS, BPaaS) Mobile Computing IoT (Internet of Things)
S.I. sunt expuse unor vulnerabilităţi şi riscuri, care afectează negativ obiectivele sistemului, respectiv obţinerea situaţiilor financiare. Sisteme şi tehnologii informatice - Riscuri de denaturare semnificativă a raportărilor financiare
Riscurile şi controlul sistemelor informatice Riscul sistemului informaţional. Reprezintă probabilitatea de apariţie a unor erori sau fraude datorită utilizării inadecvate a sistemului informaţional. Riscul sistemului informaţional cuprinde: Riscurile la nivelul aplicaţiilor şi operaţiilor din sistemul informatic. Riscul de continuare a activităţii sistemului informatic.
Riscurile şi controlul sistemelor informatice Riscurile la nivelul aplicaţiilor şi operaţiilor din sistemul informatic. Acestea pot fi: securitatea scăzută a aplicaţiilor; accesul neautorizat la datele sistemului; introducerea unor date inadecvate sau false; procesarea incompletă a datelor; dublarea datelor tranzacţionate; procesarea cu întârziere a datelor; nefuncţionarea corectă a transmisiei datelor; segregarea inadecvată sau inexistentă a funcţiilor şi responsabilităţilor; analiza şi proiectarea defectuoasă a aplicaţiilor; incompatibilitatea dintre aplicaţiile informatice; infectarea aplicaţiilor cu viruşi electronici; instruirea inadecvată a utilizatorilor; suportul şi mentenanţa inadecvată a aplicaţiilor.
Riscul de continuare a activităţii sistemului informatic. Riscul disponibilităţii sistemului - reprezintă probabilitatea ca sistemul să devină indisponibil utilizatorilor datorită securităţii sale (de exemplu atacul de tip DoS al hacker-ilor). Riscul recuperării sistemului reprezintă probabilitatea ca datele şi operaţiile sistemului să nu mai poată fi recuperate în vederea continuării activităţii întreprinderii (de exemplu inexistenţa unor copii de siguranţă şi a procedurilor de recuperare şi continuare a activităţii conduc la creşterea nivelului acestui risc).
Controale IT Standardul ISA 315 prevede că din perspectiva auditorului, controalele sistemelor informatice sunt eficiente și eficace atunci când păstrează integritatea informațiilor și securitatea datelor pe care aceste sisteme le procesează, și includ controale generale ale sistemelor informatice și controale ale aplicațiilor. Controalele generale ale sistemelor informatice, în conformitate cu ISA 315, sunt politici și proceduri aferente numeroaselor aplicații și susțin functionarea eficientă a controalelor aplicațiilor. Controalele generale se vor evalua din două perspective, pe de o parte din punct de vedere procedural (politica de securitate și procedurile aferente) și din punct de vedere operațional (practic, cum operează procedura). Controalele aplicațiilor sunt proceduri manuale sau automate care funcționează, de obicei, la nivel de proces de afaceri al entității și se aplică procesării tranzacțiilor de către aplicațiile individuale (conform ISA 315). Altfel spus, sunt controale automate implementate la nivelul aplicațiilor informatice din sistem, cât și controale manuale realizate de utilizatorii acestora, care vor asigura autorizarea, completitudinea, integritatea, acuratețea și disponibilitatea tranzacțiilor, cât și încrederea în activitatea de procesare a informațiilor.
Controale IT
Determinarea necesităţii utilizării serviciilor unui auditor de sisteme informaţionale Calitatea informaţiei contabile conform OMFP 3055/2009, există patru caracteristici calitative ale situațiilor financiare: inteligibilitatea (să fie ușor de înțeles), relevanța (sunt influențate deciziile economice luate de către utilizatori), credibilitatea (să nu conțină erori semnificative) comparabilitatea (să se poată compara în timp poziția și performanța entității).
Procesarea tranzacţiilor prin sistemele informatice poate să conducă la manifestarea unor riscuri de denaturare semnificativă a informaţiei contabile
În etapa de planificare, auditorul financiar trebuie să obțină informații suficiente și relevante care să-i confere o înțelegere adecvată a mediului de lucru a entității auditate. [Mirela G.] Implicit va realiza o analiză a riscurilor şi a mediului de control IT, respectiv a tuturor sistemelor care au impact semnificativ asupra obţinerii situațiile financiare. Concluziile acestei etape, referitoare la arhitectura și complexitatea sistemului informational, îi vor permite auditorului financiar să stabilească dacă este necesară sau nu utilizarea experților IT în cadrul misiunii de audit financiar. [Mirela G.]
Factorii care vor determina această decizie (prelucrare dupa SAS 94 si Ghid de audit al sistemelor informatice) pot include [Mirela G.] : Abilitățile și experiența IT a auditorului financiar Arhitectura rețelei IT și complexitatea tehnică a echipamentelor utilizate Generarea automată a tranzacțiilor, comunicația cu alte aplicații sau sisteme informatice Natura tranzacțiilor entității auditate (tranzacții de comerț electronic) Sisteme informatice complexe de tip ERP, SAP, Oracle, etc. Modificări ale sistemelor informatice existente sau implementarea unor noi sisteme Antecedente de probleme IT (fraudă informatică, erori ale utilizatorilor sistemului, incidente de securitate IT, greșeli de programare, atacuri informatice, etc) Sisteme IT în curs de dezvoltare
Chestionar
Metodologia de audit a sistemelor informaţionale Auditul sistemelor informaţionale reprezintă activitatea de colectare şi evaluare a unor probe pentru a determina dacă sistemul informatic este securizat, menţine integritatea datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale întreprinderii şi utilizează eficient resursele informaţionale.
Standarde și ghiduri pentru auditul sistemelor informaţionale La nivel internațional, cele mai recunoscute referențiale asociate auditului sistemelor informatice sunt: Standardele internaționale de audit a sistemelor informaționale (IS Audit and Assurance Standards) publicate de ISACA (Information System Audit and Control Association), COBIT (Control Objectives for Information and related Technology) publicat de ITGI (IT Governance Institute) Standardele de audit publicate de INTOSAI (International Organization of Supreme Audit Institutions) pentru instituțiile publice alături de care se regăsesc și o serie de ghiduri pentru implementarea acestora, între care amintim și ghidul de audit IT(IT Audit Guidelines). Internal Control Integrated Framework publicat de COSO (Committee of Sponsoring Organizations of the Treadway Commision) reprezintă un cadru de evaluare a controlului intern. Standardul ISO 27002 conţine un cadru de lucru pentru managementul securităţii informaţiei. Risk Management Guide for Information Technology Systems publicat de NIST (Nationale Institute of Standards and Technology U.S) este un ghid pentru evaluarea riscurilor IT.
Standardele Internaționale de Audit ISA (International Standards on Auditing) si IAPS (International Auditing Practice Statements) publicate de Asociația Internațională a Contabililor Profesioniști (IFAC - International Federation of Certified Accountants). SAS nr. 94 The Effect of Information Technology on the Auditor s Consideration of Internal Control in a Financial Statement Audit publicat Institutul american AICPA (American Institute of Certified Public Accountants). Pe plan național, reglementările legislative privind protecția și securitatea informațiilor sunt: Legea nr. 365/2002 privind comertul electronic, Legea nr. 455/2001 privind semnatura electronică, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a prelucrării datelor cu caracter personal, Legea nr. 64/2004 pentru ratificarea Convenției Consiliului Europei privind criminalitatea informatică, Manualul de audit al sistemelor informatice și Ghidul de audit al sistemelor informatice publicate de Curtea de Conturi a Romaniei pentru domeniul asociat la nivelul institutiilor publice.
Metodologia de audit a sistemelor informaţionale Având în vedere recomandările standardelelor IFAC ISA şi ghidul ISACA pentru auditul sistemului informaţional, etapele generale ale unei unei misiuni de audit IT pot fi: Planificarea misiunii de audit. Evaluarea riscurilor şi controlului intern. Elaborarea programului de audit. Proceduri de audit şi culegerea probelor. Evaluarea și testarea controalelor generale Evaluarea și testarea controalelor aplicațiilor informatice Formularea concluziilor şi elaborarea raportului. Urmărirea (monitorizarea) implementării recomandărilor din raportul de audit.
Culegerea probelor Probele pe care auditorul IT le culege într-o misiune sunt diverse. În general acestea pot fi: documente privind politicile şi procedurile de securitate din sistemul informaţional al clientului; documente privind procedurile de lucru din sistemul informatic; documente sau observaţii privind infrastructura fizică (hardware) şi logică (software) a sistemului auditat. interviurile şi chestionarele aplicate; flowchart-uri de sistem şi/sau de aplicaţii; observaţii personale în cadrul foilor de lucru; fişiere cu datele extrase din aria de auditat; fişiere cu tranzacţiile de date necesare auditului; fişiere jurnal pentru intrări, prelucrări, tranzacţii de date şi tratare a erorilor; situaţii listate din aplicaţiile sistemului; fişierele cu datele de test; fişiere cu erori; capturi de ecrane conţinutul şi rezultatul testelor controlului din sistem; liste cu surse ale programelor utilizate în procesele auditate; conţinutul şi rezultatul testelor securităţii sistemului.
Raportul de audit a sistemelor informaţionale În structura raportului de audit se vor regăsi elementele de bază: Paragraf introductiv care va include: scopul misiunii de audit, obiectivele, perioada auditată, natura și întinderea procedurilor de audit. Cuprinsul va detalia: slăbiciunile controalelor analizate, riscurile asociate și recomandările necesare pentru diminuarea riscurilor orice rezervă pe care auditorul o are asupra sistemului auditat opinia și concluziile misiunii referențialul de raportare reprezentat de standardele, normele și ghidurile asociate domeniului auditat. Paragraf final în care se înscriu data raportului, adresa și semnătura auditorului.
Tehnici de audit asistate de calculator (CAATs) Instrumente pentru creşterea productivităţii muncii de audit. Planificarea şi urmărirea automată a misiunii de audit: aplicaţiile pentru managementul proiectelor (MS Project, Primavera Project Planner etc.); aplicaţiile pentru calcul tabelar (MS Excel, OpenOffice); Editarea şi managementul automat al foilor de lucru (electronic workingpapers): Microsoft Office, IDEA (produs de către CaseWare), TeamMate (produs de PriceWaterhouseCoopers), BCOMM Audit Manager ş.a.; Comunicarea şi transferul automat al datelor: aplicaţii pentru e-mail (Microsoft Outlook), instrumente groupware (Lotus Notes Domino Server); forumuri intranet ş.a. Aplicaţii generale de audit (GAS - Generalized Audit Software). Aplicaţii informatice (utilitare) pentru testarea şi verificarea sistemului.
Studii de caz Auditul sistemelor informatice financiarcontabile Auditul aplicaţiilor informatice pentru gestiunea mijloacelor fixe Auditul aplicaţiilor pentru evidenţa salariilor
Program general pentru auditarea aplicaţiilor informatice de evidenţa a mijloacelor fixe Scopul auditului Auditarea aplicaţiilor de evidenţă a mijloacelor fixe Obiectivele auditului Asigurarea acurateţii şi integrităţii aplicaţiilor de evidenţă a mijloacelor fixe Evaluarea controalelor din cadrul aplicaţiilor de evidenţă a mijloacelor fixe Planificarea Întâlnirea cu managementul întreprinderii pentru clarificarea întinderii misiunii de audit. Revizuirea unor misiuni anterioare privind evidenţa mijloacelor fixe pentru a determina unele probleme. Realizarea unei evaluări preliminare a riscurilor pentru identificarea şi cuantificarea ameninţărilor şi vulnerabilităţilor din sistemul de evidenţă a mijloacelor fixe. Scrierea detaliată a programului de audit, respectiv a foilor de lucru. Formarea echipei de audit în funcţie de complexitatea aplicaţiilor şi a sistemului. Stabilirea bugetului misiunii.
Desfăşurarea Revizuirea legislaţiei la zi referitor la evidenţa mijloacelor fixe. Identificarea personalului şi aplicaţiilor implicate în evidenţa mijloacelor fixe. Analiza tuturor documentelor şi rapoartelor privind evidenţa mijloacelor fixe pentru a înţelege circuitul şi fluxul informaţional din această activitate. Intervievarea personalului implicat. Documentarea şi completarea foilor de lucru cu procedurile şi descrierea circuitelor din cadrul aplicaţiilor pentru evidenţa mijloacelor fixe. Pregătirea datelor de test pentru testarea intrărilor şi prelucrărilor aplicaţiilor. Introducerea datelor de test şi verificarea controalelor de intrare şi prelucrare. Evaluarea modului de prelucrare şi concordanţa cu legislaţia şi regulamentele interne. Identificarea şi analiza erorilor. Evaluarea şi testarea controalelor aplicaţiilor. Controale de acces, de raportare, de stocare şi de modificare a aplicaţiilor. Testarea integrităţii datelor din baza de date şi din cadrul listelor sau rapoartelor. Evaluarea sistemului de operare sub care lucraeză aplicaţia. Documentarea tuturor testelor şi evaluărilor în cadrul foilor de lucru. Raportarea Formularea concluziilor privind controalele şi integritatea sistemului de evidenţă a mijloacelor fixe. Prezentarea şi discutarea rezultatelor obţinute cu managementul clientului. Stabilirea recomandărilor. Pregătirea şi scrierea raportului de audit. Stabilirea condiţiilor şi termenilor pentru urmărirea implementării recomandărilor.
MULŢUMESC PENTRU ATENŢIE!