Competenţe IT ale profesioniştilor contabili. Auditul sistemelor informaţionale contabile. Evaluarea mediulul de control IT al entităţii

Similar documents
ISA 620: Utilizarea activității unui expert din partea auditorului

STANDARDUL INTERNAŢIONAL DE AUDIT 315 CUNOAŞTEREA ENTITĂŢII ŞI MEDIULUI SĂU ŞI EVALUAREA RISCURILOR DE DENATURARE SEMNIFICATIVĂ

ENVIRONMENTAL MANAGEMENT SYSTEMS AND ENVIRONMENTAL PERFORMANCE ASSESSMENT SISTEME DE MANAGEMENT AL MEDIULUI ŞI DE EVALUARE A PERFORMANŢEI DE MEDIU

STANDARDUL INTERNAŢIONAL DE AUDIT 500 PROBE DE AUDIT CUPRINS

STANDARDUL INTERNAŢIONAL DE AUDIT 120 CADRUL GENERAL AL STANDARDELOR INTERNAŢIONALE DE AUDIT CUPRINS

GHID PRIVIND IMPLEMENTAREA STANDARDELOR INTERNAŢIONALE DE AUDIT INTERN 2015

GRAFURI NEORIENTATE. 1. Notiunea de graf neorientat

VISUAL FOX PRO VIDEOFORMATE ŞI RAPOARTE. Se deschide proiectul Documents->Forms->Form Wizard->One-to-many Form Wizard

Platformă de e-learning și curriculă e-content pentru învățământul superior tehnic

Clasele de asigurare. Legea 237/2015 Anexa nr. 1

AUDIT ȘI CERTIFICAREA CALITĂȚII

Press review. Monitorizare presa. Programul de responsabilitate sociala. Lumea ta? Curata! TIMISOARA Page1

SISTEMUL INFORMATIONAL-INFORMATIC PENTRU FIRMA DE CONSTRUCTII

NOUTĂŢI PRIVIND IMPLEMENTAREA SISTEMULUI DE CONTROL INTERN/MANAGERIAL Provocare. Necesitate

ANEXĂ COMISIA EUROPEANĂ,

INFORMATICĂ MARKETING

TIPOLOGIA AUDITULUI FINANCIAR CONTABIL

Ghid de instalare pentru program NPD RO

HOTĂRÂREA nr. 39 din 19 septembrie

Organismul naţional de standardizare. Standardizarea competenţelor digitale

AUTORITATEA DE SUPRAVEGHERE FINANCIARĂ

Application form for the 2015/2016 auditions for THE EUROPEAN UNION YOUTH ORCHESTRA (EUYO)

Parcurgerea arborilor binari şi aplicaţii

Soluţii complete. Găsim soluţia potrivită pentru afacerea ta. contabilitate, consultanţă, evaluări. Sibiu, Cluj Napoca, Rm. Vâlcea

Ghidul administratorului de sistem

Aplicatii ale programarii grafice in experimentele de FIZICĂ

Mod completare date in ContArt incepand cu 2016 in vederea completarii D394

SUBIECTE CONCURS ADMITERE TEST GRILĂ DE VERIFICARE A CUNOŞTINŢELOR FILIERA DIRECTĂ VARIANTA 1

Cap. 2. Sistemul informaţional al organizaţiei şcolare

FISA DE EVIDENTA Nr 1/

Auditul de regularitate privind resursele umane din cadrul instituţiilor publice

Standardele pentru Sistemul de management

Click pe More options sub simbolul telefon (în centru spre stânga) dacă sistemul nu a fost deja configurat.

Managementul Proiectelor Software Principiile proiectarii

Managementul documentelor

Platformă de e-learning și curriculă e-content pentru învățământul superior tehnic

ARHITECTURI SOFTWARE PENTRU ÎNTREPRINDERI

SUPORT CURS MANAGEMENTUL CALITATII

riptografie şi Securitate

Constantin TOMA CONTABILITATE FINANCIARĂ. Ediţia a II-a, revizuită şi adăugită

HOTĂRÂRE pentru aprobarea Normelor generale privind exercitarea activităţii de audit public intern

PREZENTARE INTERFAŢĂ MICROSOFT EXCEL 2007

Pasul 2. Desaturaţi imaginea. image>adjustments>desaturate sau Ctrl+Shift+I

UNIVERSITATEA SPIRU HARET ŞTIINŢE ECONOMICE, BUCUREŞTI ŞTIINŢE ECONOMICE, BUCUREŞTI CONTABILITATE MASTERAT AUDIT FINANCIAR CONTABIL

2.4. Auditul de mediu (AM) eco- auditul

PROCEDURA GENERALĂ PRIVIND DATELOR

Gestiunea financiară

Protocolul este valabil începând cu absolvenţii promoţiei*

Anexa 8 FIŞA POST 1.POSTUL : MANAGER PROIECT, COD COR CERINŢE : 2.1 Studii : Studii superioare finalizate 2.2 Vechime : Minim 3 ani pe un

DIRECTIVA HABITATE Prezentare generală. Directiva 92/43 a CE din 21 Mai 1992

Ghid metodologic de implementare a proiectelor pilot

Sisteme de management al calităţii PRINCIPII FUNDAMENTALE ŞI VOCABULAR

Material suport pentru stagii de practică Dezvoltarea cunoştinţelor în domeniul managementului calităţii. - Volum I -

Anexa nr.1. contul 184 Active financiare depreciate la recunoașterea inițială. 1/81

ACCOUNTING TREATMENT OF REVENUES GENERATED AND EXPENDITURES INCURRED BY THE NON-COMMERCIAL ORGANIZATIONS

MODULUL nr. 2 3 Standardul internaţional pentru managementul documentelor (ISO 15489)

Standard ocupaţional. Auditor de sistem de management pentru sănătate şi securitate ocupaţională

INFORMATION SECURITY AND RISK MANAGEMENT - AN ECONOMIC APPROACH

Structura formularului Bilanţ (Cod 10) este următoarea: Forma de proprietate Activitatea preponderentă. Număr din registrul comerţului

Comunitate universitară pentru managementul calităţii în învăţământul superior

PROIECTUL: iei publice. Cod SMIS: 26932

Protocolul este valabil începând cu absolvenţii promoţiei* Nr. crt. Programul de masterat

Curriculum vitae Europass

Eşantionarea statistică în auditul financiar pentru estimarea denaturărilor contabile

SISTEMUL INFORMAŢIONAL LOGISTIC: COMPONENTE ŞI MACRO PROCESE

Circuite Basculante Bistabile

Marketing politic. CURS (tematică & bibliografie) Specializarea Ştiinţe Politice, anul III

MANUALUL CALITĂŢII FACULTATEA DE ŞTIINŢA ŞI INGINERIA ALIMENTELOR. Elaborat Prof. dr. ing. Nicoleta STĂNCIUC Comisia calitate

CAPITOLUL 2. FACILITATILE SI ARHITECTURA SISTEMULUI ORACLE

Cuprins. Cuvânt-înainte... 11

Modalităţi de redare a conţinutului 3D prin intermediul unui proiector BenQ:

CUPRINS Capitolul 1 Organizarea contabilităţii în instituţiile publice... 11

ORDONANŢĂ DE URGENŢĂ Nr. 75 din 1 iunie 1999 *** Republicată privind activitatea de audit financiar

Contul de profit şi pierdere în context internaţional. Profit and loss account in the international context

Sisteme informationale economice (3)

CERCETARE ŞTIINŢIFICĂ,

Executive Information Systems

FIŞA DISCIPLINEI Anul universitar

Etapele implementării unui sistem de management de mediu într-o organizaţie

UNIVERSITATEA BABEŞ-BOLYAI CLUJ-NAPOCA FACULTATEA DE ŞTIINŢE ECONOMICE ŞI GESTIUNEA AFACERILOR TEZĂ DE DOCTORAT. rezumat

FISA DE EVIDENTA Nr 2/

Abordarea problematicii SEPA de către companii. Forumul Naţional SEPA -Ediţia a IV-a -

Sorin Adrian Popa. Institutul de Cercetări pentru Echipamente şi Tehnologii în Construcţii - ICECON S.A., Bucureşti, România,

EDUCATION MANAGEMENT AND EDUCATION SERVICES

CERCETĂRI PRIVIND SECURITATEA AFACERILOR ELECTRONICE. STANDARDE ŞI PROTOCOALE PENTRU SECURITATEA AFACERILOR ELECTRONICE

TTX260 investiţie cu cost redus, performanţă bună

PROIECT DE PROGRAMĂ PENTRU OPŢIONAL. Denumirea opţionalului: PREVENIREA ABANDONULUI ŞCOLAR. ESTE PROFESIA MEA! CUPRINS. Argument

SISTEME SUPORT PENTRU MANAGEMENTUL CUNOȘTINȚELOR DIN CADRUL ORGANIZAȚIILOR

PROCEDURA OPERAŢIONALĂ COMPLETAREA REGISTRULUI INVENTAR COD: PO-20

Lt.cdor conf.univ.dr.ing. Ghiţă BÂRSAN

Pro-active environmental strategies, main source of competitive advantage within economic organizations

Anexa 2.49 PROCEDURA ANALIZA EFECTUATĂ DE MANAGEMENT

STANDARDELE DE CONTROL INTERN/MANAGERIAL EXISTENTE ÎN CADRUL CASEI DE ASIGURARI DE SANATATE NEAMT

Split Screen Specifications

Condiţiile speciale de activitate a centrelor de certificare a cheilor publice. I. Noţiuni generale

Sisteme integrate pentru -business

AUTORITATEA NAŢIONALĂ DE SUPRAVEGHERE A PRELUCRĂRII DATELOR CU CARACTER PERSONAL DECIZIE

R O M Â N I A MINISTERUL APĂRĂRII NAŢIONALE. Universitatea Naţională de Apărare Carol I. PLANUL OPERAŢIONAL

Marian SIMINICĂ DIAGNOSTICUL FINANCIAR AL FIRMEI

Plan de management de mediu şi social

Transcription:

Facultatea de Ştiinţe Economice şi Gestiunea Afacerilor Departamentul de Contabilitate şi Audit Auditul sistemelor informaţionale contabile Curs 2 www.econ.ubbcluj.ro/~vasile.cardos/asic.html Competenţe IT ale profesioniştilor contabili Specificaţia practică IEPS 2 Tehnologia informaţiei pentru profesioniştii contabili identifică următoarele competenţe IT pentru rolul de auditor: Nr. Competenţe Evaluarea mediulul de control IT al entităţii 1 Identificarea, analiza şi evaluarea efectelor IT asupra entităţii auditate 2 Cunoaşterea/Înţelegerea complexităţii mediului IT Analiza riscurilor şi a controalelor IT la nivelul entităţii pentru a stabili dacă 3 strategia IT este aliniată cu strategia entităţii Planificarea evaluării sistemului contabil şi de raportare 1 Identificarea proceselor şi a fluxurilor de operaţiuni relevante Identificarea riscurilor semnificative şi a controalelor relevante asupra utilizatorilor 2 şi aplicaţiilor 3 Identificarea infrastructurii IT şi a controalelor generale Stabilirea pragului de semnificaţie în funcţie de nivelul/frecvenţa erorilor sau 4 deficienţelor sistemului Stabilirea testelor asupra controlului aplicaţiilor/utilizatorilor şi a controalelor 5 generale 1

4 Competenţe IT ale profesioniştilor contabili Nr. Competenţe Evaluarea sistemului contabil şi de raportare 1 Realizarea procedurilor/testelor planificate 2 Evaluarea controalelor generale IT şi a controalelor aplicaţiilor 3 Evaluarea relaţiilor dintre controalele generale şi controalele utilizatorilor/aplicaţiilor 4 Ajustarea procedurilor planificate în funcţie de modificarea circumstanţelor 5 Documentarea procedurilor şi a rezultatelor acestora 6 Analiza şi evaluarea procedurilor Comunicarea rezultatelor evaluării 1 Identificarea formelor cele mai eficiente metode de comunicare a rezultatelor 2 Stabilirea strategiei finale Mai multe detalii găsiţi la adresa: http://web.ifac.org/media/publications/d/handbook-of-international-e/ieps-2-information-techno.pdf Aspecte privind noţiunea sistem Aspecte generale Definiţii: un sistem reprezintă orice instanţă din viaţa reală pentru care se identifică un ansamblu de componente (fenomene, obiecte, procese, noţiuni, concepte, entităţi sau colectivităţi) aflate atât în relaţii reciproce, cât şi cu mediul înconjurător şi care acţionează în comun pentru atingerea unor obiective bine stabilite. într-o altă abordare sistemul este... un set de elemente diferenţiate conectate sau interrelaţionate încât să îndeplinească o funcţie unică care nu poate fi realizată de elementele privite în mod individual (Rechtin, 1991: 7) 2

Aspecte privind noţiunea sistem Entitatea economică abordare sistemică Având în vedere particularităţile constructive ale unei entităţi economice putem afirma ca aceasta se circumscrie caracteristicilor unui sistem, deoarece: prezintă o structură proprie constând dintr-o mulţime de elemente (departamente, secţii, servicii, activităţi etc); între elementele constitutive există o serie de fluxuri (materiale, financiare, informaţionale, umane etc.) care implică resursele entităţii; elementele disponibile şi fluxurile existente urmăresc realizarea unui anumit obiectiv. Aspecte privind noţiunea sistem Entitatea economică sistem cibernetic Lucrările în domeniul sistemicii au condus la definirea unui model care promovează viziunea sistemică asupra entităţii pe care o consideră formată din următoarele trei subsisteme: subsistemul managerial sau decizional este sediul activităţii decizionale a entităţii. subsistemul informaţional transmite datele şi informaţiile din sistem; subsistemul condus sau operaţional are loc culegerea datelor care apoi sunt transmise subsistemului informaţional; 3

2 Aspecte privind noţiunea sistem Entitatea economică sistem cibernetic Mediul economic Furnizori Clienţi Entitatea economică Sistem informaţional Intrări Prelucrări Ieşiri Feedback (conexiune inversă) Legiuitor Acţionari Competitori Sistemul informaţional contabil Funcţionarea tipică a unui sistem / sistem informaţional Intrări Prelucrări Ieşiri Feedback (conexiune inversă) Dacă sistemul informaţional se bazează pe o structură IT (folosirea calculatorului) atunci în etapa de prelucrare se interpun încă două elemente: procedurile şi Bazele/colecţiile de date. Proceduri Baze/ Colecţii de date Intrări Prelucrări Ieşiri Feedback (conexiune inversă) 4

Sistemul informaţional contabil Exemplificarea funcţionării sistemului informaţional contabil pentru achiziţii de stocuri: Contract % = 401.0x CA + TVA 3XX CA 4426 CA x %TVA Factura Proceduri Colecţii de date Intrări Prelucrări Ieşiri Feedback (conexiune inversă) Decizia de a cumpăra sau nu în perioada următoare Bilanţ RJ şi Balanţă Jcump şi D300 (4426) Situaţia furniz. (401.XX) Situaţia stoc. (3XX) 3 Sistemul informaţional contabil Într-o abordare generală pentru toate tipurile de operațiuni Intrări Prelucrări Ieşiri Documente (surse de date) Jurnale Situații financiare și Rapoarte Fișiere aferente Situații/Fișa cont Balanța de verificare 5

Auditul sistemelor informaționale In God we trust. Everyone else we audit! (Baczko, 2007: 787) Bagranoff et al. (2009) Auditul sistemelor informaționale In God we trust. Everyone else we audit! (Baczko, 2007: 787) Hall (2010:10) 6

Standarde relevante. Preambul Proliferarea tehnologiilor Globalizarea economică Standardizarea Limbaj comun şi competenţe specifice pentru certificarea, evaluarea sau auditarea sistemelor informaţionale 1. ISACA 2. ISO 2700X 3. ITIL 7

Structura referenţialelor ISACA Standarde ASI AUDIT FINANCIAR AUDIT INTERN CoBIT GUVERNANŢĂ IT ISACA RISK IT IDENTIFICAREA EVALUAREA GESTIONAREA RISCURILOR VAL IT EFICIENTIZAREA INVESTIŢIILOR IT Standardele ISACA ISACA Standardele ISACA pot fi folosite ca referenţiale pentru diverse tipuri de activităţi, printre care: ASI Audit financiar Audit intern Audit securitate Alte servicii 8

Standardele ISACA Information Systems Audit and Control Association [ISACA] 17 Standarde care definesc cerinţele obligatorii pentru realizarea unei misiuni de audit şi asigurare IT. Standarde 18 de Ghiduri oferă informaţii suplimentare pentru implementarea şi respectarea standardelor Standarde de audit şi asigurare Ghiduri Proceduri Proceduri care oferă diverse metode prin care auditorul unui sistem informaţional le poate utiliza în activitatea de audit. Lista completă a standardelor se găseşte aici: Standardele ISACA 1202 Evaluarea riscurilor. Auditorul trebuie să adopte o metodă de evaluare a riscurilor în faza de planificare pentru determinarea priorităţilor şi realizarea eficientă a activităţilor. Exemplu de aplicare a standardelor ISACA Standarde Standarde de audit şi asigurare Ghiduri 2202 Evaluarea riscurilor în planificarea misiunii. Metoda de evaluare poate fi cantitativă sau calitativă Proceduri P1 Metode de evaluare a riscurilor exemplifică patru metode de evaluare a riscurilor cu avantaje şi dezavantaje. 9

Controalele generale Controalele generale sunt acele controale care vizează mediul în care sistemele informaţionale sunt dezvoltate, gestionate şi utilizate şi ca atare sunt aplicabile tuturor zonelor entităţii. Identificarea exhaustivă a controalelor generale este o misiune dificil de realizat deoarece entităţile pot stabili politici proprii, relevante din perspectiva funcţionării şi securităţii sistemelor informaţionale care sunt incluse în strategia entităţii. IEPS 2 emis de IFAC prescrie competenţele IT pe care profesioniștii contabili trebuie să le deţină. Activităţile legate de tehnologia informaţiei pe care auditorii trebuie să le întreprindă în faza de planificare constă în: Identificarea, analiza şi evaluarea efectelor IT asupra entităţii auditate; Cunoaşterea/Înţelegerea complexităţii mediului IT; Alocarea sarcinilor membrilor misiunii sau specialiştilor care deţin cunoştinţe IT specializate pentru a analiza controalele IT la nivelul entităţii; Analiza riscurilor şi a controalelor IT la nivelul entităţii pentru a stabili dacă strategia IT este aliniată cu strategia entităţii (IFAC IEPS 2, 2009:62) 10

Identificarea, analiza şi evaluarea efectelor IT asupra entităţii; Vizează tendinţele existente în acest domeniu; aceasta activitate fiind o componentă esenţială pentru realizarea unui audit adecvat; Această activitate completează informaţiile obţinute de auditor despre specificul activităţii entităţii şi a sectorului de activitate; influenţând în acelaşi timp complexitatea IT şi riscurile generate de acesta la care entitatea se expune. Cunoaşterea/Înţelegerea complexităţii mediului IT şi analiza riscurilor; auditorul poate apela şi la arhitectura sistemului informaţional, dacă aceasta există; arhitectura sistemului informaţional al entităţii are ca punct de pornire obiectivele şi strategia entităţii, ceea ce presupune că entitatea a depus eforturi în vederea alinierii strategiei IT cu strategia entităţii; o asemenea aliniere facilitează şi implementarea unui mediu de control intern sănătos ca urmare a faptului că în elaborarea arhitecturii s-a ţinut cont de toate activităţile şi procesele importante, favorizând astfel identificarea riscurilor la care entitatea a fost expusă şi luarea unor măsuri pentru gestionarea acestora. 11

ISACA (2009:25) propune o abordare a controalelor IT din perspectiva ariei de aplicare al acestora asupra achiziţiei, implementării, utilizării şi susţinerii sistemelor şi serviciilor informaţionale, astfel: Controalele generale sunt acele controale care asigură minimizarea riscurilor asupra funcţionării sistemelor, aplicaţiilor şi a infrastructurii informaţionale în ansamblul lor. În cadrul acestor controale se diferenţiază: controalele universale sunt acele controale generale proiectate pentru a gestiona şi monitoriza mediul IT, şi ca urmare, afectează toate activităţile dependente de tehnologia informaţiei; controalele detaliate cuprind controalele de aplicaţii şi acele controale generale care nu au un caracter universal; În cadrul controalelor generale pot fi incluse: Dezvoltarea şi implementarea unei strategii privind sistemele informaţionale şi a unei politici de securitate corespunzătoare; Administrarea funcţiei IT; Separarea sarcinilor şi responsabilităţilor legate de IT; Proiectarea/achiziţia sistemelor; Planul privind continuarea activităţii; Politica de securitate şi accesul fizic. 12

Dezvoltarea şi implementarea unei strategii privind SI şi a politicii de securitate Are ca punct de pornire şi finalitate arhitectura entităţii. Pp. încadrarea sistemului informaţional în strategia entităţii şi alinierea cu aceasta; Alinierea SI se realizează prin evaluarea importanţei fiecărei activităţi şi proces desfăşurat. Evaluarea permite şi identificarea măsurilor de securitate care trebuie implementate pentru a asigura faptul că SI susţine realizarea activităţilor entităţii. Administrarea funcţiei IT/SI ca o componentă distinctă a fost determinată de recunoaşterea impactului pe care informaţiile şi SI o au asupra obiectivelor entităţii; Vizează întreaga activitate a entităţii => trebuie să se subordoneze managementului superior; 13

Separarea sarcinilor şi responsabilităţilor legate de IT Vizează eliminarea riscurilor generate de combinarea unor atribuţii privind gestionarea activelor IT, autorizarea şi înregistrarea operaţiunilor; Ex. cei implicaţi în proiectarea, implementarea şi gestionarea SI nu trebuie să aibă atribuţii pe linia înregistrării sau controlării operaţiunilor. Separarea sarcinilor în cadrul funcției IT/SI: Dezvoltarea sistemului existent; Migrarea/transferul pe un alt sistem Mentenanță/Întreținere; Planul privind continuarea activităţii (refacere în caz de dezastru) Vizează eliminarea, gestionarea riscurilor generate de întreruperile care pot apărea astfel încât să asigure funcţionarea sau refacerea într-un timp cât mai scurt a activităţilor sau proceselor esenţiale; Ptr. acest plan se impune o analiză a riscurilor care ar duce la întreruperea funcţionării activităţilor entităţii şi evaluarea impactului atât cantitativ (pierderi generate de indisponibilitatea paginii web) cât şi calitativ (afectarea imaginii entităţii în raport cu partenerii de afaceri). 14

Politica de securitate şi accesul fizic. Entitatea trebuie să formalizeze şi să implementeze politici eficiente privind securitatea informaţiei şi accesul la echipamentele şi locaţiile care conţin activele/bunurile sistemului informaţional; Politica de securitate trebuie să specifice regulile de bază ce trebuie respectate de către toţi angajaţii în vederea protejării activelor informaţionale. Controalele de securitate care pot fi implementate în acest sens ar putea fi: Controale fizice asigură protecţia mediului IT (camere video, alarme); Controale tehnice au în vedere în special controlul accesului (autorizarea şi monitorizarea accesului la bunuri informaţionale); Controale administrative sunt implementate în baza planului sau a politicii de securitate. Controalele de aplicaţii Acestea sunt proiectate şi implementate în cadrul fiecărei aplicaţii şi contribuie la îmbunătăţirea controlului intern. De asemenea, aceste controale ajută entitatea să răspundă celor şase obiective de audit referitoare la operaţiuni: realitatea sau existenţa, exhaustivitatea, acurateţea sau exactitatea, înregistrarea în perioada corectă, imputarea sau clasificarea corectă, sistematizarea şi sintetizarea corectă Standardele ISACA (2009) definesc controalele de aplicaţii ca fiind activităţi manuale sau automate menite să asigure exhaustivitatea şi acurateţea înregistrărilor şi validitatea datelor introduse. Standardele de audit (IFAC, 2009) consideră controalele de aplicaţii ca fiind forme ale controalelor detective şi preventive şi vizează integritatea înregistrărilor contabile. 15

Controalele de aplicaţii Din această perspectivă acestea sunt considerate proceduri utilizate pentru a iniţia, înregistra, procesa şi raporta tranzacţiile sau alte date financiare. IIA GTAG 8 (2007) consideră controalele de aplicaţii ca fiind acele controale care se referă la obiectivele proceselor şi aplicaţiilor individuale, inclusiv editarea datelor, separarea sarcinilor, înregistrarea tranzacţiilor efectuate şi raportarea erorilor. Controalele de aplicaţii asigură faptul că: datele introduse sunt exacte, complete, autorizate şi corecte; datele sunt procesate conform cerinţelor într-o perioadă de timp rezonabilă; informaţiile obţinute şi păstrate sunt exacte şi complete; se poate urmări şi reconstitui traseul urmat de date din momentul intrării, prelucrării şi obţinerii informaţiilor din sistem. Controalele de aplicaţii Principalele categorii ale controalelor de aplicaţii sunt: controlul intrărilor acele controale sunt utilizate în special pentru a verifica integritatea datelor introduse în aplicaţii; controlul prelucrărilor acestea oferă mijloace automate pentru a oferi o asigurare asupra faptului că prelucrările sunt complete, exacte şi autorizate; controlul ieşirilor acestea vizează rezultatul procesărilor şi presupune verificarea concordanţei cu datele de intrare; Controlul intrărilor este componenta cea mai importantă din cadrul controalelor de aplicaţii deoarece acestea trebuie să asigure faptul că sunt introduse în sistem doar date care reflectă operaţiuni reale, evaluate în mod corect, de către personal autorizat. Pentru un auditor aceste controale sunt importante deoarece: în majoritatea sistemelor controalele de aplicaţii sunt cele mai frecvente; activităţile realizate de personal/utilizatori sunt caracterizate de repetitivitate şi chiar monotonie ceea ce poate fi o premisă a prelucrării eronate a datelor; majoritatea tentativelor de fraudare a sistemelor informaţionale au loc în această fază deoarece nu necesită cunoştinţe specializate în informatică 16

Controalele de aplicaţii Controalele vizând datele de intrare pot fi atât manuale şi automate. Controalele manuale pot fi sub forma: autorizării operaţiunilor, întocmirii şi sistematizării documentelor justificative, angajarea de personal competent, recalcularea manuală a totalurilor pe categorii de operaţiuni, urmărirea traseului unei operaţiuni în documentele de sinteză (Jurnalul de cumpărări sau de vânzări, Registrul de casă, Jurnalul de bancă). Controalele automate sunt fie : specifice mediului în care operează aplicaţiile informatice: domenii de utilizatori sau conturi de utilizatori şi parole pentru sistemele de operare, programe antivirus şi firewall), controale implementate în cadrul aplicaţiilor care prelucrează date provenind din activităţile şi procesele entităţii (atât cele financiare cât şi cele nefinanciare) Controalele de aplicaţii O categorie importantă de controale de aplicaţii automate vizează asigurarea acurateței, a completitudinii şi integrităţii datelor. Printre acestea se numără: ferestre de lucru cu câmpuri predefinite (de exemplu lista furnizorilor) care pot fi modificate doar de către personalul cu atribuţii în acest sens; corelarea câmpurilor de preluare (asocierea dintre codul unui terţ şi contul analitic); limitarea tipului de date introduse prin definirea unor câmpuri care permit doar introducerea de date numerice sau caractere sau alfanumerice; validarea calculelor şi a operaţiunilor (pornind de la parametri predefiniţi, cotele de TVA sau cursurile valutare); Fixarea unor limite minime sau maxime privind valorile unor câmpuri (de exemplu plafonul plăţii în numerar către o persoana juridică); mesajele de confirmare a preluării şi validării datelor introduse (în condiţiile în care câmpurile esenţiale identificării şi urmăririi datelor au fost introduse); mesaje de eroare sau de atenţionare privind lipsa sau caracterul incomplet al datelor prin care se reflectă o operaţiune. 17

Controalele de aplicaţii Controalele prelucrărilor sunt de regulă automate şi au menirea de a asigura faptul că datele procesate sunt complete, exacte şi au fost autorizate facilitând în acelaşi timp preîntâmpinarea şi detectarea erorilor produse în timpul prelucrării acestora. Prin natura lor, aceste controale contribuie la asigurarea integrităţii datelor care reflectă operaţiunile entităţii. Din perspectivă informatică, operaţiunea se identifică cu noţiunea de tranzacţie şi are patru proprietăţi: atomicitate: o tranzacţie trebuie acceptată la procesare sau respinsă în totalitateşi fără ambiguitate. În eventualitatea eşecului oricărei operaţii, datele trebuie aduse la starea lor iniţială; consistenţă: tranzacţia trebuie să-şi păstreze toate proprietăţile invariabile; izolare: fiecare tranzacţie trebuie să se execute independent de alte tranzacţii ce se pot executa în mod concurent, în acelaşi mediu; durabilitatea: efectele rezultate în urma execuţiei unei tranzacţii trebuie să fie persistente. Controalele de aplicaţii Controalele asupra ieşirilor din sistem (controlul informaţiilor obţinute) trebuie să ofere siguranţa că datele oferite sunt corecte, şi distribuite numai persoanelor autorizate, în condiţii de siguranţă. Printre modalităţile de asigurare a corectitudinii şi acurateței informaţiilor obţinute este compararea acestora cu datele de intrare. Al doilea aspect vizat de controalele asupra ieşirilor, distribuirea informaţiilor doar către persoanele autorizate. Din această perspectivă se are în vedere clasificarea informaţiilor în funcţie de: importanţa acestora privind securitatea informaţiei natura utilizatorilor vizaţi. Astfel informaţiile pot fi secrete/confidenţiale, disponibile, sau publice. Măsurile de control se vor concentra în special pentru limitarea divulgării informaţiilor confidenţiale şi a celor disponibile. 18

2 ASI şi misiunile de audit financiar În cadrul standardelor internaţionale de audit emise de IFAC se fac referiri la situaţiile în care auditorul financiar apelează la cunoştinţele şi abilităţile unor experţi pentru atingerea obiectivelor misiunii de audit: "Auditorul poate răspunde riscurilor identificate de denaturări semnificative datorate fraudei, spre exemplu, prin desemnarea unor persoane suplimentare cu aptitudini şi cunoştinţe de specialitate, cum ar fi experţi specializaţi în domeniul IT, sau prin desemnarea unor persoane cu mai multă experienţă care să participe la misiune." 2 ASI şi misiunile de audit financiar Un alt organism profesional care a emis standarde de audit care tratează impactul tehnologiei sistemelor informaţionale asupra situaţiilor financiare este American Institute of Certified Public Accountants [AICPA] prin documentul de lucru AU Section 319 (2006) "Considerarea controlului intern într-un audit al situaţiilor financiare": "Auditorul trebuie să determine dacă sunt necesare cunoştinţe specializate în determinarea riscurilor IT asupra auditului, să înţeleagă controalele IT sau să stabilească şi să aplice teste ale controalelor IT sau teste substantive/de detaliu. Un expert care să aibă abilităţi în domeniul IT poate fi fie un membru al echipei sau un profesionist extern. 19

2 ASI şi misiunile de audit financiar Pentru a stabili dacă e nevoie de un asemenea profesionist în echipa de audit, auditorul (financiar n.a.) ia în considerare următorii factori: complexitatea sistemelor utilizate de entitate şi a controalelor IT precum şi maniera în care acestea sunt utilizate în activitatea entităţii; schimbările semnificative aduse sistemelor existente sau implementarea noilor sisteme; măsura în care datele sunt utilizate în comun de mai multe sisteme; măsura în care entitatea este implicată în comerţul electronic; utilizarea tehnologiilor emergente; importanţa probelor de audit care sunt disponibile numai în format electronic. 2 ASI şi misiunile de audit financiar Procedurile pe care auditorul (financiar n.a.) le realizează sau le pune în sarcina profesionistului care deţine cunoştinţe IT includ: interogarea personalului IT asupra modului în care tranzacţiile sunt iniţiate, înregistrate, procesate şi raportate; analiza controalelor IT descrise de entitate; inspectarea documentaţiei de sistem; observarea controalelor IT; planificareaşi realizarea testelor de control IT. Dacă se ia în calcul apelarea la un profesionist auditorul trebuie să aibă suficiente cunoştinţe în domeniul IT pentru a: comunica profesionistului obiectivele auditului; pentru a putea stabili dacă procedurile specificate vor duce la atingerea obiectivelor; pentru a evalua rezultatul procedurilor IT în corelaţie cu natura şi durata altor proceduri planificate. 20

2 ASI şi misiunile de audit financiar În procesul de identificare şi de evaluare a riscurilor un loc important îl ocupă sistemul informaţional în calitatea sa de componentă a controlului intern. Auditorul va obţine o înţelegere a sistemului informaţional, inclusiv a proceselor aferente ale întreprinderii, relevante pentru raportarea financiară, inclusiv următoarele domenii: clasele de tranzacţii din operaţiunile entităţii care sunt semnificative pentru situaţiile financiare; procedurile, atât cele din domeniul tehnologiei informaţionale (IT), cât şi sistemele manuale prin care sunt iniţiat, înregistrate, procesate, corectate, dacă este necesar, transferate în registrul general şi raportate în situaţiile financiare. înregistrările contabile aferente, informaţiile de susţinere şi conturile specifice din situaţiile financiare care sunt folosite pentru a iniţia, înregistra, procesa şi raporta tranzacţiile; aceasta include corectarea informaţiilor incorecte şi modul în care sunt transferate informaţiile în rapoarte. Înregistrările se pot face fie manual, fie în formă electronică; 2 ASI şi misiunile de audit financiar...continuare modul în care sistemul captează evenimentele şi condiţiile, altele decât tranzacţiile, care sunt semnificative pentru situaţiile financiare; procesul de raportare financiară folosit pentru întocmirea situaţiilor financiare ale entităţii, inclusiv estimările şi evidenţierile contabile semnificative; controalele care sunt în jurul înregistrărilor în jurnale, inclusiv înregistrările din jurnale care nu sunt standard şi care sunt folosite pentru a înregistra tranzacţiile care nu apar în mod frecvent, cele neobişnuite sau ajustările. (ISA 315, 2007:par.18) 21

Tipologia proceselor/operaţiunilor Din perspectiva controlului intern (Vaasen et al., 2009)şi a auditului (Arens & Loebbecke, 2003), literatura de specialitate indică următoarele procese sau fluxuri de operaţiuni principale: Achiziţii şi plăţi; Stocare; Procese principale Producţie; Vânzări şi încasări; Resurse umane; Investiţii (imobilizări); Procese secundare Încasări, plăţi şi gestionarea lichidităţilor; Contabilitate; Legătura dintre procese/fluxuri Relaţia dintre procesele entităţii Achiz. de servicii Achiziţii de bunuri + Imobilizări, mat. prime, materiale -/- Producţie + Produse finite -/- Vânzări + + + + Salarii datorate Datorii şi credite Înregistrare Contabilitate Creanţe -/- -/- -/- Plăţi -/- Lichidităţi (casa şi bancă) + Încasări Resurse umane Achiz. de stocuri şi imobilizări Stocarea bunurilor şi gestionarea lichidităţilor Vânzări Sursa: Vaasen et al., 2009: 146 22

23

2024 © artsdocbox.com Privacy Policy | Terms of Service | Feedback