Professional Documents
Culture Documents
TEZĂ DE DOCTORAT
CONDUCĂTOR ŞTIINŢIFIC,
PROF. UNIV. DR. ROŞCA I. IOAN
DOCTORAND,
GHEORGHE MIRELA
- BUCUREŞTI –
2004
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CUPRINS
Introducere 5
2
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
3
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
4
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
INTRODUCERE
5
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
6
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CAPITOLUL 1
În sens etimologic, cuvântul "audit" îşi are originea în latinescul "audire", care
însemna "a asculta, a audia". Acest termen şi-a extins, în timp, aria semantică preluând
sensuri precum "a examina, a verifica, a revizui conturi".
Trebuie însă precizat că evoluţia auditului nu s-a realizat doar în sens etimologic. O
scurtă incursiune istorică evidenţiază că au existat transformări chiar în ceea ce priveşte
obiectivele şi tehnicile utilizate în cadrul activităţii de audit: 1
Perioada Obiectivele auditului Tipul verificarii Importanţa
controlului
intern
Antica – 1850 Detectarea fraudelor Verificare detaliată Nerecunoscut
1850 – 1905 Detectarea fraudelor şi a Verificare detaliată; Nerecunoscut
erorilor Se introduce
1
R.G.Brown – “Changing audit objectives and techniques” studiu publicat in “The accounting review”,
citat de L.Dobroţeanu în “Audit – Concepte si Practici”, Ed. Economică, 2002.
7
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
tehnica sondajului
1905 – 1933 Detectarea fraudelor şi a Verificare detaliată
Uşor
erorilor; şi prin sondaj recunoscută
Exprimarea unei opinii
cu privire la
corectitudinea situaţiilor
financiare
1933 – 1940 Detectarea fraudelor şi a Verificare prin In creştere
erorilor; sondaj
Exprimarea unei opinii
cu privire la
corectitudinea situaţiilor
financiare
Dupa 1940 Determinarea gradului de Verificare prin Accent puternic
sinceritate în raportarea sondaj
situaţiilor financiare;
detectarea fraudelor şi
erorilor
Tabel 1.1. Formele incipiente ale auditului
Se observă că, în timp, obiectivul primordial al auditului a evoluat de la detectarea
fraudelor şi erorilor la certificarea situaţiilor financiare, la verificarea conformitaţii acestora
cu anumite criterii prestabilite. Schimbarea obiectivului auditului a necesitat evoluţia
tehnicilor de audit. În condiţiile globalizării economiilor şi internaţionalizării pieţelor
financiare, metodele tradiţionale de verificare, care implicau un control exhaustiv al
tranzacţiilor s-au dovedit mult prea costisitoare şi de durată. Din acest motiv, ele au fost
înlocuite cu tehnici de eşantionare şi sondaj statistic, tehnici asistate de calculator, auditorul
punând, în acelaşi timp, un accent deosebit pe eficienţa şi eficacitatea controlului intern.
În plus, pentru a veni în întâmpinarea complexităţii informaţiilor solicitate de
utilizatori, auditorul nu trebuie să asigure numai o ameliorare a credibilităţii situaţiilor
financiare ci şi servicii care să aducă un plus de valoare, precum raportarea iregularităţilor,
identificarea riscurilor afacerii şi oferirea unei consultanţe în ceea ce priveşte punctele
nevralgice ale controlului intern. În auditul modern, evaluarea situaţiilor financiare este,
adesea, completată cu constatări rezultate din auditul fluxurilor financiare, ceea ce asigură
un supliment de informaţii financiare fiabile.
Elementele prezentate anterior evidenţiază că paradigma auditului extern s-a
modificat iar rolul auditorului a fost redefinit. Schimbările vizează, în principal,
următoarele aspecte:
scopul activităţii de audit;
caracteristicile esenţiale ale independenţei misiunii de audit;
8
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
9
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
10
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
11
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
5
Mautz şi Sharaf citaţi de O'Reilly, M.B. Hirsch, P.L. Defiliese, H.R. Jaenicke, op. cit.
6
N. Feleagă, Îmblânzirea junglei contabilităţii, concept şi normalizare în contabilitate, Editura Economică,
1996.
12
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Atât auditorii cât şi managerii ar trebui să fie interesaţi în prezentarea unei imagini
fidele a situaţiilor financiare, deoarece adoptarea unor decizii de investiţii bazate pe
informaţii pertinente este benefică întreprinderii pe termen lung. Trebuie însă precizat că,
pe termen scurt, pot exista conflicte în ceea ce priveşte:
dezacordul onest asupra aplicării unei politici contabile;
încercarea managerilor de a cosmetiza situaţiile financiare, prin ameliorarea
performanţei publicate sau a gradului de atingere a altor obiective, pentru a-
şi spori propria remuneraţie sau acordarea unor bonificaţii suplimentare;
fraude manageriale.
Din acest motiv, pe tot parcursul activităţii desfăşurate, auditorii trebuie să
manifeste o atitudine sceptică faţă de informaţiile furnizate de conducerea entităţii.
3. Rezultatul unei misiuni furnizează asigurări rezonabile dar nu absolute că vor
fi detectate erori semnificative cauzate, în special, de nereguli.
Standardul de audit ISA 200 ajută la corelarea acestui postulat cu responsabilităţile
unui audit modern. Norma prevede că, un audit efectuat în conformitate cu standardele de
audit, are ca scop detectarea erorilor semnificative, inclusiv a fraudelor care pot afecta
situaţiile financiare. Auditorul nu este un garant. Responsabilitatea sa constă în a-şi exercita
îndatoririle cu maximă grijă şi competenţă, având un grad adecvat de scepticism
profesional.
4. Existenţa unui sistem de control intern satisfăcător reduce posibilitatea fraudei
şi erorilor.
Un sistem de control intern se bazează pe două elemente definitorii: separarea
responsabilităţilor în cadrul unei organizaţii şi verificarea internă propriu-zisă. Aceste două
elemente considerate împreună nu pot fi eficiente 100%, fapt care conduce la ipoteza că
este mai corect a spune că un sistem de control intern bun reduce eroarea, frauda,
manipularea rezultatelor, pierderea activelor, fără a elimina total riscul de apariţie a
acestora. În aceste condiţii, auditorul are nevoie de probe suplimentare faţă de cele
solicitate de un control intern, pentru a-şi fundamenta aprecierea rezonabilă despre
situaţiile financiare auditate.
5. Aplicarea constantă a principiilor general acceptate de contabilitate oferă o
imagine fidelă a situaţiilor financiare.
În momentul în care auditorul îşi exprimă opinia sa în legătură cu situaţiile auditate,
el consideră ca element de referinţă aplicarea principiilor contabile general acceptate în
13
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
14
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
AUDIT
15
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Auditul extern, recunoscut sub numele de audit independent, este efectuat pe bază
contractuală de către auditori independenţi, fie persoane fizice, fie persoane juridice, care
au misiunea de a certifica situaţiile financiare ale unei organizaţii.
Auditul intern, este „o activitate de evaluare în cadrul unei entităţi, activitate care
reprezintă un serviciu efectuat în favoarea entităţii. Funcţiile sale includ, printre altele,
examinarea, evaluarea şi monitorizarea corectitudinii şi eficienţei sistemului contabil şi a
sistemului de control intern”.
Importanţa actuală a auditului intern este subliniată şi de existenţa Institutului
Internaţional de Audit Intern (The Institute of Internal Auditors: IIA). Acestă instituţie
definea în 1999 auditul intern ca fiind "o activitate independentă şi obiectivă, care dă
asigurare unei organizaţii în ceea ce priveşte gradul de control deţinut asupra operaţiunilor,
o îndrumă pentru a-i îmbunătăţi operaţiunile…o ajută să-şi atingă obiectivele evaluând
procesele sale de management al riscurilor, de control şi de conducere şi avansând
propuneri pentru a le consolida eficacitatea".
Definiţia subliniază rolul de „consiliere” al auditorului intern, el realizând diferite
recomandări, pentru a ajuta la atingerea obiectivelor Controlului Intern.
Întrebarea care se pune este când şi de ce a apărut acest concept?
Funcţia de audit intern este una relativ recentă, apariţia ei fiind recunoscută în
perioada crizei economice din 1929-1933. Pentru a certifica situaţiile financiare, auditorii
externi trebuiau să desfăşoare numeroase activităţi pregătitoare: inventare de orice natură,
analize de conturi, sondaje variate, care necesitau timp îndelungat şi cheltuieli mari. Din
acest motiv, s-a sugerat ca anumite activităţi pregătitoare să fie preluate de personalul
întreprinderii. Cabinetele de Audit Extern şi-au dat acordul cu condiţia unei anumite
supervizări.
16
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
AUDIT
Auditul Auditul
Auditul intern
extern guvernamental
Realizat de
angajaţii
Efectuat de Realizat de
instituţiilor
auditori angajaţii
guvernamentale
independenţi, permanenţi ai
(Ministerul
pe o bază organizaţiei
Finanţelor
contractuală
Publice, Curtea
de Conturi)
Astăzi, chiar dacă Auditul Intern apare pornind de la Auditul Extern, cele două
activităţi sunt net diferenţiate, fiecare având obiective clar conturate. Astfel, se pot remarca
cel puţin opt diferenţe între Auditul Intern şi Auditul Extern:
1. Auditorul intern face parte din personalul organizaţiei, în timp ce auditorul
extern este un prestator de servicii, independent din punct de vedere juridic.
2. Auditul intern lucrează în folosul responsabililor organizaţiei, iar Auditul Extern
realizează certificarea situaţiilor financiare pentru o gamă largă de utilizatori:
investitori, manageri, salariaţi, clienţi, bănci, stat etc.
3. În timp ce obiectivul Auditului Intern este să aprecieze controlul asupra
activităţii întreprinderii şi să recomande acţiuni necesare ameliorării acestuia,
obiectivul Auditului Extern este să certifice imaginea fidelă a situaţiilor
financiare.
8
Donald Taylor, G. Glezen, op. cit.
17
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
18
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
19
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
20
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Continuitatea activităţii
În plus, trebuie precizat că angajaţii societăţii sunt implicaţi direct în desfăşurarea
procesului contabil, iar responsabilitatea finală pentru situaţiile financiare publicate revine
managerilor societăţii.
Auditul financiar apare la acea treaptă de dezvoltare a contabilităţii în care
informaţia contabilă a devenit atât de amplă şi complexă încât ideea de certitudine a
realităţii financiare nu a mai putut fi motivată cu tehnicile tradiţionale. Totodată, elaborarea
documentelor de sinteză a marcat evoluţia contabilităţii şi a prefigurat apariţia auditului
financiar. Auditul colectează şi evaluează informaţia furnizată de contabilitate, în vederea
exprimării unei opinii din partea auditorului cu privire la corectitudinea situaţiilor
financiare. În esenţă, existenţa auditului este legată de existenţa contabilităţii.
21
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
22
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
9
K.Naser – „Creative financial accounting: its nature and use”, Prentice Hall, 1993 , citat de N.Feleaga,
L.Malciu în „Politici şi opţiuni contabile”, Ed. Economică, 2002.
23
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
În mod concret, utilizarea tehnicilor de contabilitate creativă este unul din aspectele
urmărite de auditorul extern, datorită efectelor sale10:
Majorarea sau diminuarea cheltuielilor. Normele contabile lasă o anumită marjă de
manevră în cuantificarea cheltuielilor care aparţin unui exerciţiu. De exemplu, pentru
anumite active se indică doar numărul maxim de ani în care trebuie amortizate. O
durată mai mare sau mai mică de amortizare afectează mărimea rezultatului. În mod
similar, se pot analiza provizioanele şi posibilitatea activării anumitor cheltuieli.
Majorarea sau diminuarea veniturilor. In anumite cazuri, se poate grăbi sau încetini
recunoaşterea veniturilor prin aplicarea principiului prudenţei sau a principiului
conectării cheltuielilor la venituri.
Majorarea sau diminuarea activelor. Existenţa unei flexibilităţi, în ceea ce priveşte
calculul amortizării si provizioanelor, crează posibilitatea majorării sau diminuării
valorii nete a activelor. De asemenea, stocurile se pot evalua prin diferite metode şi, ca
urmare, valoarea lor poate fi diferită, cu efecte asupra contului de profit şi pierdere.
Majorarea sau diminuarea fondurilor proprietarilor. Modificarea veniturilor şi
cheltuielilor afectează mărimea rezultatului, şi în consecinţă, mărimea rezervelor. Se
modifică, astfel, valoarea fondurilor proprietarilor şi toate ratele calculate pe baza
acestora.
Majorarea sau diminuarea datoriilor. În unele ţări, normele contabile lasă posibilitatea
regularizării anumitor datorii, precum cele legate de pensionare, pe un interval de timp.
Ca urmare, o întreprindere interesată în majorarea rezultatului va proceda la
repartizarea datoriei pe o perioadă maxim permisă.
Reclasificarea activelor şi datoriilor. Uneori, pot exista dubii în ceea ce priveşte
încadrarea unui element într-o categorie sau alta. Este, de exemplu, cazul titlurilor, care
în funcţie de intenţia întreprinderii, trebuie înscrise în activele curente sau activele
necurente.
Manipularea informaţiilor prezentate în anexă. Lipsa unor informaţii relevante poate
afecta deciziile utilizatorilor externi.
Prezentarea informaţiilor. Criteriile utilizate în prezentarea informaţiilor contabile pot
reprezenta o portiţă pentru manifestarea creativităţii.
10
O. Amat, J. Blake - „Contabilidad creativa”, citat de N.Feleaga, L.Malciu în „Politici şi opţiuni contabile”,
Ed. Economică, 2002.
24
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Analiza elementelor prezentate relevă faptul că, adesea societăţile profită de breşele
existente în norme şi de flexibilitatea acestora în vederea distorsionării informaţiilor
publicate. Deşi există o diferenţă clară între contabilitatea creativă şi încălcarea deliberată a
legii, ambele fenomene apar în condiţii de dificultate financiară a întreprinderilor şi au la
bază intenţia de a înşela. În consecinţă, chiar dacă utilizarea contabilităţii creative nu este
ilegală, ea indică faptul că managerii, aflaţi sub presiune financiară, caută soluţii fără a-şi
mai pune problema respectării unor standarde etice.
CAPITOLUL 2
TEORIE ŞI DIMENSIUNI PRACTICE ALE STRATEGIEI GENERALE
REFERITOARE LA O MISIUNE DE AUDIT
25
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
26
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Probe de audit
III. EVALUAREA
CONTROLULUI INTERN ŞI A
SISTEMULUI CONTABIL
Identificarea controalelor
Evaluarea preliminară a riscului de Raport interimar
control asupra
Selecţia eşantioanelor controlului
Realizarea testelor de control intern
Raport de audit
simplificat
V. ACTIVITATEA DE
URMĂRIRE A
RECOMANDĂRILOR
AUDITORULUI
(FOLLOW-UP)
27
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
28
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
29
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
2.3. Planificarea
Cunoaşterea activităţii
entităţii
Analiza fraudelor şi
Desfăşurarea preliminară
erorilor
a procedeelor analitice
30
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
31
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
32
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Personalul afectat
Nume şi Prenume Funcţia Cod
Gheorghe Ion Şef Misiune M1
Radu Stefan Auditor A1
Iancu Alina Auditor junior AA1
Cod Ref. EA12
Nr Cod LUCRAREA Data Buget ore estimate
crt M1 A1 AA1 Total
L. prevăzută
I PA1 Orientarea şi planificarea 2004 7 15 8 30
auditului
1 Cunoaşterea societăţii Feb. 4 3 3 10
1.1 Identificarea domeniilor Feb. 3 6 6 15
semnificative
3 Redactarea planului de audit Feb. 3 2 - 5
II PA1. Contractarea lucrarilor Feb. 6 - - 6
III PA1/ Aprecierea auditului intern Mart. 9 13 18 40
EB.
3.1 Descrierea procedurilor, testelor Mart. 4 10 16 30
de “urmărire”, evaluarea
preliminară
3.2 Teste de control asupra Mart. 5 3 2 10
domeniilor semnificative,
evaluarea finală
IV PC1/ Controlul conturilor Apr. 25 25 10 60
EB1
4.1 Imobilizări necorporale
4.2 Imobilizări corporale
Imobilizări financiare
Stocuri şi produse în curs
…..
V. EA1. Verificarea bilanţului Apr. 15 15 - 30
VI. EA1 Evenimente posterioare Apr. 8 2 - 10
închiderii exerciţiului financiar
VII EA1 Chestionar al sfârşitului Apr. 10 5 - 15
lucrărilor
VIII EA1 Scrisoare de afirmare Apr. 10 - - 10
IX. EA1 Nota de sinteză Apr. 5 10 - 15
X. EA1 Raport de audit Apr. 8 12 - 20
10.1 Raport “scurt” Apr. 2 - - 2
10.2 Raport “lung” Apr. 6 12 - 18
Total buget ore 236
Tabelul nr. 2.1 Modelul unui program de audit11
2.3.1. Pragul de semnificaţie
11
Prelucrare după sursa: Toma M., Chivulescu M – „Audit financiar şi certificare a conturilor anuale”
33
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
misiunii sale că va lucra cu o anumită marjă de eroare. El trebuie să stabilească însă care
este mărimea erorii pe care o poate accepta, în cadrul fiecărei misiuni individuale.
Dimensiunea marjei de eroare determină pragul de semnificaţie, recunoscut ca o „graniţă”
de la care auditorul va trebui să detecteze eventualele anomalii semnificative, mărimea şi
natura acestora.
Printre categoriile de risc cu care se confruntă auditorul, se poate aminti şi riscul de
importanţă relativă, caracterizat în documentaţia grupului francez de expertiză şi audit
„Guerard –Viala”12 astfel: „Importanţa relativă nu este un risc în sine, ci un factor
important care permite auditorului să aprecieze amploarea altor riscuri (riscul economic,
riscuri legate de sisteme). Ea se referă, în principal, la valoarea operaţiilor prelucrate sau
susceptibile de a fi prelucrate, dar trebuie să ţină cont, de asemenea, de anumite elemente
calitative (natura rezultatului: profit sau pierdere, inversarea tendinţelor)”.
În abordarea sa, este necesar ca auditorul să ţină cont de acest concept, pentru a
determina:
sistemele semnificative, pentru care va trebui să se asigure că riscul legat de
controlul intern este cât mai mic posibil. În majoritatea societăţilor, sistemele
semnificative sunt: „vânzări-clienţi”, „cumpărări-furnizori”, „salarizare-
personal”, „producţie-stocuri”, „trezorerie”.
conturile semnificative, pe care va trebui să le verifice cu o rigoare mai mare. În
general, aceastea sunt toate acele conturi a căror valoare reprezintă o parte
importantă din conturile anuale, cât şi cele care prin natura lor, ar putea fi
susceptibile să reprezinte o parte importantă (ex: provizioane, amortizarea
imobilizărilor, etc.)
pragul de semnificaţie, care îi va permite să aprecieze dacă erorile dezvăluite
trebuie să fie corectate sau nu, pentru a emite o opinie fără rezerve.
Compania naţională a comisarilor de conturi din Franţa a definit pragul de
semnificaţie astfel: „Pragul de semnificaţie este măsura pe care o poate da auditorul
mărimii, de la care plecând, o eroare, o inexactitate sau o omisiune poate să afecteze
conformitatea cu regulile şi sinceritatea conturilor anuale, cât şi imaginea fidelă a
rezultatului operaţiilor, situaţiei financiare şi patrimoniului întreprinderii”. Astfel el poate fi
privit ca un filtru al calităţii prin care trebuie analizate toate informaţiile furnizate în
situaţiile financiare.
12
N.Feleagă, Îmblânzirea junglei contabilităţii, Editura Economică, Bucureşti 1996.
34
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
35
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
situaţiilor financiare. Nivelul pragului de semnificaţie stabilit pentru fiecare cont individual
sau fiecare tranzactie poartă numele de prag de semnificaţie individual sau eroare
tolerabilă corespunzătoare contului/tranzacţiei.
O metodă frecvent utilizată constă în divizarea valorii pragului global în funcţie de
ponderea soldului fiecărui cont în totalul conturilor analizate. Spre exemplu, considerând
valoarea de 100.000 u.m., considerată a fi pragul de semnificaţie global, cât este necesar să
se distribuie contului „ Clienţi”, în condiţiile în care acesta deţine o pondere de 20% din
totalul analizat ?:
100.000 u.m. * 20 % = 20.000 u.m
În cazul în care semnificaţia contului analizat este mai mare decât ponderea lui în
totalul conturilor, auditorul poate opta pentru o creştere a pragului de semnificaţie
individual. De asemenea, folosindu-şi experienţa şi raţionamentul profesional, auditorul
poate aprecia dacă anumite conturi sunt mai susceptibile de a prezenta erori, fapt ce-l va
determina la o corecţie similară.
Pragul de semnificaţie se analizează în două etape: în primul rând, la planificarea ariei
de cuprindere a testelor de audit şi, în al doilea rând, la exprimarea opiniei asupra
conturilor anuale.
În etapa de planificare, auditorul va stabili pragul de semnificaţie global, deoarece
această mărime are un impact invers proporţional asupra cantităţii muncii de audit ce
urmează a fi prestate, acţionând ca un ghid pentru extinderea testelor de audit. Evaluarea
pragului de semnificaţie, în raport cu soldurile specifice ale conturilor şi categoriilor de
tranzacţii, ajută auditorul să decidă :
cât de mult şi ce elemente (tranzacţii, înregistrări) să examineze
dacă să utilizeze tehnici de eşantionare
ce nivel de eroare este acceptabil pentru a-l conduce la formularea unei opinii.
La sfârşitul misiunii, valoarea pragului global îi va permite auditorului să aprecieze dacă
erorile constatate trebuie să fie corijate sau să facă obiectul unei menţiuni în raport.
Orice entitate este supusă riscurilor: riscuri legate de propria funcţionare a organizaţiei
şi riscuri specifice fiecărei activităţi. În scopul evitării riscurilor inacceptabile, organizaţia
îşi creează propriile măsuri de securitate şi control, tolerând riscurile acceptabile.
36
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Riscul de audit
13
Dominique Vincenti –„Dresser une cartographie des risques”, Revista de Audit 144, citata de Jacques
Renard în „Teoria şi practica auditului intern”.
37
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
RA = RI * RC * RND
în care:
RA - riscul de audit;
RI - riscul inerent;
RC - riscul de control;
RND -riscul de nedetectare.
Riscul inerent, reprezintă susceptibilitatea ca soldul unui cont sau al unei categorii
de tranzacţii să conţină erori semnificative, fie individual, fie cumulate cu erorile altor
solduri. Conform Standardelor internaţionale de audit, pentru evaluarea riscului inerent,
auditorul recurge la raţionamentul profesional având în vedere evoluţia clientului în ultimii
ani şi a sectorului în general. Acest risc inerent este analizat, mai întâi, ca un risc inerent
general, pe baza unui set de întrebări ce vizează 4 domenii: management, contabilitate,
afaceri şi audit. Astfel, riscul inerent general poate fi sporit sau diminuat de o serie de
factori, atât la nivelul situaţiilor financiare (reprezentaţi în figura 2.4) cât şi la nivelul
conturilor, al balanţei de verificare.
38
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Experienţa, competenţa
conducerii Risc Inerent Practicile contabile
Figura nr. 2.4 Factori de influenţă a riscului inerent, la nivelul situaţiilor financiare
După evaluarea riscului inerent general se va analiza riscul inerent specific ataşat unui
domeniu de audit (stocuri, creanţe, imobilizări corporale şi necorporale,...), ce evidenţiază
apariţia unor informaţii eronate semnificative. Aprecierea riscului inerent specific se va
realiza pe baza unui chestionar format din 6 întrebări, propus în Normele Minimale de
Audit, fiecare întrebare primind un răspuns pozitiv sau negativ:
1. Sistemele sunt predispuse la erori/sistem inadecvat/sistem manual necomputerizat?
2. Contabilii responsabili de acest domeniu sunt slab pregătiţi?
3. Tranzacţii complexe (natura tranzacţiei şi nu modul de înregistrare a acesteia)?
4. Suscpiciuni privind existenta fraudelor/pierderilor?
Riscul de control este riscul asociat carenţelor sistemului de control intern, care nu
va putea permite sesizarea erorilor posibile din situaţiile financiare (riscul ca sistemul
controlului intern să nu prevină sau să detecteze erori).
În general, după obţinerea înţelegerii sistemelor de contabilitate şi control intern, auditorul
va face o evaluare preliminară a riscului de control la nivelul aserţiunii, pentru fiecare sold
de cont sau categorie de tranzacţii. Apoi, după desfăşurarea testelor de control, se va
39
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Documentarea si
investigarea
Riscului de Control
Analiza informatiilor
despre industrie,.. Evaluarea
Riscului de Control
Desfaşurarea Testelor
Evaluarea de Control
Riscului Inerent
Reevaluarea Riscului
de Control
Calcularea
Riscului de Nedetectare
Proiectarea
procedurilor de fond
40
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
2.3.3. Eşantionarea
41
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
x − x0
regulă de verificare a reprezentativităţii unui eşantion într-o populaţie *100 ≤ 5% ,
x0
42
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
6. Evaluarea rezultatelor
1. Determinarea obiectivului
Eficacitatea aplicării unei tehnici de eşantionare este determinată de definirea precisă a
obiectivelor sale, auditorul subliniind ce urmăreşte să demonstreze, să probeze (spre
exemplu, un astfel de obiectiv poate viza validitatea conturilor clienţilor entităţii auditate ).
2. Determinarea populaţiei
Ansamblul datelor – în fapt, populaţia – asupra căruia auditorul doreşte să ajungă la o
concluzie şi din care urmează să preleveze eşantionul corespunzător trebuie să fie în
concordanţă cu obiectivul stabilit în etapa anterioară.
O analiză a populaţiei se impune a fi realizată şi ea vizeză, pe de o parte,
exhaustivitatea – completitudinea populaţiei considerată a fi supusă controlului şi, pe de
altă parte, omogenitatea (natura şi structura) acesteia, pentru că o extrapolare a rezultatelor
unui eşantion are valabilitate doar într-o populaţie rezonabil omogenă. În situaţia în care
populaţia nu este omogenă, se impune stratificarea acesteia în vederea obţinerii unor
rezultate pertinente, proces ce constă în divizarea unei populaţii în subpopulaţiii, având
caracteristici comune.
3. Calculul mărimii eşantionului
Literatura de specialitate, în speţă statistica, recunoaşte implicaţiile majore ale anumitor
caracteristici în vederea determinării eşantionului:
Coeficientul de încredere, definit ca o expresie procentuală a probabilităţii că
eşantionul ales este reprezentativ pentru populaţie. Un procent de 95%, spre
exemplu, va avea implicaţii asupra mărimii eşantionului definindu-l ca un eşantion
mare. Riscul de eşantionare este complementul acestei mărimi, fiind exprimat ca:
Riscul de eşantionare =1- Coeficientul de încredere.
Adeseori aceste mărimi pot fi determinate plecând de la ecuaţia riscului de audit,
RA = RC * RI * RND, în care RND=RE * RNE
şi având ca premise cunoscute, spre exemplu:
Risc inerent (RI)= 70%
Risc de control(RC)= 100%
Risc de neeşantionare(RNE)=70%
Risc de audit (RA)=5%, de obicei se consideră o constantă.
RA 5%
RE = = = 10% şi, implicit,
RC * RI * RNE 100% * 70% * 70%
43
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
σ0 = ∑ ( xi − x 0 ) 2 , unde x0 = ∑x
i =1
i
i =1
N N
xi - elementele populaţiei
N – mărimea populaţiei
x0 - media populaţiei
14
Lilea E., Goschin Z. – Statistica aplicată, Ed. Tribuna Economică, Bucureşti, 2002.
15
ACCA, Study text – Accounting and Audit Practice, nr 10, 2000
44
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Factor de încredere
Mărime eşantion =
Precizie (exprimatã în %)
în care factorul de încredere este furnizat de tabelulul 2.2 şi depinde de cei doi parametri:
gradul de încredere şi numărul de erori estimate.
Numărul Gradul de încredere asociat eşantionării
70% 80% 90% 95% 99%
de erori
0 1.21 1.61 2.31 3.00 4.61
1 2.44 3.00 3.89 4.75 6.64
2 3.62 4.28 5.33 6.30 8.41
3 4.77 5.52 6.69 7.76 10.05
Tabelul 2.2 Valorile asociate factorului de încredere16
Precizia este, teoretic, eroarea tolerabilă, apreciată adeseori ca 75% sau 50% din pragul de
semnificaţie individual.
În acest context, un exemplu de determinare a mărimii unui eşantion, plecând de la
premisele cunoscute:
Eroarea tolerabila = 5%.
Ccoeficientul de încredere =95% Factor de încredere = 3
Nr. erori asteptate =0
conduc la următorul rezultat - Mărimea eşantionului = 3 / 5% = 60 elemente
O analiză a variaţiei acestor elemente, transpusă în tabelul 2.3 generează următoarele
concluzii:
Eroare Grad de Număr de erori Mărime
tolerabila încredere aşteptate eşantion
5% 95% 0 60
7% 95% 0 43
5% 90% 0 46
5% 95% 1 95
Tabelul nr. 2.3 Variaţia factorilor ce determină mărimea eşantionului
16
prelucrare după I.Gray, S.Manson – „The audit process: principles, practice and cases”, ed. 2000.
45
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
46
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
4. Selectarea eşantionului
Principiul care guvernează procesul de selectare a elementelor dintr-o populaţie, în
vederea formării unui eşantion, este acela că fiecare individ trebuie să aibă o şansă egală de
a fi ales. Literatura de specialitate (statistica) recunoaşte diferite metode de selecţie:
Selecţie aleatorie
Selecţie sistemică – ce urmăreşte tehnica: se stabileşte un punct de pornire, de la
care, aplicând un pas fix se alege fiecare element.
Selecţie în bloc – alegerea spre exemplu dintr-un total de 100 de elemente pe cele
corespunzătoare poziţiilor 55-70.
Selecţie pe bază de hazard „ aşa zisa alegere cu ochii închişi”.
Odată stabilit eşantionul, auditorul va proceda la testarea rezultatelor acestuia, în
conformitate cu obiective de audit stabilite.
47
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
5. Evaluarea rezultatelor
Erorile constatate asupra eşantionului se vor extrapola la populaţia din care a rezultat,
metoda de extrapolare fiind întotdeauna compatibilă cu metoda de prelevare a eşantionului.
a) Metoda valorică
Valoarea populatie
Eroare în populaţie =Eroare găsită în eşantion *
Valoare esantion
Spre exemplu, să presupunem că auditorul a selectat un eşantion a cărui valoare este
apreciată la 400.000 u.m.(unităţi monetare), dintr-o populaţie de 5.000.000 u.m. În urma
aplicării procedurilor de fond, el va constata o eroare la nivelul eşantionului de 9.000 u.m.
Extrapolând această eroare, la întreaga populaţie, se va observa că aceasta este de:
5.000.000
9.000 u.m. * = 112.500 u.m.
400.000
Aşadar, valoare auditată a populaţiei = 5.000.000 u.m. – 112.500 u.m. = 4.887.500 u.m.
Asociat acestui caz, alte probleme ce pot apărea, sunt remarcate atunci când populaţia este
neomogenă, situaţie în care se impune stratificarea acesteia în vederea obţinerii unor
rezultate pertinente.
400
extrapolând-o la nivelul populaţiei va fi de: 9.000 u.m. * = 180.000 u.m.
20
Sistemul contabil al unei entităţi este format din ansamblul de metode şi documente
utilizate pentru a identifica, colecta, analiza, înregistra şi raporta tranzacţiile acesteia.
Auditorul trebuie să dispună de o înţelegere suficientă a acestuia pentru a putea identifica
48
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
49
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
17
Audit financiar 2000 – Standarde de audit, Ed. Economică, 2000.
18
Graham W. Cosserat – „Modern Auditing”, Ed. John Wiley & Sons, New York, 2000.
19
citat de Jacques Renard – „Theorie et pratique de l'audit interne”, Ed. d 'Organisation, Paris, 2002.
50
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
51
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Mediul de
control
Separarea îndatoririlor
Structura organizatorică a
entităţii este cel mai adesea
rezultatul filozofiei manageriale
şi ea reprezintă cadrul general Funcţia de audit intern
în care activităţile entităţii pot
fi planificate, executate,
controlate şi monitorizate.
52
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
20
Toma Marin, Marius Chivulescu – Audit financiar şi certificare a conturilor anuale
53
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
furniza probe adecvate de audit, dar ele singure nu sunt suficiente pentru a aprecia
un risc de control la un nivel redus.
Evaluarea preliminară a riscului de control
După o descriere a organizării controlului intern în cadrul entităţii, se poate realiza o
evaluarea preliminară a acestuia, punându-se astfel în evidenţă punctele forte şi slabe ale
sistemului existent, toate acestea concurând la determinarea ariei testelor de control ce vor
fi realizate în faza următoare.
54
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
PROBE
DE
Documentele contabile
şi primare ce stau la baza Reglementări
situaţiilor financiare contabile
(facturi, chitante,
contracte, procese
verbale, balanţa de
verificare, registrul jurnal)
55
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Figura nr.2.8 Relatia între riscul de audit, pragul de semnificaţie şi probele de audit21
21
Graham W. Cosserat – „Modern Auditing”, Ed. John Wiley & Sons, New York, 2000.
56
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Astfel, dacă menţinem, de exemplu, riscul de audit constant, dar reducem mărimea
pragului de semnificaţie se observă necesitatea creşterii probelor de audit. Similar, dacă
menţinem mărimea pragului de semnificaţie constantă şi reducem probele de audit,
impactul se răsfrânge asupra riscului de audit, prin creşterea acestuia.
Auditorul poate obţine probe de audit prin aplicarea uneia sau mai multor
proceduri : inspecţia, observaţia, investigarea şi confirmarea, calcule şi proceduri analitice.
Adesea, în cursul aceleiaşi misiuni, se pot utiliza două procedee pentru acelaşi obiectiv în
vederea validării, rezultatele uneia certificând rezultatele celeilalte proceduri.
În viziunea Standardului de audit 500 “Probe de audit”, inspecţia “constă în
examinarea documentelor, înregistrărilor sau imobilizărilor corporale. Inspecţia
înregistrărilor şi documentelor furnizează probe de audit cu grade de credibilitate variate,
depinzând de natura şi sursa lor, precum şi de funcţionarea efectivă a controalelor interne
în timpul procesării informaţiilor”.
Probele de audit cu caracter documentar care furnizează grade diferite de
credibilitate pentru auditor sunt cele:
elaborate şi păstrate de terţe părţi;
elaborate de terţi şi păstrate de entitate;
elaborate şi păstrate de entitate.
Inspecţia imobilizărilor corporale poate furniza probe de audit credibile în ceea ce priveşte
existenţa lor, însă nu în ceea ce priveşte proprietatea sau valoarea lor.
Observaţia este un instrument cu aplicare universală, deoarece totul este observabil.
Procedura constă în “urmărirea unui proces sau a unei proceduri efectuate de către alte
persoane, cum ar fi spre exemplu observarea de către auditor a inventarierii stocurilor, de
către personalul organizaţiei”22.
Investigarea şi confirmarea.
Investigarea constă în obţinerea de informaţii prin adresarea de întrebări, scrise sau
verbale, persoanelor din interiorul sau exteriorul entităţii. Răspunsurile la investigaţii pot
oferi auditorilor informaţii noi, informaţii care se coroborează cu alte probe de audit. O
22
Audit financiar 2000 – Standarde de audit, Ed. Economică, 2000.
57
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
misiune de audit care s-ar limita numai la interviuri ar putea fi considerată drept un sondaj
de opinie.
Confirmarea constă în răspunsul la o investigaţie pentru a corobora informaţiile
conţinute în documentele contabile justificative. Aceste confirmări sunt adresate, în
general, terţilor, un exemplu în acest sens, frecvent întâlnit în cadrul unei misiuni de audit,
fiind confirmarea creanţelor existente prin consultarea debitorilor sau confirmarea
disponibilităţilor din bancă, prin solicitarea unor extrase de conturi (confirmări bancare).
Calculul constă în verificarea manuală sau informatizată a acurateţei matematice a
sumelor cuprinse în documentele primare, a ecuaţiilor contabile.
Procedurile analitice se referă la analiza indicatorilor economico-financiari, analiza
fluxurilor nete.
Standardul de audit 501 “Probe de audit - Consideraţii suplimentare pentru
elemente specifice” prevede proceduri suplimentare pentru acele valori semnificative
cuprinse în situaţiile financiare:
Participarea la inventarierea stocurilor;
Confirmarea creanţelor;
Investigaţii cu privire la litigii şi revendicări ;
Evaluarea şi prezentarea investiţiilor pe termen lung.
Participarea la inventarierea stocurilor. Atunci când stocurile sunt semnificative
pentru situaţiile financiare, auditorul va obţine probe adecvate şi suficiente privind
existenţa şi starea lor prin participarea la inventariere. O astfel de activitate îi va permite
auditorului să constate existenţa lor, să observe conformitatea operaţiunilor cu procedurile
stabilite de conducere asupra înregistrării şi controlul rezultatelor inventariate. Practica, a
semnalat adeseori şi situaţii când auditorul nu poate participa la inventariere (din motive
întemeiate), iar în acest caz el poate folosi alte proceduri alternative, cum ar fi: aplicarea
testelor de control – colectarea listelor de inventariere folosite, numărarea stocurilor,
identificarea produselor în curs de execuţie, a stocurilor fără mişcare sau cu mişcare lentă,
stocuri aflate la terţi.
Confirmarea creanţelor. Confirmările directe din partea debitorilor constituie probe
de audit credibile despre existenţa creanţelor şi acurateţea soldurilor înregistrate în situaţiile
fianciare. Există însă situaţii, când debitorii nu răspund cererii de confirmare, iar auditorul
trebuie să apeleze la procedurile alternative: examinarea încasărilor de numerar ulterioare
58
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
aferente unui anumit client sau a înregistrărilor contabile efectuate la sfârşitul exerciţiului
financiar.
Cererea de confirmare a soldurilor poate lua o formă pozitivă, atunci când debitorul
este rugat să confirme acordul sau să-şi exprime dezacordul în legătură cu soldul
înregistrat, sau o formă negativă situaţie care apare când este cerut un răspuns numai în
eventualitatea unui dezacord în legătură cu soldul înregistrat.
“Confirmările pozitive oferă probe de audit mai credibile decât confirmările
negative. Alegerea între forma pozitivă şi cea negativă va depinde de circumstanţe,
incluzând evaluarea atât a riscului inerent, cât şi a celui de control.”
Investigaţiile privind litigiile şi revendicările. În general litigiile şi revendicările pot
avea un efect semnificativ asupra situaţiilor financiare, fapt pentru care este necesară
prezentarea şi/sau provizionarea lor. Aceste investigaţii se concretizează în: obţinearea de
declaraţii, revizuirea proceselor verbale ale Consiliului de Admininstraţie, actelor încheiate
cu avocaţii firmei, examinarea conturilor de cheltuieli privind taxele de timbru şi judiciare.
Evaluarea şi prezentarea investiţiilor pe termen lung. Atunci când investiţiile pe
termen lung sunt semnificative pentru situaţiile financiare, auditorul trebuie să obţină probe
privind evaluarea şi prezentarea lor. Conturile de investiţii pot fi validate prin informaţii
primite de la conducerea entităţii, prin cotaţiile de piaţă – care oferă informaţii privind
valoarea lor, şi compararea acestor valori cu valoarea contabilă înregistrată în situaţiile
financiare.
Testele de control
59
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
veridicitatea controlului intern şi a sistemului contabil, adică măsura în care acestea permit
prevenirea sau detectarea şi corectarea erorilor semnificative şi a fraudelor, cât şi modul de
desfăşurare al controalelor interne de-a lungul perioadei.
Altfel spus, prin aceste teste, auditorul urmăreşte conformitatea controlului intern
existent în cadrul entităţii cu măsurile scrise adoptate de aceasta pentru a asigura
integritatea patrimoniului, eficienţa activităţilor desfăşurate şi consecvenţa de aplicare a
acestui control (permanenţa sa). Abaterile semnalate pot fi cauzate de factori, cum ar fi
schimbări ale personalului cheie, fluctuaţii sezoniere semnificative în volumul tranzacţiilor
şi erori umane, ceea ce implică din partea auditorului efectuarea unor cercetări detaliate
privind aceste aspecte, în special cercetări privind schimbările personalului din funcţiile
cheie ale controlului intern.
Într-un mediu informatizat, obiectivele testelor de control nu diferă de cele
corespunzătoare unui mediu manual ; cu toate acestea, unele proceduri se pot nuanţa
incluzând şi viziunea controlului "instrumentului informatic " : controlul general al
sistemului informaţional şi controlul aplicaţiilor informatice, cu testele de control specifice.
Tehnicile clasice de audit sunt reprezentate de : descrieri narative, chestionare
(chestionarul de control intern), diagramele de flux de date (flowchart) care pot fi utilizate
în mod singular sau în mod combinat. Astăzi, se constată un ritm accelerat de înlocuire a
acestora cu tehnicile moderne, asistate de calculator. Astfel, instrumente de interogare a
datelor pot fi adecvate atunci cînd sistemul de control intern şi de contabilitate nu
furnizează probe evidente care să documenteze performanţa controalelor interne.
60
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
elementele reflectate în debitul sau creditul unui cont sunt reale şi au la bază documente
justificative care să le ateste integritatea şi caracterul complet.
În esenţă, auditorul, plecând de la documentele justificative, urmăreşte înregistrarea
integrală, completă şi corectă a acestora în contabilitate sau, invers, analizează problema
plecând de la înregistrările contabile, caz în care verifică dacă există documente
justificative care să ateste existenţa reală a activelor şi pasivelor şi valoarea
corespunzătoare. Ultimul sens este recunoscut în literatura de specialitate şi sub sintagma
de “audit trail“ (traseu al auditării) care, într-un cadru general, poate fi privit ca o
întoarcere la originea operaţiunilor care au condus la determinarea rezultatelor. Deşi la
origine a fost un instrument de control contabil, mai mult sau mai puţin recunoscut de
specialişti, el este astăzi utilizat cu precădere într-o contabilitate informatizată, fiind
recunoscut ca un instrument al auditorului intern.
Împrumutată din contabilitate, în domeniul sistemelor informatice23 „ traseul auditării
presupune refacerea tuturor activităţilor care au afectat o informaţie, din momentul
introducerii acesteia în sistem şi până la părăsirea acestuia. Traseul auditării documentează
calea pe care o parcurg datele de la intrarea în sistem şi până la ieşire şi trebuie să
jurnalizeze suficiente informaţii pentru a reconstitui sau verifica întregul ciclu, fie manual,
fie prin proceduri informatizate”.
Unul dintre specialiştii în domeniu, Weber24 precizează că în orice sistem trebuie să
existe două tipuri de trasee ale auditării:
Unul contabil, care menţine înregistrări cu privire la evenimentele din cadrul
sistemului
Unul operaţional, care menţine înregistrări cu privire la resursele consumate de
către fiecare eveniment.
Astăzi, acest instrument poate oferi informaţii ce permit atât o verificare a documetelor
contabile care să ateste operaţia generată cât şi o identificare a persoanei, calculatorului,
datei şi orei la care s-au introdus aceste date.
În concluzie, aceste teste de detaliu permit depistarea tranzacţiilor fictive care pot
genera o supraevaluare sau o subevaluare a elementelor din situaţiile financiare. Tot în
cadrul acestei categorii sunt incluse şi testele de verificare a modului de aplicare a
principiului independenţei exerciţiilor.
23
Microsoft Encarta Online Encyclopedia 2001 http://encarta.msn.com
24
citat Munteanu, A. – Auditul sistemelor informaţionale contabile, Ed. Polirom, 2001.
61
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Într-un cadru general, frauda poate fi definită ca un act de rea credinţă săvârşit de o
persoană, de obicei pentru a realiza un profit material de pe urma atingerii drepturilor
altuia, adică o acţiune comisă cu intenţia de a înşela. Normele internaţionale de audit
menţioneză că termenul de “fraudă se referă la o acţiune cu caracter intenţionat întreprinsă
de una sau mai multe persoane din rândul conducerii, salariaţilor sau terţilor, acţiune ce are
62
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
63
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
unele erori semnificative din situaţiile financiare să nu fie descoperite, iar auditorul să
formuleze o opinie eronată. Ceea ce sporeşte riscul de fraudă sunt carenţele funcţionale ale
sistemului contabil şi de control intern. În afara acestora, se mai pot adăuga:
dubii referitoare la integritatea sau competenţa conducerii;
presiuni neobişnuite în cadrul sau asupra unei entităţi;
tranzacţii neobişnuite;
probleme în obţinerea unor probe de audit corespunzătoare.
A evalua Controlul Intern înseamnă a lupta împotriva fraudei. Noel PONS25 enunţa
un principiu esenţial pe care auditorii, în speciali auditorii interni, nu trebuie să-l uite
“frauda creşte din lipsă de transparenţă” şi, tocmai de aceea, cea mai bună prevenire a
fraudei este controlul intern.
Responsabilitatea pentru prevenirea şi detectarea fraudelor aparţine conducerii,
auditorul extern putând juca un rol pozitiv în prevenirea acestora, dar nu el are
responsabilitatea de a detecta şi demonstra frauda.
Un interes aparte apare astăzi, când evoluţia tehnică a cunoscut o creştere fără
precedent, asupra fraudei cu ajutorul calculatorului – cunoscută în literatura de specialitate
şi sub denumirea de “criminalitate informatică”. Pe măsură ce progresele în domeniul
tehnologiei informaţiei se înregistrau într-un ritm alert, de o amploare deosebită s-au
remarcat şi metodele, mijloacele de săvârşire a infracţiunilor cu ajutorul calculatorului.
Aceste atacuri ilicite cât şi o proastă exploatare a sistemelor informatice pot produce
pagube financiare semnificative. Grave prejudicii pot rezulta şi din divulgarea unor
informaţii sensibile sau strategice privind politicile de dezvoltare a unor noi produse,
informaţii financiare sau de clientelă. Se impune astfel asigurarea securităţii sistemelor
informaţionale cât şi a datelor stocate pe acestea.
Nu puţine sunt exemplele de fraudă cu ajutorul calculatorului, iar statisticile arată
că pierderile rezultate din prelucrările informatice sunt, de regulă, mai mari decât în cazul
fraudelor tradiţionale. O tehnică mult mediatizată şi folosită o reprezintă aşa zisa "fraudă
salam", care constă în introducerea unor linii de cod în programul ce calculează şi bonifică
dobânzile bancare, pentru a "rotunji în jos" aceste sume ale clienţilor, iar cumularea
progresivă a lor este transferată în contul infractorului. Ea poate avea o aplicabilitate şi în
calculul drepturilor salariale ale angajaţilor unei companii. Tehnicile disponibile sunt foarte
diversificate: "calul troian informatic" este un cod de program neautorizat implantat într-un
25
Citat în Renaerd J. - Teoria si practica auditului intern, 2002, Ed. d 'Organisation, Paris, 2002.
64
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
65
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
66
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
În loc de încheiere…
67
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Pornind de la această premisă, strategia unei misiuni de audit, într-o formă detaliată,
permite o structurare a activităţilor misiunii conform figurii.2.8 :
68
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
69
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
În acest sens, prin analiza figurii 2.8 se evidenţiază faptul că etapa a 6-a poate fi realizată
numai dacă controalele evaluate în etapa a 5-a au fost eficiente.
Etapa 7. După evaluarea sistemului de control intern şi realizarea testelor de control,
auditorii îşi vor rezuma concluziile şi recomandările într-o scrisoare interimară de apreciere
a controlului intern, adresată managementului entităţii.
E. Testarea situaţiilor financiare
Etapele 8 şi 9. Acestea nu se referă la modul de operare a sistemului, ci probează
valorile (cifrele) din jurnalele contabile şi, eventual, conturile anuale. Testele de detaliu
sunt proiectate să evalueze, pe de o parte, efectul erorilor, dacă acestea există şi, pe de altă
parte, să verifice valorile (cifrele) din conturile anuale şi să opereze ajustările necesare.
F. Exprimarea opiniei.
Practica recunoaşte două tipuri de opinii formulate de auditor: una statutară şi una non
statutară.
Etapa 11. Raportul de audit este rezultatul final al activităţii de audit, în care auditorul
îşi exprimă, în mod clar, opinia sa independentă asupra situaţiilor fianciare auditate.
Etapa 12. Practica recunoaşte o a doua formă de raport, modelul detaliat adresat în
general managementului şi Adunării generale a Acţionarilor. Acest raport descrie într-o
formă mai amplă elementele pozitive şi negative ale societăţii, aducând în plus sugestii şi
recomandări asupra îmbunătăţirii sistemului.
70
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CAPITOLUL 3
PARTICULARITĂŢI ALE CONTROLULUI INTERN ÎNTR-UN MEDIU
INFORMATIZAT
71
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
72
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
73
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
generează noi riscuri şi orice organizaţie, în vederea asigurării unei protecţii eficiente a
informaţiilor, este necesar să dezvolte un proces complex de studiu şi analiză a riscurilor.
Riscul IT se manifestă prin intermediul componentelor sale proprii: ameninţări,
vulnerabilităţi şi impact. Ameninţările exploatează vulnerabilităţile unui sistem cauzând
impactul şi în esenţă, combinaţia celor 3 elemente determină mărimea riscului. Riscul la
nivelul unei organizaţii nu poate fi eliminat, el va exista întotdeaua, managmentul societăţii
fiind responsabil de reducerea lui la un nivel acceptabil. În acest sens, figura 3.1 pune în
corespondenţă diferite elemente ce necesită a fi luate în calcul pentru reducerea riscului.
Ameninţările Exploatează
Care protejează
Cresc
Vulnerabilităţile
Măsurile de
Reduc Cresc
securitate
Expun
Care sunt Riscurile
limitate de IT
În general, riscurile asociate unui sistem informaţional, pe care orice auditor trebuie să
le analizeze şi evalueze (tehnica frecvent utilizată în acest caz este chestionarul), în vederea
aprecierii sistemului în sine, vizează:
Riscul securităţii fizice ce va fi evaluat în funcţie de informaţiile culese, cu
privire la: existenţa sistemelor de pază, detecţie şi alarmă a incendiilor,
sistemelor de protecţie împotriva căderilor de tensiune, protecţia echipamentelor
26
Prelucrare după INTOSAI IT AUDIT COMMITTEE – IT Security , note de curs, www.intosai.com
74
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
75
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Modelele de risc, fie ele cantitative sau calitative, reprezintă instrumente deosebit
de utile auditorilor IT pentru identificarea diferitelor tipuri de risc, oferind în acelaşi timp
informaţii pentru a le determina şi controla.
Literatura de specialitate abordează două modele de analiză a valorii riscului:
modelul cantitativ şi modelul calitativ ; acestea pornesc de la premisa că orice organizaţie
se poate aştepta la apariţia unor pierderi cauzate de ineficienţa unui sistem informatic, iar
76
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
acest risc al pierderilor, rezultă din impactul pe care îl au ameninţările asupra resurselor
organizaţiei.
Modelul cantitativ se bazează pe următoarele elementele:
valoarea monetară credibilă a activelor;
“impactul” ca procent din valoarea activelor;
probabilitatea pierderilor anuale;
pierderea anuală aşteptată;
costul controlului şi măsurilor de precauţie
incertitudinea.
Impactul generat de o singură ameninţare sau pierderea potenţială asociată unei singure
apariţii se calculează astfel:
Impact=FV * VA sau PPA = FV * VA
Pierderea anuală anticipată este influenţată de rata anuală a apariţiei riscului şi poate fi
determinată astfel:
PAA = PPA * RAA
unde: FV – factor de vulnerabilitate
VA – valoarea activului
PPA – pierderea potenţială asociată unei apariţii.
PAA – pierdearea anuală anticipată
RAA - rata anuala a apariţiei
O astfel de analiză include de asemenea o evaluare a raportului cost/beneficii ce va facilita
proiectarea ratei de recuperare a investiţiilor (ROI) pentru un anumit set de controale.
ROI=Benefiii nete/Cost
Aceste modele matematice furnizează un rezultat concret, dar care trebuie inclus în mediul
economic şi observat dacă el reprezintă realitatea.
27
Modelul prezentat este descris în articolul „Modeling information risk elements” („www.theiia.org/itaudit”)
77
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
78
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
79
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Soluţia prezentată anterior nu este general valabilă, auditorii putând să-şi folosească
experienţa profesională în funcţie de particularităţile situaţiei analizate. Tabelul 3.2 prezintă
informaţii relevante pentru analiza riscului, în cazul ales.
80
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
VR = VF * [(Cv*Wv)+(Cc*Wc)+(Ci*Wi)]
Deci,
1. VR=250.000.000*[(3*0.33)+(3*0.33)+(3*0.33)]=750.000.000 $
2. VR=400.000.000*[(2*0.33)+(1*0.33)+(3*0.33)]=266.666.666 $
Aceste valori vor fi interpretate cu ajutorul “tabelului de traducere” a valorii riscului
(tabelul 3.1) astfel:
pentru sistemul conturi curente – riscul este considerat Foarte Înalt.
pentru sistemul asociat schimburilor valutare – riscul este considerat Înalt.
Concluziile finale ale acestei analize pot fi considerate drept premise pentru crearea
planului de audit sau pentru determinarea nivelului de control care trebuie implementat.
81
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Controlul
Controlul
continuităţii
organizaţional
activităţii
Controlul
General
Controlul Controlul
dezvoltării şi securităţii
întreţinerii sistemului
sistemului
Figura nr.3.2 Componentele controlului general
82
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
83
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
84
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
85
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
86
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
87
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
29
Oprea D. – Protecţia şi securitatea informaţiilor, Ed. Polirom, 2003.
88
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
89
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
90
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Posibile impacturi:
1. Dezvăluirea secretelor companiei, a datelor despre clienţi, dezvăluirea informaţiilor
contabile.
2. Modificarea datelor contabile, datelor despre partenerii organizaţiei (furnizori,
clienţi,..).
3. Atacuri din partea unor persoane care pretind că reprezintă compania.
4. O campanie publicitară negativă ce poate divulga punctele slabe ale sistemului
(breşele de securitate) hackerilor.
5. O campanie publicitară negativă ce poate conduce la modificarea, ştergerea
informaţiilor despre partenerii societăţii.
6. Perturbarea majoră a proceselor organizaţiei.
7. Perturbarea majoră a reţelei.
8. Pierderea confidenţialităţii clienţilor.
9. Organizaţia poate fi acuzată legal (neglijenţă în aplicarea legii sau chiar încălcarea
ei).
10. Reducerea calităţii serviciilor
11. Fraude informatice
91
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
12. Reţeaua poate fi utilizată ca o bază pentru atacatori, în vederea distrugerii altor site-uri.
5. Calculul riscului
Într-un capitol anterior, au fost prezentate mai multe metode cantitative sau calitative de
determinare a riscului recunoscute în practică, conform cărora relaţia de determinare a
riscului poate fi prezentată sintetic astfel:
Risc = Impact * Probabilitate
Care este probabilitatea apariţiei ameninţărilor ? Experţii tehnici pot evalua mai bine decât
cei financiari acest element ca un număr pe o scară de la 0 ... 5.
1 – ameninţarea este foarte improbabil să apară
2 – ameninţarea e posibil să apară mai puţin de o dată pe an
3 - ameninţarea e posibil să apară o dată pe an
4 - ameninţarea e posibil să apară o dată pe lună
5 - ameninţarea e posibil să apară o dată pe săptămână
6 - ameninţarea e posibil să apară o dată pe zi
Riscul poate avea o valoare minimă 0 şi una maximă 25. Auditorul în această etapă va seta
o valoare a riscului acceptabil.
92
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Ameninţarea
Minimizarea
Control probabilităţii de Creează Control
apariţie
restrictiv corectiv
Exploatează
ATAC
Descoperă
Control
detectiv Vulnerabilitatea
30
Prelucrare după sursa: www.security-risk-analysis.com – COBRA Risk Consult
93
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Riscul rezidual ia forma unai concluzii la care s-a ajuns în urma unui proces de
analiza a lui şi trebuie să conţină:
semnalarea punctelor slabe, nevralgice ale sistemului asociate cu
ameninţările corespunzătoare şi probabilitatea lor de a avea loc;
toate măsurile (recomandările) ce se impun a fi aplicate dacă riscul rezidual
nu se încadrează la un nivel acceptabil.
31
Prelucrare după sursa: www.security-risk-analysis.com – COBRA Risk Consult
94
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
K K'
Figura nr.3.6 Tehnica de criptare a unui mesaj
un "mesaj clar" este supus unei transformări (criptare) prin intermediul unei chei (K)
rezultând un text cifrat numit criptogramă. Textul cifrat este transmis prin mediul de
comunicaţie către un destinatar, care cu ajutorul unei chei de descifrare (K') obţine
"mesajul clar".
Sistemele criptografice se pot clasifica în sisteme simetrice şi asimetrice.
Sistemele de criptare simetrice - folosesc o singură cheie atât pentru incriptare, cât
şi pentru decriptare solicitând o încredere reciprocă a părţilor implicate. Altfel spus,
expeditorul criptează textul clar cu ajutorul unei chei secrete, iar destinatarul va decripta
mesajul criptat folosind aceeaşi cheie, reuşita fiind asigurată de secretizarea cheii. Ideal ar
fi ca o astfel de cheie simetrică să fie utilizată o singură dată. Nu în ultimul rând succesul
sistemului se bazează pe dimensiunea cheii. Astfel, dacă ea are mai mult de 128 biţi, este o
cheie sigură, ceea ce înseamnă siguranţă în exploatare.
95
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Cel mai cunoscut sistem bazat pe chei simetrice este Data Encryption Standard
(DES), conceput în 1972, ca o dezvoltare a algoritmului Lucifer al firmei IBM.
Sistemele de criptare asimetrică folosesc două chei: una publică şi una privată, ele
reprezentând o soluţie elegantă în ceea ce priveşte distribuirea cheii. Două sisteme de
criptare asimetrică, se fac astăzi recunoscute: RSA Data Security şi Pretty Good Privacy ,
ambele folosesc acelaşi algoritm: cheia publică este produsul a două numere prime, iar
cheia privată este unul dintre cele 2 numere prime. Un utilizator care cunoaşte cheia privată
poate verifica dacă pentru crearea cheii publice s-a folosit cheia privată.
Astăzi se acordă o atenţie deosebită dezvoltării de standarde şi reguli juridice pentru
rezolvarea principalei slăbiciuni a sistemelor de criptare cu cheie publică: alăturarea unei
chei publice a unui utilizator cu identitatea acelui utilizator. Cum poate şti cu siguranţă un
receptor dacă, cheia publică a destinatarului aparţine cu adevărat acelei persoane şi nu unui
impostor?
Soluţia o reprezintă asocierea unei semnături digitale la cheia publică. O semnătură
digitală32 este „un bloc de date (alcătuit din cifre binare) ce se ataşează unui mesaj sau
document pentru a întări încrederea unei alte persoane sau entităţi, legându-le de un anumit
emiţător”. În esenţă, semnătura digitală stabileşte autenticitatea sursei mesajului.
Dincolo de managementul cheilor de criptare, criptografia trebuie însoţită de un set
de reguli, politici sub care sistemele criptografice pot opera – aşa numita infrastructură -
Public Key Infractructure (PKI).
PKI este o combinaţie de produse hardware şi software, politici şi proceduri care
asigură securitatea de bază necesară astfel încât doi utilizatori, care nu se cunosc sau se află
în puncte diferite de pe glob, să poată comunica în siguranţă. La baza PKI se află
certificatele digitale, un fel de „paşapoarte electronice” ce mapează semnătura digitală a
utilizatorului la cheia publică a acestuia, la care se mai adaugă autorităţile de certificare,
autorităţile de înregistrare, politicile şi procedurile cu chei publice, revocarea certificatelor,
nerepudierea, aplicaţiile de securitate.
3.4.3.5 Controlul accesului se referă la metodele prin care se controlează accesul unui
utilizator autorizat la fişiere, directoare, porturi şi chiar protocoale. În acest sens se poate
vorbi pe de o parte, de un control al accesului în sistem (control fizic), iar pe de altă parte
de un control al accesului la resursele acestuia (control logic).
32
Oprea D. – Protecţia şi securitatea informaţiilor, pag.125, Ed. Polirom, 2003
96
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
97
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
este altceva decât un program ce poate decripta parole sau poate dezactiva protecţia prin
parole. Acesta ar putea reprezenta chiar unul din instrumentele auditorului pentru a
descoperi parolele slabe care există în sistem.
Sistemul parolelor, oricât de complex ar fi el, utilizat singur nu reprezintă
instrumentul ce asigură securitatea unui sistem. Pentru preîntâmpinarea unor aspecte
vulnerabile din sistemul de protecţie prin parole, se recomandă ca o parolă să fie însoţită de
un alt instrument de securitate ce va permite identificarea utilizatorului (o cheie de acces la
consolă, spre exemplu).
Momentul „11 septembrie 2001” a schimbat sensul controlului accesului în sistem,
atât prin prisma mijloacelor de exercitare, cât şi a domeniilor de aplicare. O tendinţă
pregnantă în acest sens o constituie sistemele de identificare biometrică a persoanelor, care
există la ora actuală; însăşi firma Microsoft realizează identificarea angajaţilor săi prin
intermediul unei cartele inteligente, cu elemente biometrice incluse.
98
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
99
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
bază de date existentă pentru a i se aplica nivelul de securitate specific. În esenţă, soluţia
trebuie să asigure securitatea şi integritatea datelor când traversează Internetul.
O reţea privată virtuală va oferi garanţia următoarelor funcţionalităţi:
autentificarea utilizatorului, accesul prin VPN fiind permis numai utilizatorilor
autorizaţi; mai mult „instrumentul” va permite monitorizarea şi jurnalizarea
activităţilor, pentru a arăta cine şi când a accesat o informaţie.
gestionarea adreselor: unui utilizator autorizat i se va asocia o adresă din reţeaua
privată, iar soluţia trebuie să garanteze confideţialitatea lor.
criptarea datelor: datele transferate prin reţeaua publică trebuie făcute invizibile
utilizatorilor neautorizaţi.
gestiunea cheilor de criptare; Soluţia trebuie să genereze şi să actualizeze cheile de
criptare pentru client şi pentru server.
recunoaşterea protocoalelor existente în reţeaua publică (cum ar fi Internet
Protocol, Internet Paccket Exchange.)
Implementarea unui VPN oferă unei organizaţii o serie de avantaje importante:
flexibilitate, uşurinţa administrării, ignorarea uzurii morale a tehnologiei, conectivitate
globală. În acest context, tehnologia VPN vine în întâmpinarea noilor cerinţe impuse de
operarea afacerilor de la distanţă, operaţii de parteneriat interdependente, în care
participanţii trebuie să se poată conecta la resursele centrale, să comunice unul cu altul.
Controlul securităţii fizice include măsuri ce vor face ca procesarea datelor să nu fie
afectată de dezastre naturale (foc, inundatii), accidente tehnice (căderi de tensiune), condiţii
de mediu (umiditate, lipsa ventilaţiei). Auditorul verifică măsura în care accesul fizic la
date şi resursele hardware sunt restricţionate corespunzător:
spaţii speciale pentru amenajarea calculatoarelor cu protecţie la incendii, inundaţii,
etc.
analiza mediilor de stocare a datelor. Existenta unor programe gen Easy Recovery
sau Lost & Found care permit recuperarea datelor şterse de pe mediile de stocare
pot genera prejudicii importante.
100
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
101
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Tot mai multe organizaţii realizează că informaţiile reprezintă unul din activele
critice ale unei companii şi că supravieţuirea companiei depinde de disponibilitatea
acestora, pentru că fără o refacere completă a datelor şi informaţiilor, sistemul hardware
este irelevant. Un plan de continuitate a afacerii (Business Continuity) şi recuperare în
urma dezastrelor (Disaster Recovery) este soluţia unei astfel de probleme. Orice astfel de
plan trebuie să răspundă la următoarele întrebări:
Ce reprezintă un dezastru în opinia conducerii organizaţiei?
Cine răspunde de punerea în practică a unui astfel de plan?
Ce acţiuni se întreprind?
Motivul principal pentru ca o entitate să se angajeze în planificarea continuităţii
activităţii şi a recuperării în caz de dezastre este asigurarea abilităţii organizaţiei de a
funcţiona eficient în cazul unei întreruperi severe a operaţiunilor normale. Întreruperile
severe pot apărea din diferite surse:
dezastre naturale (incendii, inundatii, cutremure etc.);
căderi de echipamente sau procese (discuri, programe, baze de date etc.);
greşeli de operare, sabotaj sau erori de apreciere;
acte de terorism sau criminalitate informatică premeditate (de exemplu, atacuri de
genul ''denial of service'', hacking, viruşi viermi şi cai troieni etc.)
Prevenirea unor astfel de evenimente nu este posibilă, astfel încât existenţa unui astfel
de plan permite reluarea operaţiilor esenţiale mult mai rapid. Important este să remarcăm
încă de la început diferenţele între planurile de prevenire a pierderilor şi planurile de
recuperare în caz de dezastre.
Planurile de prevenire a pierderilor se focalizează pe minimizarea expunerii
organizaţiei la elementele care pot ameninţa operaţiunile normale, ele în esenţă incluzând
102
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Plan de
recuperare in caz
Figura nr. 3.7. Etapele de realizare ale unui plan de recuperare în caz de dezastre
103
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Controlul Controlul
autorizării acurateţei
Controlul
datelor de
intrare
Corectarea şi
Controlul sesizarea
completitudinii erorilor
104
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
105
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
106
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
107
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
108
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
109
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Eficienţa şi
eficacitatea
operaţională
Obiectivele
Controlului Conformitatea
Încrederea în Intern cu legile în
raportările
vigoare.
financiare
110
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Domenii
Procese
Activitati
111
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
112
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
În loc de încheiere…
113
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CAPITOLUL 4
TEHNICI DE AUDIT ASISTATE DE CALCULATOR
Mediul informatizat în care îşi desfăşoară astăzi activitatea orice entitate auditată
influenţează în mod continuu munca auditorilor, prin faptul că el creează noi oportunităţi şi
noi riscuri, reguli suplimentare în ceea ce priveşte securitatea, corectitudinea şi marjele de
eroare acceptabile. Creşterea complexităţii sistemelor, în special a sistemelor de
contabilitate informatizată, de tip ERP34 (Enterprise Resource Planning) cât şi volumul
mare al tranzacţiilor înregistrate în prezent au condus la înlocuirea cu o frecvenţă accelerată
a tehnicilor de audit clasic, „manuale”, cu tehnici moderne, asistate de calculator cunoscute
sub numele de CAAT (Computer Assisted Audit Techniques).
Tehnicile de audit asistate de calculator pot fi definite ca instrumente care au drept
bază calculatorul şi au drept scop îmbunătăţirea eficienţei şi eficacităţii procesului de audit;
o definiţie alternativă ar fi aceea de „tehnici folosite de auditorii care utilizează calculatorul
drept instrument pentru culegerea şi analiza datelor necesare auditului”.
Dezvoltarea tehnologiilor informaţionale şi specializarea continuă a auditorilor au
trasat două direcţii de utilizare a calculatoarelor:
ca instrument de lucru al auditorului, în cadrul misiunii sale permiţând o
creştere a eficienţei şi eficacităţii activităţii depuse.
ca obiectiv al unei misiuni de audit (obiect de control), pentru a analiza
acurateţea, integritatea şi completitudinea informaţiilor financiar contabile.
34
ERP-urile sunt recunoscute ca sisteme informatice financiar-contabile integrate, specifice organizaţiilor
mari şi foarte mari. În general, ele încearcă să integreze toate departamentele şi ariile funcţionale din cadrul
unei organizaţii într-un singur sistem informatic, care să răspundă necesităţilor tuturor, înlocuind multitudinea
sistemelor divergente, complexe, mai mult sau mai puţin compatibile.
114
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
115
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
fişier, datele acestuia ar putea fi schimbate - lucru ce-l determină pe auditor "să
acceseze" sistemul pentru a realiza auditarea.
116
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
117
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
prin imaginea completă pe care o dau unui sistem sau/şi unei tranzacţii. În acest sens, să
analizăm, spre exemplu, veniturile anuale ale unei entităţi, în speţă cele rezultate din plăţile
făcute de către clienţi. În cadrul unei proceduri tipice de control financiar, auditorul extern
obţine balanţa finală a încasărilor şi o listă detaliată a tranzacţiilor care au avut loc. Balanţa
finală a încasărilor este folosită în verificarea analitică, comparând situaţia curentă a
veniturilor cu situaţia din exerciţiul financiar precedent. Dacă variaţia determinată în
funcţie de anumite criterii impuse de auditor, e rezonabilă, se va selecta un eşantion de date
şi în baza lor sunt trimise scrisori de confirmare către clienţi pentru testarea acurateţii şi
existenţei acestor tranzacţii; în schimb, dacă variaţia nu este acceptabilă se vor realiza
testări detaliate, de obicei prin analiza documentelor primare, pentru a determina dacă
există operaţiuni neobişnuite ce contribuie la acea diferenţă denaturată. Auditorii îşi
consolidează concluziile despre veridicitatea sumelor înscrise la venituri, bazându-se în
acest sens pe controlul analitic al documentelor şi confirmările transmise de către clienţi.
Analizând acest caz, care este o situaţie obişnuită în cadrul unei misiuni de audit, apar o
serie de întrebări ce vor să pună în lumină profunzimea acţiunilor întreprinse de auditor:
1. Asigură analiza efectuată un nivel de încredere din care să rezulte că
munca depusă este suficientă pentru a formula o opinie corectă ?
2. Au identificat auditorii toate variabilele posibile care să ateste că nu
există nimic neobişnuit în tranzacţiile entităţii auditate ?
3. Au realizat auditorii ceva ceea ce clienţii auditaţi nu ar fi reuşit să facă
singuri ?
4. Au adus auditorii externi un avantaj real clienţilor ?
Datorită cuantumului mare de operaţii şi a volumului ridicat de date supus acestor analize,
o utilizare a tehnicilor clasice, „manuale” de audit ar genera „timpi morţi” şi adeseori
răspunsul la întrebările prezentate ar fi NU. Introducerea în activitatea de audit a tehnicilor
moderne, asistate de calculator, cum ar fi spre exemplu ACL, Caseware IDEA (dezvoltate
în subcapitolul 4.4) permit atât automatizarea diferitor activităţi, cât şi analiza 100% a
tranzacţiilor din cadrul societăţii auditate.
CAAT reprezintă un pas important realizat de la analiza situaţiilor financiare şi
confirmările clienţilor, deoarece această tehnică clasică se baza pe o mică parte a
tranzacţiilor şi poate, nu întotdeauna, reflecta fidel situaţia reală a entităţii în exerciţiul
respectiv, cu toate eforturile şi profesionalismul auditorilor. Utilizând aceste aplicaţii
informatice, auditorii îşi formează o imagine mai clară asupra „afacerii” clientului deoarece
118
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
sunt capabili să verifice volume mari de date, să le clasifice după anumite criterii, pot emite
statistici şi chiar previziuni furnizând clientului o imagine complexă a societăţii.
Revenind la exemplul anterior - analiza veniturilor unei entităţi, auditorul poate
realiza o gamă diversificată de clasificări a veniturilor (venit / client / lună sau venit /
produs / client) analize ce pot reflecta pe de o parte, comportamentul clienţilor organizaţiei
auditate, iar pe de altă parte pot conduce la identificarea unor carenţe în sistemul de vânzări
(politici greşite, organizare defectuoasă a activităţii de vânzare). În afara avantajului
clasificării, auditorii se mai pot folosi de beneficiile stratificării componentelor pe un
interval. O divizare a veniturilor în segmente de 50$ şi o analiză a clasificării clienţilor în
cadrul acestor segmente, îl pot conduce pe auditor la concluzia că, spre exemplu,
majoritatea clienţilor entităţii auditate cheltuiesc între 250 $ – 300 $. Acest lucru ar putea
genera noi decizii la nivelul conducerii, departamentului respectiv sau la dezvoltarea unor
noi politici de atragere a mai multor clienţi, care aduc venituri de aproximativ 50 $ (spre
exemplu).
Auditorii pot efectua astfel de analize atât asupra cantităţilor pentru a determina
dacă clienţii au tendinţa de a cumpăra în cantităţi mici sau mari articole, cât şi asupra
numărului de tranzacţii pe client pentru a verifica dacă aceştia sunt clienţi fideli.
Avantajele tehnicilor de audit asistate de calculator sunt numeroase, utilizarea lor
implicând testarea întregului volum de date (testare 100%); printre procedurile de audit
folosite frecvent se pot evidenţia:
Recalcularea totalurilor rapoartelor tipărite era una din activităţile manuale
cu un consum mare de timp şi cu un aport informaţional destul de scăzut;
utilizând software de audit, acest proces se realizează în numai câteva secunde.
O altă tehnică ce se poate automatiza uşor şi eficient este construirea de câmpuri
calculate, spre exemplu pentru stabilirea cheltuielilor cu amortizarea sau a
valorii stocurilor, rezultatele obţinute urmând a fi comparate cu valorile din
contabilitatea clientului.
„Vechimea” creanţelor şi datoriilor se poate calcula aproape instantaneu şi
poate genera, mai departe, o analiză a clasificării acestora pe intervale de
„vechime”.
Analiza excepţiilor poate urmări numeroase tipuri de erori acolo unde este
foarte dificil să se parcurgă manual rapoarte tipărite pentru a depista tranzacţiile
neobişnuite. Folosind comenzi specializate auditorul poate analiza, de exemplu:
119
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
120
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Analiza de tip digital constă în observarea unui anumit format de date, „şablon”, care se
evidenţiază în momentul aplicării, de către auditor, a unor criterii specifice de selectare şi
analiză. Tipurile de interogări în software-ul modern de audit sunt aproape nelimitate şi
reflectă adesea, situaţii suspecte de fraudă. Un exemplu banal în aplicarea acestei tehnici
este identificarea unor elemente duplicate cum ar fi facturile de valoare identică care, în
urma unei analize detaliate, pot conduce la situaţii în care acestea nu au o justificare reală.
Analiza ratelor reflectă, asemănător ratelor financiare, „sănătatea financiară” a unei
organizaţii şi ajută la definirea simptomelor de fraudă. David Coderre35 menţionează
utilizarea a 3 rate care sunt determinate de:
raportul dintre valoarea maximă şi minimă (Max/Min);
raportul dintre două valori maxime consecutive (Max/Max2);
raportul dintre valoarea anului curent şi valoarea anului anterior (PER1/PER2).
Astfel, analiza preţurilor de vânzare pentru 2 produse comercializate într-o lună, spre
exemplu, furnizează următoarele informaţii:
(u.m.-unitate monetară)
Preţ Maxim Preţ Minim Rata
Produs 1 230 u.m 125 u.m. 1.84
Produs 2 275 u.m. 270 u.m. 1.01
Tabelul nr. 4.1. - Analiza ratei Max /Min
Se observă că, în acest caz, pentru produsul 1, rata de variaţie a preţurilor de vânzare este
foarte mare, analiză ce îi poate conduce pe auditori la examinarea în detaliu a tranzacţiilor
de vânzare tocmai pentru a se asigura că s-a adoptat politica de preţ adecvată. Pentru cel
de-al doilea produs, rata de variaţie se încadrează în parametri normali, eliminând din start
o verificare a tranzacţiilor acestui produs. De asemenea a doua rată poate reflecta tendiţe
frauduloase; un exemplu pentru această situaţie, îl poate constitui analiza valorică a
facturilor de aprovizionare de la doi furnizori, exemplificată în tabelul 4.2:
Furnizor Valoare Maximă Valoarea Maximă 2 Rata
SC A SRL 100.000 u.m 20.000 u.m. 5
SC B SRL 103.000 u.m. 101.000 u.m. 1.01
Tabelul nr. 4.2 - Analiza ratei Max /Max 2
O rată egală sau superioară cifrei 5 devine suspectă pentru auditori şi impune o analiză detaliată
a tranzacţiilor furnizorului SC A SRL; acest aspect capătă un plus de relevanţă dacă în urma
35
David Coderre – Articolul „Analiza ratelor – O înţelegere a tehnicii de analiză a datelor”, www.theiia.org
121
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
analizei se constată, spre exemplu, că din 100 de tranzacţii, 99 au valori cuprinse între 10.000
u.m. şi 20.000 u.m., iar cea mai mare este de 100.000 u.m.
Legea lui Benford. Tehnici mai avansate conduc analiza datelor către un nivel superior,
prin examinarea frecvenţei reale a cifrelor în structura datelor. Legea lui Benford, având la
origini teoria lui Frank Benford din anii 1920, prezice apariţia cifrelor în date. Astfel, legea
subliniază faptul că prima cifră într-o populaţie mare de tranzacţii (> 10000) va fi cel mai
des 1, mai puţin frecvent va apărea cifra 2 s.a.m.d. Benford a calculat probabilitatea de
apariţie a fiecărui număr pe post de primă cifră şi a decis că aceasta descreşte invers
proporţional cu valoarea sa. Astfel, într-o populaţie mai mare de 10000 de elemente,
probabilitatea de apariţie a cifrei 1 pe prima poziţie este la 30% din elemente, în timp ce 9
are o frecvenţă de 4.5% ca primă cifră.
Legea lui Benford calculează frecvenţele aşteptate pentru prima şi a doua cifră conform
tabelului 4.3:
Cifra Frecvenţa primei Frecvenţa celei de-a doua
cifre cifre
0 - 0,11968
1 0,30103 0,11389
2 0,17609 0,10882
3 0,12494 0,10433
4 0,09691 0,10031
5 0,07918 0,09668
6 0,06695 0,09337
7 0,05799 0,09035
8 0,05115 0,08757
9 0,04576 0,08500
Tabelul nr. 4.3 Legea lui Benford
Analiza distribuţiei frecvenţelor primei sau celei de-a doua cifre determină combinaţiile de
date obscure şi identifică posibila fraudă. Un algoritm şi mai detaliat se poate folosi pentru
a observa frecvenţa de apariţie a primelor 2 cifre, pe baza formulei:
Frecvenţa de apariţie36 = log (1+1/N)
De exemplu, frecvenţa de apariţie a "combinaţiei" 13.. este log (1+1/13) = 0.032184
Mark Nigrinni, exemplifica în cadrul articolului citat Legea lui Benford în cadrul
unui departament de contracte. În urma analizei valorii contractelor încheiate, într-o
anumită perioadă, rezultatul a arătat că numerele 49 apăreau cu o frecvenţă mai mare decât
36
Mark Nigrini – Articolul „Analiza digitala – Tehnologii de analiza a datelor asistate de calculator pentru
auditorii interni”, www.theiia.org/itaudit
122
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Aceste instrumente şi tehnici moderne pot asista auditorul în orice etapă a misiunii sale,
fiind utilizate pentru:
verificarea corectitudinii prelucrărilor contabile;
testarea măsurilor de securitate dintr-un sistem;
analiza şi controlul aplicaţiilor informatice existente în sistem;
identificarea riscurilor unei organizaţii şi evaluarea acestora;
evaluarea controlului intern;
verificarea integrităţii fişierelor;
analiza informaţiilor clientului auditat prin interogări complexe ale bazelor de
date, extrageri, stratificări, totalizări.
123
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
124
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Mapare(Mapping)
CAAT
pentru analiza si
testarea sistemului
informatic
125
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
126
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
127
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Printre avantajele metodei putem aminti că revederea codului sursă nu este necesară şi
totodată tehnica solicită cunoştinţe minime de informatică din partea auditorului, asigurând
o verificare a întregului sistem.
Exista şi limite în utilizarea testului de date:
în cazul aplicaţiilor complexe, testul de date poate să nu acopere toate
funcţionalităţile aplicaţiei astfel încât devine aproape imposibilă detectarea
fraudelor sau manipularea datelor;
adeseori, este greu de determinat dacă aplicaţia ce urmează a fi testată este chiar
versiunea de lucru sau există situaţii în care auditorul nu poate utiliza versiunea
curentă pentru realizarea testelor (cazul sistemelor on-line).
128
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
129
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
130
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Stratificarea oferă auditorului o imagine mai completă atunci când populaţia, masa
datelor ce urmează a fi analizate, nu este omogenă.
Data Mining este utilizată pentru a furniza analize comparative şi trenduri care să
indice zonele de interes pentru viitoarele analize şi teste.
Eşantionarea permite auditorului să extragă un set de tranzacţii reprezentative
dintr-un fişier în vederea realizării testelor de audit.
Raportarea excepţiilor presupune selectarea înregistrărilor şi extragerea datelor care
sunt conforme sau dimpotrivă, încalcă criteriile specificate pentru o analiză viitoare.
Verificarea înregistrărilor duplicate permite identificarea erorilor în tranzacţiile
efectuate sau posibilele activităţi frauduloase.
Analiza „vârstei” plăţilor arată un tipar al plăţilor de-a lungul unei perioade, printr-
o monitorizare a perioadei dintre primirea şi plata tranzacţiilor.
131
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
132
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
133
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
1. ACL (Audit Command Language)39 este unanim acceptat ca fiind liderul între
pachetele software de audit, iar popularitatea sa este rezultatul flexibilităţii, simplei utilizări
şi încrederii pe care o oferă. Ea a fost dezvoltată de ACL Service şi permite auditorilor să-şi
conecteze propriul laptop la sistemul clientului şi apoi să-şi descarce datele acestuia pentru
o analiză viitoare. Aplicaţia furnizează jurnale detaliate ale auditului efectuat, care se
tipăresc, fiind folosite ulterior ca referinţă şi punct de plecare pentru documentele de audit
ce urmează a fi întocmite.
ACL permite asistenţa auditorului în orice fază a procesului de audit, tabelul4.4
ilustrând funcţiile ACL şi modul în care ele pot fi utilizate.
Etape Audit Functii ACL
I. Planificare „Statistics”- realizează a analiză statistică a
- evaluarea riscului datelor unui fişier
II. Evaluarea controlului intern
- teste de control Meniul „Sampling” cu comenzi specifice de
determinare a mărimii eşantionului şi a
- selectarea eşantioanelor criteriului de selecţie
Meniul „Analyze” include funcţii de
39
Analiza funcţionalităţilor aplicaţiei a fost posibilă prin consultarea sursei www.acl.com
134
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Se poate observa că aplicaţia oferă o gamă diversificată de teste ce fac obiectul unei
misiuni de audit precum: testarea datelor din punct de vedere al integrităţii, completitudinii,
unicităţii acestora. Înaintea unei astfel de analize, auditorul trebuie să se asigure că datele
sunt complete pentru că lipsa unor tranzacţii va genera o investigaţie invalidă. Opţiunea
Gaps din meniul Analyze permite testarea completitudinii datelor analizate care, în
esenţă, poate fi descrisă astfel: sistemul asociază fiecărei înregistrări dintr-un fişier un
număr secvenţial unic, iar rezultatul comenzii va fi o transpunere a tranzacţiilor lipsă (figura
nr. 4.6 ).
135
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
136
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
2. IDEA (Interactive Data Extraction & Analysis) este recunoscut tot ca un standard în
analiza datelor. Aplicaţia oferă auditorului o serie de funcţionalităţi ce vor permite:
realizarea obiectivelor de audit privind situaţiile financiare oferind instrumente de
verificare şi calcul pline de acurateţe, verificări încrucişate a datelor, opţiuni de
calcul a eşantioanelor şi selecţie a acestora;
investigarea fraudelor;
testarea normelor de securitate;
analize şi rapoarte manageriale: clasificarea datelor pe clienţi, produse, măsurarea
performanţelor.
137
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
istoric al fiecărei misiuni. Situaţiile finale şi concluziile culese în cadrul fiecărei etape vor
sta la baza generării unui raport de audit în care sunt subliniate şi recomandările necesare.
40
sursa: www.pentana.com
138
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
5. ProAudit Advisor este o altă aplicaţie utilizabilă într-o misiune de audit care permite:
Crearea universului entităţii auditate;
Determinarea abordării unui audit;
Evaluarea riscului şi a controalelor
41
sursa: www.paisleyconsulting.com
139
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CAPITOLUL 5
42
sursa: www.methodware.com/products/proaudit
140
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
141
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
142
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
43
H.E.Eriksson, M.Penker, UML Toolkit, John Wiley & Sons, 2000 citat de D. Zaharie, I. Rosca –
Proiectarea obiectuală a sistemelor informatice, Dual Tech, 2002
143
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
***
144
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Inregistreaza
clientul
Verifica (Modifica)
planificarea si realizarea
Partenerul procesului de audit
Stabileste componenta
echipei de audit
Verifica scrisoare
de angajament
Verifica (Modifica)
programul de audit
Manager
(Director)
Verifica/Semneaza
Rapoartele finale
Seteaza pragul
de semnificatie
Elaboreaza «include»
Introduce
planul de audit lucrarile de audit
Auditor
senior
Verifica aprecierea
riscurilor:
RC, RI, RND, RA
Elaboreaza Raportele
finale
145
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Evalueaza riscul
«include» Evalueaza
informatic chestionare
«include»
Evalueaza controlul
intern in mediul
informatic «include»
Evalueaza riscul
de control
Calculeaza marimea
esantioanelor pentru
Selecteaza «include» testele de control
Asistent esantioanele
Control Intern pentru testele de control «extend»
Intocmeste foi
de lucru
Intocmeste raportul
de apreciere a controlului
intern
Selecteaza
«include» Calculeaza marimea
esantioanele clientului esantioanelor
«include»
Analiza esantionului Verifica acuratetea
Asistent ce matematica
executa proceduri «extend»
de fond
Introduce date
istorice
146
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
147
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
148
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
149
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
punct de start
Creeaza plan
audit
Identifica
scrisoare de
angajament
[Riscuri majore]
[Date modificate]
[Angajament nou]
Actualizare Creeaza
scrisoare scrisoare
Ataseaza
scrisoare la
plan
subactivitate
Indica
Lucrare
Ore_planificate,
Tarif_orar
[Auditor disponibil]
Indica
auditor
executant
[Confirmare Lucrare]
Ataseaza lucrare
la planul de audit
Inregistrare Anuleaza
plan de audit plan de audit
punct final
figura nr. 5.2 Diagrama de activităţi asociată cazului de utilizare “Elaborează planul de audit”
dacă scrisoarea există şi are o soluţie favorabilă (“accept”), auditorul va stabili
lucrările ce fac obiectul misiunii, asociindu-le un tarif/orar şi un număr de
ore_planificate. Totodată fiecărei lucrări i se asociază un auditor executant, în
condiţiile în care acesta este disponibil.
procesul apelează o buclă repetitivă – subactivitate – pentru că un plan de audit
conţine mai multe lucrări_misiune;
o dată procesul validat, planul este verificat şi salvat, generând realizarea unei
tranzacţii.
150
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Diagrama de secvente are rolul de a reflecta modul intern de realizare a unui caz de
utilizare, ilustrând interacţiunea dintre obiecte din punct de vedere temporal, acestea fiind
prezentate la un nivel general, sintetic, fără precizarea argumentelor şi a tipului de rezultat
returnat. O diagramă de secvenţe este formată dintr-un set de mesaje schimbate între
diverse obiecte, identificând astfel operaţiile ce trebuie să intre în comportamentul fiecăreia
dintre clasele de obiecte participante.
Cerere acceptata
Transmite Cod_lucrare
Verifica
Asociaza auditor Cauta auditor disponibilitate
151
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
152
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
149
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
150
5.1.2.3. Proiectarea
5.1.2.3.1 Diagrama de stări serveşte pentru a reprezenta suita de stări prin care poate trece
un element de modelare – fie acesta obiect sau interacţiune – în cursul existenţei sale, ca
reacţie la evenimentele survenite în exteriorul său. În acest sens, figura 5.5 prezintă toate
stările prin care poate trece o instanţă a clasei „Misiune” precum şi evenimentele ce
schimbă starea unui obiect .
/asistent intocmeste plan /auditor senior verifica plan Plan Misiune /semneaza plan
Plan Misiune
Modificat
Creat
Plan Misiune
Avizat
/executa plan
Plan Misiune
Realizat
printr-o reprezentare grafică. Figura 5.6 prezintă derularea operaţiilor necesare pentru
elaborarea unui nou plan de misiune, sub forma unei diagrame de colaborări.
Formular Principal
Auditor Asistent
8. Creeaza lucrari misiune
3. Creeaza misiune noua 9. Date lucrare
5. Date misiune 10. Salveaza lucrare misiune
6. Salveaza Misiune 12. Asociaza auditor
Figura nr. 5.6 Diagrama de colaborări asociată cazului de utilizare “Elaborează planul de
audit”
44
D. Zaharie, I. Rosca – Proiectarea obiectuală a sistemelor informatice, Dual Tech, 2002
151
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CLIENT
(client.cls)
Scrisoare Anagajament
(scris.cls)
Misiune
(misiune.cls)
Lucrari Misiune
(lucr_misiune.cls)
Lucrare
(lucrare.cls)
Foi Lucru
(foil.cls)
Auditor
(auditor.cls)
Dosar Audit
(dosar.cls)
Riscuri Generale
AUDIT (riscurig.cls)
(audit.dll)
Riscuri Specifice
(riscuri_sp.cls)
Domenii Semnificative
(domenii.cls)
Date Istorice
(date_ist.cls)
Situatii Financiare
(situatii.cls)
Balanta
(balanta.cls)
Bilant
(bilant.cls)
Cont
(cont.cls)
Continut Balanta
(cont_bal.cls)
152
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
153
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Clienti
Scrisoare Angajament
Misiune
Lucrari Misiune
Lucrare
Dosar Audit
IDODosar DenSectiune
Riscuri Generale
IDORisc DenRisc
Riscuri Specifice
Domenii Semnificative
IDODomeniu DenDomeniu
ISTORIC DATE
Rand SitFin
Bilant
Continut Balanta
154
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
1. Acceptarea Clientului este prima etapă a unei misiuni de audit, în care auditorul va
înregistra entitatea auditată şi apoi va documenta riscurile majore ale acesteia.
Aplicaţia debutează pentru această opţiune cu un formular “Actualizare Clienţi”,
afişat în figura 5.9, în care utilizatorul poate realiza fie crearea unui nou Client,
modificarea datelor unui client existent sau ştergerea acestuia. Atât operaţia de
“Adauga”, cât şi cea de “Modifica”, vor fi urmate de o “Salvare” a datelor noi
introduse sau de o “Anulare” a acestora.
155
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
156
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
157
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
• Proceduri Analitice
158
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
159
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
160
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
161
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
162
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
După evaluarea riscului inerent general este important să se considere dacă există
vreun domeniu de audit care să aibă ataşat un risc specific. Riscul inerent specific
reprezintă posibilitatea apariţiei unei informaţii eronate semnificative într-un anumit
domeniu. Acest risc specific este evaluat pe baza a 6 întrebări45 ce sunt concentrate către
justificarea “de ce sunt erori”, întrebări ce pot primi un răspuns pozitiv sau negativ
(DA/NU), răspunsul pozitiv indicând întotdeauna un risc. Riscul inerent specific va fi
apreciat în funcţie de calificativul riscului inerent general şi numărul de răspunsuri pozitive
pentru cele 6 întrebări; rezultatul va fi apreciat printr-un procent conform tabelului 5.1.
Număr de riscuri Nivel general de risc inerent
inerent specifice
identificate
Foarte Scazut Mediu Ridicat
scazut
0,1 sau 2 riscuri 23% 50% 70% 100%
3 sau 4 riscuri 50% 70% 100% 100%
5 sau 6 riscuri 70% 100% 100% 100%
Tabelul nr. 5.1 Factori de risc asociaţi riscului inerent specific
45
Se regăsesc specificate în capitolul al II-lea.
163
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Banda de risc
164
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
• Determinarea eşantioanelor
Comparativ cu soluţia propusă de Normele Minimale de Audit, prezentată anterior,
aplicaţia furnizează şi alte metode de determinare a eşantioanelor, folosite frecvent în
practica cabinetelor de audit, soluţii prezentate la un nivel teoretic şi exemplificate în
cadrul capitolului al II-lea. Formularul – prezentat în figura 5.19 - are la bază formulele de
calcul pentru determinarea eşantioanelor, atunci când se cunoaşte mărimea valorică a
întregii populaţii sau numărul de înregistrări existente în cadrul populaţiei, coeficientul de
încredere (complementul riscului de nedetectare legat de eşantionare), eroarea tolerabilă
(pragul de semnificaţie individual la nivelul aserţiunii verificate) şi numărul de erori
aşteptate.
165
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
166
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
167
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Rezultatul acestei operaţii este deschiderea unui formular Tabele, prezentat în figura 5.22,
ce va permite, în panoul din stânga afişarea conţinutului bazei de date alese în pasul
anterior, cât şi a înregistrărilor existente pentru una din tabelele selectate, într-un ListView
- panoul din dreapta. Opţiunile utilizatorului în cadrul acestui formular se pot rezuma
astfel:
Stergerea unei tabele selectate din cadrul bazei de date,
Selectarea unui eşantion de date, în mod aleator – în vederea realizării Testelor de
Control
Selectarea unui eşantion de date, printr-o metodă proporţională de selecţie – în
vederea realizării Testelor de Detaliu asupra soldului unui cont
168
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
169
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
For I = 1 To NrInregTotal
rs.MoveFirst
rs.Move Int(Rnd * NrInregTotal)
rsNou.AddNew
For Each fld In rs.Fields
campvalue = fld.Name
rsNou.Fields(campvalue).Value = rs.Fields(campvalue).Value
Next
rsNou.Update
rs.Delete
rs.MoveNext
Next
Exit Sub
err:
MsgBox err.Description, vbCritical, err.Number
End Sub
170
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
AfisareInregistrariTabel rs1
End If
rs1.Close
Set rs1 = Nothing
Exit Sub
errdesc:
MsgBox "Eroare: " & vbCrLf & err.Description, vbInformation
End Sub
End Sub
rs.MoveFirst
Do While Not rs.EOF
I=0
For Each Camp In rs.Fields
campvalue = Camp.Name
If I = 0 Then
Set Item = lstesant.ListItems.add(, , IIf(Len(rs.Fields(campvalue).Value) > 0,
rs.Fields(campvalue).Value, 0))
Else
Item.ListSubItems.add , , IIf(Len(rs.Fields(campvalue).Value) > 0, rs.Fields(campvalue).Value, 0)
End If
I=I+1
Next
rs.MoveNext
Loop
Set Item = Nothing
Set Camp = Nothing
End Sub
rs.Open "Select * from " & txtNumeTabel, cnn, adOpenStatic, adLockOptimistic, adCmdText
171
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
iFileNum1 = FreeFile
sFileName = App.Path & "\ESANTION1.txt"
Open sFileName For Output As #iFileNum1
sInputLine = "Selectie Esantion - Tabela " & txtNumeTabel
Print #iFileNum1, Space(70) & sInputLine
Print #iFileNum1, "________________________________________________________"
For Each Camp In rs.Fields
campvalue = campvalue & Camp.Name & Space(14)
Next
Print #iFileNum1, campvalue
Print #iFileNum1, "________________________________________________________"
rs.MoveFirst
Do While Not rs.EOF
I=0
For Each Camp In rs.Fields
campvalue = Camp.Name
If I = 0 Then
s = IIf(Len(rs.Fields(campvalue).Value) > 0, rs.Fields(campvalue).Value, 0)
Else
s = s & Space(7) & IIf(Len(rs.Fields(campvalue).Value) > 0, rs.Fields(campvalue).Value, 0)
End If
I=I+1
Next
Print #iFileNum1, s
rs.MoveNext
Loop
Print #iFileNum1, "________________________________________________________"
Print #iFileNum1, "TOTAL INREGISTRARI " & Space(7) & rs.RecordCount
Print #iFileNum1, "________________________________________________________"
rs.Close
Set Camp = Nothing
End Sub
172
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
173
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Figura nr.
174
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CAPITOLUL 6
TENDINŢE ÎN DEZVOLTAREA SOFTWARE-ULUI DE AUDIT
175
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
176
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
46
D. Zaharie – Sisteme informatice pentru asistarea deciziei, Ed. Dual Tech, 2001.
177
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Analiza excepţiilor. Detectarea fraudei, utilizarea unor modele neobişnuite sunt doar
câteva rezultate ale unei astfel de analize. O astfel de analiză nu se poate realiza în mod
singular, ci aplicarea ei trebuie să fie precedată de analiza cluster-elor. În viziunea unui
proces de audit, având drept sursă rezultatele exemplului anterior (obţinute prin analiza
cluster-elor) şi completând aceste informaţii cu datele neobişnuite identificate prin metode
de analiză a excepţiilor, auditorul poate selecta eşantioanele de analizat, eşantioane care
putem afirma vor reprezenta cel mai fidel realitatea.
Aceste operaţii descrise pot asigura o analiză complexă a tranzacţiilor clientului,
identificarea tranzacţiilor neobişnuite, sau chiar frauduloase, definirea unor trenduri,
previziuni, fapt pentru care, integrarea acestei tehnologii poate reprezenta un instrument
extrem de util îndeosebi auditorilor interni din cadrul oricărei organizaţii.
În literatura de specialitate se disting diferite modele care au fost propuse pentru a servi
drept ghid al procesului de exploatare a datelor. Între acestea, două modele se impun ca
standarde în domeniu: CRISP – DM şi SEMMA.
Abordarea propusă de SAS Institute este recunoscută sub apelativul SEMMA (Sample –
Explore – Modify – Model – Assess) şi ea se caracterizează prin următoarele etape:
Eşantionarea – Explorarea – Modificarea – Modelarea – Evaluarea. Particularitatea acestei
metode se concretizează în importanţa pe care o acordă activităţilor tehnice tipice asociate
unui proiect Data Mining.
CRISP (CRoss Industry Standard Process for Data Mining) a fost propus la mijlocul
anului 1990 de un consorţiu European de companii pentru a servi ca un standard asociat
procesului de Data Mining. Această abordare propune o derulare secvenţială a următoarelor
etape, reprezentate schematic în figura 6.1:
178
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
1. analiza problemei
2. identificarea datelor
3. pregătirea datelor
4. modelarea
5. evaluarea
6. integrarea noilor cunoştinţe
1. Analiza problemei.
În abordarea CRISP, această etapă identifică următoarele faze:
Determinarea obiectivelor. Declanşarea unui astfel de proces este determinată
de sesizarea unei oportunităţi sau necesităţi de afaceri, ceea ce impune
delimitarea exactă a ceea ce se urmăreşte de rezolvat prin data mining, care sunt
obiectivele urmărite şi rezultatele aşteptate. Problemele pot fi diverse:
optimizarea răspunsului clienţilor în cadrul unei campanii de marketing,
179
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Scopul general al
Scopul „data mining”
problemei de rezolvat
Determinarea caracteristicilor clienţilor în
Creşterea vânzărilor
funcţie de puterea acestora de cumpărare
Determinarea modelelor critice de
utilizare frauduloasă a cărţilor de credit
Prevenirea fraudării
sau
cărţilor de credit
Construirea unui algoritm precis pentru
detectarea automată a fraudelor
Tabelul 6.1 Exemple de transpunere a scopurilor generale ale unei probleme de rezolvat în
scop „data mining”
Scopul „data mining” este într-o relaţie directă cu principalele categorii de operaţii, ce
caracterizează acest proces: descrierea datelor, clasificarea, predicţia, analiza
dependenţelor, analiza cluster-elor, analiza excepţiilor.
180
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
3. Pregătirea datelor. Datele selectate în etapa anterioară trebuie supuse unui proces
preliminar de pregătire înainte de a fi realizată extracţia prin data mining. Acţiunile
importante ce caracterizează această etapă se pot rezuma la: selectarea datelor, „curăţirea
datelor”, obţinerea noilor date şi formatarea lor. „Curăţirea datelor” se distinge ca o fază
importantă a etapei, recunoscută ca mare consumatoare de timp datorită tehnicilor
diversificate ce pot fi implementate pentru asigurarea fiabilităţii datelor. Aceste tehnici
vizează:
• normalizarea datelor
• omogenizarea datelor
Adesea, însă, această soluţie nu asigură valoarea optimă fapt pentru care datele vor
fi afectate. Dacă valorile lipsă pot fi reduse la doar câteva caracteristici, atunci se poate
încerca o soluţionare prin ştergerea exemplelor continând valori lipsă, sau ştergerea
atributelor ce conţin majoritatea valorilor lipsă. O altă soluţie este de a se încerca predicţia
181
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
valorilor lipsă cu ajutorul unui instrument data mining. În acest caz previzionarea valorilor
lipsă reprezintă un caz special al problemei de predicţie data mining.
4. Modelarea este etapa de construire a unui model informatic care va efectua explorarea
propriu-zisă a datelor. Analizând noutatea şi abundenţa tehnicilor şi algoritmilor utilizaţi în
cadrul acestei etape, se poate considera că ea este cea mai interesantă parte a unui proces
Data Mining. Selectarea tehnicii de modelare este hotărâtoare pentru construcţia modelului
în sine, fapt pentru care în tabelul 6.2 sunt prezentate cele mai importante tehnici de
modelare asociate acţiunilor uzuale Data Mining.
182
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Tabelul 6.2. Tehnici Data Mining asociate celor mai importante operaţii Data Mining
Construirea modelului este însoţită de o fază de testare, care verifică calitatea şi
valabilitatea modelului. De exemplu, în acţiunile de clasificare a datelor este uzuală
folosirea valorilor eronate ca o măsură a calităţii modelelor de data mining. Astfel, datele
colectate în etapele anterioare vor fi divizate în seturi de „date de pregătire” şi seturi de
„date pentru testare”. Prima categorie de date va reprezenta baza construirii modelului, iar
estimarea calităţii sale va fi abordată prin prisma celei de-a doua categorii. Odată ales
instrumentul/tehnicile de modelare, acestea se vor utiliza pe setul de date de pregătire,
generând diferite tipuri de modele. În general, toate instrumentele de modelare au un număr
de parametri ce conduc procesul de generare al modelului, coeficienţi ce pot fi modificaţi
până la obţinerea rezultatelor scontate.
5. Evaluarea modelului. Această etapă validează modelul din punct de vedere al datelor
analizate. În fazele anterioare, cu precădere în faza de modelare, evaluarea presupunea o
analiză a fiabilităţii şi generalităţii modelelor generate, în timp ce această etapă realizeză o
evaluarea a modelelor prin prisma obiectivelor iniţiale ale problemei. Această fază permite
relevarea motivelor ce fac ineficientă construirea modelelor, recomandându-se în acest sens
testarea lor pe probleme reale. Se vor analiza şi interpreta atât rezultatele direct legate de
obiectivele de soluţionare a problemei cât şi alte constatări efectuate, acest lucru putând
oferi sugestii pentru modelele viitoare şi alte informaţii suplimentare.
În general, aceste aplicaţii sunt dezvoltate în cadrul marilor cabinete de audit şi, aşa
cum menţionam în cadrul capitolului 4, pagragraful 4.3.2.1, prezintă, în esenţă, următoarele
caracteristici:
Caracteristica “tot în unul” – pachetele GAS sunt concepute să asiste întregul
proces de audit, putând fi utilizate în coordonarea tuturor procedurilor de audit.
183
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
O serie de aplicaţii, precum DB2 Intelligent Miner for Data, DB Miner, Microsoft
Data Analyzer, SAS Enterprise Miner, SAS Analytic Intelligence, având încorporate tehnici
Data Mining şi fiind recunoscute ca instrumente pentru analiza datelor, prezintă o serie de
caracteristici cum ar fi:
Capabilităţi de automatizare. Obiectivul central al tehnologiilor Data Mining
se rezumă în descoperirea automată a unor informaţii ascunse, utile într-un set
de date. Astăzi, pachetele Data Mining nu sunt complet automatizate,
prezentând doar caracteristici de ghidare a utilizatorului în descoperirea de noi
informaţii.
Complexitate înaltă. Tehnicile de analiză avansată ce includ algoritmi
statistici, inteligenţă artificială, reţele neuronale, logică fuzzy, algoritmi
genetici sunt extrem de complexe şi adesea, explicaţiile sărace legate de
logica acestora conduc la un grad redus de încredere în rezultatele lor.
184
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
185
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Conceptele dezvoltate anterior sunt comparate în mod sintetic, în cadrul tabelului 6.3 şi
constituie fundamentul pentru integrarea tehnicilor Data Mining în cadrul aplicaţiilor
asociate unei misiuni de audit.
Caracteristici GAS Data Mining
Orientare pe activitate de Da Nu
audit
Asistarea tuturor Da Nu
procedurilor de audit
Interfaţă prietenoasă cu Mai mult Mai puţin
utilizatorul
Aptitudini tehnice cerute Mai mult Mai puţin
Automatizare Nu Da
Capabil de învăţare Nu Da
Cost Mai scăzut Mai ridicat
Tabelul 6.3 Sinteza caracteristicilor GAS - pachete Data Mining
186
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
187
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
188
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
În urma analizei realizate se poate observa că fiecărei etape a unui proces de audit i se
pot asocia tehnici şi metode Data Mining. În realitate, cea mai periculoasă situaţie este dată
de absenţa datelor disponibile, mai ales în cazul primului an de audit. În construirea unui
model Data Mining este necesară utilizarea seturilor de date bazate pe informaţii istorice,
informaţii ce pot include atât datele anului anterior, cât şi date ale altor clienţi ce aparţin
aceleiaşi ramuri industriale. Singurele informaţii disponibile în mod cert, în cazul tuturor
angajamentelor de audit sunt tranzacţiile contabile ale perioadei curente şi situaţiile
financiare ale aceluiaşi an. În acest context, se subliniază ideea conform căreia anumite
etape, precum acceptarea clientului şi planificarea nu pot fi abordate întotdeauna prin
prisma tehnologiei Data Mining. În schimb, realizarea etapelor de evaluare a controlului
intern şi aplicarea testelor de detaliu, permit o analiză complexă a datelor ce conduce
adeseori la detectarea fraudelor, descoperirea informaţiilor ascunse în spatele datelor
clasice, oferind astfel noi oportunităţi auditorilor.
189
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
190
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
CONCLUZII
Lucrarea de faţă a urmărit, pe parcursul celor şase capitole, să ofere o imagine clară
asupra unui proces de audit al informaţiei contabile într-un mediu informatizat şi, totodată,
să sublinieze necesitatea crescândă a utilizării tehnicilor moderne de audit (tehnici
informatizate), în vederea eficientizării acestui proces.
Etimologic, termenul “audit” îşi are originea în limba latină, însemnând “a asculta,
a audia”, dar practica anglo-saxonă l-a transformat, desemnând astăzi, într-un sens larg, o
activitate de verificare a unei informaţii, desfăşurată de experţi independenţi, în vederea
exprimării unei opinii asupra sincerităţii şi conformităţii acesteia cu criterii standard de
calitate.
Necesitatea realizării unui audit financiar, la nivelul unei organizaţii, este
accentuată de conflictul de interese, de asimetria informaţională creată între diverşi
191
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
192
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
193
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
194
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
*
* *
BIBLIOGRAFIE
195
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
România
9. CECCAR Norme naţionale de audit, Bucureşti, 1999
10 Constantinescu D., Auditul intern, Colecţia Naţională, Bucureşti, 1999
. Dobrin M.
11. Cosserat G.W. Modern auditing, Ed. John Wiley & Sons, New York, 2000
12 Dobroteanu L., Audit – concepte şi practici. Abordare naţională şi
. Dobroţeanu C. internaţională, Ed. Economică, Bucureşti, 2002
13 Feleaga N., Malciu L. Politici şi opţiuni contabile, Ed. Economică, Bucureşti, 2002
.
14 Feleagă N. Îmblânzirea junglei contabilităţii, concept şi normalizare în
. contabilitate, Ed. Economică, Bucureşti, 1996.
15 Fînaru L., Brava I. Visual Basic, primii paşi...şi următorii, Ed. Polirom, 2001
.
16 Florescu V. & colectiv Baze de date, fundamente teoretice şi practice, Ed. Infomega,
. Bucureşti, 2002
17 Gary Hinson A practical model for risk assessment and prioritization
. („www.theiia.org/itaudit”)
18 Gray, S. Manson The audit process: principles, practice and cases, Ed. Business
. Press, SUA.
19 Han J., Kamber M. Data Mining – Concepts and Techniques (www.cs.sfu.ca)
.
20 I.S.A.C.A. IS Standards, Guidelines and Procedures for
. Auditing and Control Professionals
21 INTOSAI Principles of Computer Assisted Audit techniques, Students
. Notes
22 Jacobson I. Applying UML in the Unified Process, Rational Software
.
23 Lanza Richard B. Getting to Realistic Estimates and Project Plans – A Monte
. Carlo Approach
24 Malciu L. Cererea şi oferta de informaţii contabile, Ed. Economică,
. Bucureşti, 1998
25 Munteanu A. Auditul sistemelor informaţionale contabile: cadru general,
. Ed. Polirom, Iaşi, 2001
26 Munteanu V. & colectiv Control şi audit financiar contabil, Ed. Sylvi, Iaşi, 2002
.
27 Nigrini M.
Digital Analysis: a computer-assisted data analysis
.
technology for internal auditors „www.theiia.org/itaudit”)
28 Nitchi S., Nitchi R. Data mining, o nouă eră în informatică
196
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
.
29 O’Reilly V.M., Hirsch Mongomery’s auditing, Ed. John Wiley & Sons, New York,
. M.B., Defiliese P.L., 1990
30 Oprea D. Protecţia şi securitatea informaţiilor, Ed. Polirom, Iaşi, 2003
.
31 Patriciu V. V., Bica I., Securitatea comerţului electronic, Ed. Bic All, Bucureşti,
. Văduva C.,Voicu N. 2001
32 Popescu G. Procedurile controlului intern şi auditul financiar, Ed.
. Gestiunea, Bucureşti, 1997.
33 Randy Marchany Seven step IT risk assessment („www.theiia.org/itaudit”)
.
34 Renard J. Théorie et practique de l’audit interne, Ed. d’Organisation,
. Paris, 2002
35 Rosca I., Zaharie D. Proiectarea obiectuală a sistemelor informatice, Ed. Dual
. Tech, 2002
36 Rusovici A., Cojoc F., Audit financiar la societăţile comerciale, Regia autonomă
. Rusu G. Monitorul Oficial, Bucureşti, 2003
37 Sirikulvadhana S. Data Mining As A Financial Auditing Tool, Thesis in
. Accounting
38 Sîrbu M. Analiza multidimensională
.
39 Stoian A., Turlea E. Auditul financiar contabil, Ed. Economica, Bucureşti, 2001
.
40 Taylor D., Glezen W. Auditing: integrated concepts and procedures, Ed. John Wiley
. G. & Sons, New York, 1988
41 Toma M., Chivulescu Ghid practic pentru audit financiar şi certificarea bilanţurilor
. M. contabile, Ed. CECCAR, Bucureşti, 1995
43 Udrică M. Modelare orientată obiect, Ed. CISON, Bucureşti, 2000.
.
44 Vasiu I. Criminalitatea informatică, Ed. Nemira, Bucureşti, 2001
.
45 Vilan A. Data warehouses, data marts si data mining
.
46 Wah T. Y., Kamal M. Data Mining in Computer Auditing, University of Malaya
.
47 Wanda A. Wallace Auditing, Ed. MacMillan Publishing Company, New York,
. 1986
48 Will Ozier Introduction to information security and risk management
197
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
. („www.theiia.org/itaudit”)
49 Will Yancey Data Mining (www.willyancey.com/datamining.htm)
.
50 Zaharie D. şi colectiv Sisteme informatice pentru asistarea deciziei, Ed. Dual Tech,
. Bucureşti, 2001
51 *** Ghid practic de aplicare a standardelor internaţionale de
. contabilitate, Ed. Economică, Bucureşti, 2001
52 *** Management Planning Guide for Information Systems
. Security Auditing, GAO – General Accounting Office and the
National State Auditors Association, 2001
53 *** Information Security Risk Assesment – Practices of Leading
. Organizations, General Accounting Office and the National
State Auditors Association, 1988
54 *** Microsoft Visual Basic 6.0, Ghidul programatorului, Ed. Teora, 1999.
.
F0
Dosar de audit financiar REF: 2.1
la: PRAGUL DE SEMNIFICATIE Data:
Intocmit de:
Exerciţiul: Verificat de:
Situaţii financiare Buget
exerciţiu curent Exerciţiu Exerciţii anterioare
curent 2002
Lei Lei Lei
Active totale (înainte de
scăderea datoriilor) 226.348.371.000 216.804.082.000
1 1% 2.263.483.710 2.168.040.820
2 2% 4.526.967.420 4.336.081.640
Profit înainte de
impozitare 745.512.000 -21.485.104.000
5 5% 37.275.600 -1.074.255.200
6 10% 74.551.200 -2.148.510.400
Etapa de planificare
198
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
Note:
1. Pragurile de semnificaţie ar trebui, în mod normal, să se situeze în intervalul indicat de factorii 1
până la 6. Nu se vor lua în considerare factorii 5 şi 6 dacă există pierderi sau dacă profitul nu este
corect prezentat, oricare ar fi motivul pentru distorsionarea sa. Se pot utiliza şi alţi factori, dacă se
vor considera că sunt mai adecvaţi.
4. Dacă nu există estimări sau un buget pentru exerciţiul în curs, pragul de semnificaţie din etapa de
planificare se va baza pe sumele aferente exerciţiului anterior. Acest prag trebuie revizuit după ce
vor putea fi consultate sumele aferente exerciţiului în curs.
Secţiunea
LISTĂ DE VERIFICARE A RISCULUI INERENT F1
GENERAL
Iniţiale Data
Client: Întocmit de:
Perioada: Revizuit de:
Da Nu
1. Managementul
(a) Le lipsesc managerilor cunoştinţele şi experienţa necesare pentru a X
conduce societatea?
(b) Au managerii tendinţa de a angaja societatea în asocieri cu grad de X
risc ridicat?
(c) Au avut loc schimbări ale managerilor cu funcţii-cheie în cursul X
exerciţiului financiar?
(d) Există anumite cerinţe privind menţinerea unui nivel al rentabilităţii X
sau îndeplinirea unor obiective? (de ex. Pentru îndeplinirea unor
cerinţe din partea creditorilor)
(e) Are rezultatul raportat o semnificaţie personală pentru manageri? X
(de ex. prime legate de profit)
(f) Controlul administrativ şi cel exercitat de manageri sunt slabe? X
199
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
FOARTE SCĂZUT/SCĂZUT/MEDIU/RIDICAT
Explicaţii
Da Nu
CONTINUARE
2. Contabilitate
(a) Este funcţia contabilităţii descentralizată? X
FOARTE SCĂZUT/SCĂZUT/MEDIU/RIDICAT
Explicaţii
200
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
FOARTE SCĂZUT/SCĂZUT/MEDIU/RIDICAT
Explicaţii
Da Nu
CONTINUARE
4. Auditul societăţii
(a) Este prima dată când firma va audita acest client? X
FOARTE SCĂZUT/SCĂZUT/MEDIU/RIDICAT
Explicaţii
201
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
FOARTE SCĂZUT/SCĂZUT/MEDIU/RIDICAT
202
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
cont
Creditori - - - - - - Scazut 50%
Creditori pe termen lung - - - - - - Scazut 50%
Vânzări - - - - X - .Scazut 50%
Cumpărări - - - - X - .Scazut 50%
Cheltuieli - - - - X - .Scazut 50%
Salarii şi indemnizaţii X - X - X - .Scazut 70%
Alte secţiuni de audit - - - - X X .Scazut 50%
Balanţa de verificare şi - - - - X X .Scazut 50%
înregistrări contabile
Situaţii financiare - - - - - X .Scazut 50%
preliminare şi înregistrări
după sfârşitul exerciţiului
RISCURI INERENTE SPECIFICE ŞI MĂRIMEA Secţiunea
EŞANTIOANELOR INIŢIALE F3
Iniţiale Data
Client: Întocmit de
Perioada: Revizuit de:
RDNE Riscul de
Risc inerent Calculul benzii Dimensiunea
(RI): sursa control eşantionului
de risc
F2 (RC)
RI x RDNE x
RC
Imobilizările corporale şi necorporale 70% 56% 100% 39.2% 38
Conturi ale grupului şi investiţii 50% 56% 100% 28% 33
Stocuri şi producţie în curs de 70% 56% 100% 39.2% 38
execuţie – cantităţi
Stocuri şi producţie în curs de 70% 31% 100% 21.7% 28
execuţie – evaluare
Debitori 50% 31% 13.5% 2.09% 3
203
Auditul informaţiei contabile în condiţiile utilizării sistemelor informatice
______________________________________________________________________________________
204