Upload
truongque
View
258
Download
1
Embed Size (px)
Citation preview
ISA 620: Utilizarea activității unui expert din partea
auditorului
Utilizarea unui expert IT în
auditul sistemelor informatice
Claudiu BRANDAS, conf. univ. dr.
Facultatea de Economie si de Administrare a Afacerilor
Universitatea de Vest din Timisoara
Cuprins
1. ISA 620 „Utilizarea activității unui expert din partea auditorului”
2. Impactul utilizării sistemelor informatice în cadrul proceselor financiar-contabile şi de gestiune
3. Determinarea necesităţii utilizării serviciilor unuiauditor de sisteme informaţionale
4. Metodologia de audit a sistemelor informaţionale
5. Tehnici de audit asistate de calculator (CAATs)
6. Studii de caz
ISA 620 „Utilizarea activității unui expert din partea auditorului”
conferă auditorului financiar dreptul de a apela la serviciile unui specialist atunci când: „expertiza într-un domeniu, altul decât contabilitatea sau auditul, este necesară în vederea obținerii de probe de audit suficiente și adecvate, auditorul trebuie să stabilească dacă va utiliza activitatea unui expert din partea auditorului”.
ISA 620 prevede că este posibil să fie necesar un expert din partea auditorului în vederea
asistării auditorului în următoarele situații [Mirela G.] :
Obținerea unei înțelegeri a entității și a mediului său, inclusiv a controlului său intern.
În acest sens, standardul ISA 315 „Identificarea și evaluarea riscurilor de denaturare semnificativă prin înțelegerea entității și a mediului său” recomandă auditorului să înțeleagă sistemul informațional, riscurile care decurg din utilizarea tehnologiilor informaționale pentru a putea realiza o evaluare a sistemului de control intern al entității.
Identificarea și evaluarea riscurilor de denaturare semnificativă.
Același standard ISA 315 prevede între condițiile și evenimentele care pot indica riscuri de denaturare semnificativă următoarele: inconsecvențele dintre strategia informatică a entității și strategiile sale de afaceri, modificări ale mediului informatic, instalarea de noi sisteme informatice semnificative aferente raportării financiare etc.
Stabilirea și implementarea răspunsurilor generale la riscurile evaluate la
nivelul situațiilor financiare.
Conceperea și efectuarea de proceduri de audit ulterioare pentru a
răspunde riscurilor evaluate la nivelul afirmației, cuprinzînd teste ale
controalelor sau proceduri de fond.
• Evaluarea caracterului suficient și a gradului de adecvare probelor de audit
obținute prin formarea unei opinii asupra situațiilor financiare.
Impactul utilizării sistemelor informatice în cadrul proceselor financiar-contabile şi de gestiune
Sisteme Informatice de Gestiune (S.I.G.)
-Politici şi proceduri de lucru
-Proceduri de control
Sistemul informaţional
al organizaţiei
Mediu informaţional
externSistemul informatic
al organizaţiei
Date şi informaţii
Date şi
informaţii
Date şi
informaţii
Aplicaţii (programe) informatice
economice Aplicaţii informatice pentru:
◦ financiar-contabilitate
◦ gestiunea stocurilor
◦ gestiunea mijloacelor fixe
◦ personal-salarizare
◦ producţie
◦ calculaţia costurilor
◦ distribuţie şi logistică
◦ analiza economico-financiară ş.a.
Sisteme informatice economice integrate (ERP – Enterprise Resource Planning)
Pachete de aplicaţii informatice pentru birou: MS Office, Lotus Smart Suite, Star Office ş.a.
Tehnologii şi sisteme informatice
E-Business (E-Commerce, E-Banking)
Cloud Computing (SaaS, PaaS, IaaS, BPaaS)
Mobile Computing
IoT (Internet of Things)
S.I. sunt expuse unor vulnerabilităţi
şi riscuri, care afectează negativ obiectivele sistemului, respectiv obţinerea situaţiilor financiare.
Sisteme şi tehnologii informatice - Riscuri de denaturare semnificativă a raportărilor financiare
Riscurile şi controlul sistemelor
informatice
Riscul sistemului informaţional. Reprezintă
probabilitatea de apariţie a unor erori sau
fraude datorită utilizării inadecvate a sistemului
informaţional. Riscul sistemului informaţional
cuprinde:
◦ Riscurile la nivelul aplicaţiilor şi operaţiilor din
sistemul informatic.
◦ Riscul de continuare a activităţii sistemului
informatic.
Riscurile şi controlul sistemelor informatice Riscurile la nivelul aplicaţiilor şi operaţiilor din sistemul
informatic. Acestea pot fi:
securitatea scăzută a aplicaţiilor;
accesul neautorizat la datele sistemului;
introducerea unor date inadecvate sau false;
procesarea incompletă a datelor;
dublarea datelor tranzacţionate;
procesarea cu întârziere a datelor;
nefuncţionarea corectă a transmisiei datelor;
segregarea inadecvată sau inexistentă a funcţiilor şi responsabilităţilor;
analiza şi proiectarea defectuoasă a aplicaţiilor;
incompatibilitatea dintre aplicaţiile informatice;
infectarea aplicaţiilor cu viruşi electronici;
instruirea inadecvată a utilizatorilor;
suportul şi mentenanţa inadecvată a aplicaţiilor.
Riscul de continuare a activităţii sistemului informatic.
◦ Riscul disponibilităţii sistemului - reprezintă probabilitatea ca sistemul să devină indisponibil utilizatorilor datorită securităţii sale (de exemplu atacul de tip DoS al hacker-ilor).
◦ Riscul recuperării sistemului reprezintă probabilitatea ca datele şi operaţiile sistemului să nu mai poată fi recuperate în vederea continuării activităţii întreprinderii (de exemplu inexistenţa unor copii de siguranţă şi a procedurilor de recuperare şi continuare a activităţii conduc la creşterea nivelului acestui risc).
Controale IT
Standardul ISA 315 prevede că „din perspectiva auditorului, controalelesistemelor informatice sunt eficiente și eficace atunci când păstrează integritateainformațiilor și securitatea datelor pe care aceste sisteme le procesează, șiinclud controale generale ale sistemelor informatice și controale ale aplicațiilor”.
• Controalele generale ale sistemelor informatice, în conformitate cuISA 315, “sunt politici și proceduri aferente numeroaselor aplicații și susținfunctionarea eficientă a controalelor aplicațiilor”. Controalele generale se vorevalua din două perspective, pe de o parte din punct de vedere procedural(politica de securitate și procedurile aferente) și din punct de vedereoperațional (practic, cum operează procedura).
• Controalele aplicațiilor „sunt proceduri manuale sau automate carefuncționează, de obicei, la nivel de proces de afaceri al entității și se aplicăprocesării tranzacțiilor de către aplicațiile individuale” (conform ISA 315).Altfel spus, sunt controale automate implementate la nivelul aplicațiilorinformatice din sistem, cât și controale manuale realizate de utilizatoriiacestora, care vor asigura autorizarea, completitudinea, integritatea,acuratețea și disponibilitatea tranzacțiilor, cât și încrederea în activitatea deprocesare a informațiilor.
Controale IT
Determinarea necesităţii utilizării serviciilor unui auditor de sisteme informaţionale
Calitatea informaţiei contabile
conform OMFP 3055/2009, există patru caracteristici calitative ale situațiilor financiare:
◦ inteligibilitatea (să fie ușor de înțeles),
◦ relevanța (sunt influențate deciziile economice luate de către utilizatori),
◦ credibilitatea (să nu conțină erori semnificative)
◦ comparabilitatea (să se poată compara în timp poziția și performanța entității).
Procesarea tranzacţiilor prin
sistemele informatice poate să
conducă la manifestarea unor riscuri
de denaturare semnificativă a
informaţiei contabile
În etapa de planificare, auditorul financiar trebuiesă obțină informații suficiente și relevante care să-iconfere o înțelegere adecvată a mediului de lucru aentității auditate. [Mirela G.]
Implicit va realiza o analiză a riscurilor şi amediului de control IT, respectiv a tuturorsistemelor care au impact semnificativ asupraobţinerii situațiile financiare. Concluziile acesteietape, referitoare la arhitectura și complexitateasistemului informational, îi vor permite auditoruluifinanciar să stabilească dacă este necesară sau nuutilizarea experților IT în cadrul misiunii de auditfinanciar. [Mirela G.]
Factorii care vor determina această decizie (prelucrare dupa SAS 94 si Ghid de audit al sistemelor informatice) pot include [Mirela G.] :◦ Abilitățile și experiența IT a auditorului financiar
◦ Arhitectura rețelei IT și complexitatea tehnică a echipamentelor utilizate
◦ Generarea automată a tranzacțiilor, comunicația cu alte aplicații sau sisteme informatice
◦ Natura tranzacțiilor entității auditate (tranzacții de comerț electronic)
◦ Sisteme informatice complexe de tip ERP, SAP, Oracle, etc.
◦ Modificări ale sistemelor informatice existente sau implementarea unor noi sisteme
◦ Antecedente de probleme IT (fraudă informatică, erori ale utilizatorilor sistemului, incidente de securitate IT, greșeli de programare, atacuri informatice, etc)
◦ Sisteme IT în curs de dezvoltare
Chestionar
Metodologia de audit a sistemelor
informaţionale
Auditul sistemelor informaţionale reprezintă activitatea de colectare şi evaluare a unor probe pentru a determina dacă sistemul informatic este securizat, menţine integritatea datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale întreprinderii şi utilizează eficient resursele informaţionale.
Standarde și ghiduri pentru auditul sistemelor informaţionale
La nivel internațional, cele mai recunoscute referențiale asociate auditului sistemelor informatice sunt:
• Standardele internaționale de audit a sistemelor informaționale (IS Audit and Assurance
Standards) publicate de ISACA (Information System Audit and Control Association),
• COBIT (Control Objectives for Information and related Technology) publicat de ITGI (IT
Governance Institute)
• Standardele de audit publicate de INTOSAI (International Organization of Supreme Audit
Institutions) pentru instituțiile publice alături de care se regăsesc și o serie de ghiduri pentru
implementarea acestora, între care amintim și ghidul de audit IT(IT Audit Guidelines).
• Internal Control Integrated Framework publicat de COSO (Committee of Sponsoring
Organizations of the Treadway Commision) reprezintă un cadru de evaluare a controlului intern.
• Standardul ISO 27002 conţine un cadru de lucru pentru managementul securităţii
informaţiei.
• Risk Management Guide for Information Technology Systems publicat de NIST
(Nationale Institute of Standards and Technology U.S) este un ghid pentru evaluarea riscurilor IT.
• Standardele Internaționale de Audit ISA (International Standards on Auditing)
si IAPS (International Auditing Practice Statements) publicate de Asociația
Internațională a Contabililor Profesioniști (IFAC - International Federation of Certified
Accountants) .
• SAS nr. 94 „The Effect of Information Technology on the Auditor’s Consideration of
Internal Control in a Financial Statement Audit” publicat Institutul american AICPA
(American Institute of Certified Public Accountants).
Pe plan național, reglementările legislative privind protecția și securitatea informațiilor sunt:
• Legea nr. 365/2002 privind comertul electronic,
• Legea nr. 455/2001 privind semnatura electronică,
• Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice,
• Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a prelucrării datelor cu caracter personal,
• Legea nr. 64/2004 pentru ratificarea Convenției Consiliului Europei privind criminalitatea informatică,
• “Manualul de audit al sistemelor informatice„ și „Ghidul de audit al sistemelor informatice” publicate de Curtea de Conturi a Romaniei pentru domeniul asociat la nivelul institutiilor publice.
Metodologia de audit a sistemelor informaţionale
Având în vedere recomandările standardelelor IFAC –ISA şi ghidul ISACA pentru auditul sistemului informaţional, etapele generale ale unei unei misiuni de audit IT pot fi:
◦ Planificarea misiunii de audit.
◦ Evaluarea riscurilor şi controlului intern.
◦ Elaborarea programului de audit.
◦ Proceduri de audit şi culegerea probelor. Evaluarea și testarea controalelor generale
Evaluarea și testarea controalelor aplicațiilor informatice
◦ Formularea concluziilor şi elaborarea raportului.
◦ Urmărirea (monitorizarea) implementării recomandărilor din raportul de audit.
Culegerea probelor Probele pe care auditorul IT le culege într-o misiune sunt diverse. În general
acestea pot fi:◦ documente privind politicile şi procedurile de securitate din sistemul informaţional al
clientului;
◦ documente privind procedurile de lucru din sistemul informatic;
◦ documente sau observaţii privind infrastructura fizică (hardware) şi logică (software) a sistemului auditat.
◦ interviurile şi chestionarele aplicate;
◦ flowchart-uri de sistem şi/sau de aplicaţii;
◦ observaţii personale în cadrul foilor de lucru;
◦ fişiere cu datele extrase din aria de auditat;
◦ fişiere cu tranzacţiile de date necesare auditului;
◦ fişiere jurnal pentru intrări, prelucrări, tranzacţii de date şi tratare a erorilor;
◦ situaţii listate din aplicaţiile sistemului;
◦ fişierele cu datele de test;
◦ fişiere cu erori;
◦ capturi de ecrane
◦ conţinutul şi rezultatul testelor controlului din sistem;
◦ liste cu surse ale programelor utilizate în procesele auditate;
◦ conţinutul şi rezultatul testelor securităţii sistemului.
Raportul de audit a sistemelor
informaţionale
În structura raportului de audit se vor regăsi elementele de bază:
• Paragraf introductiv care va include: scopul misiunii de audit, obiectivele, perioada auditată, natura și întinderea procedurilor de audit.
• Cuprinsul va detalia:
• slăbiciunile controalelor analizate, riscurile asociate și
• recomandările necesare pentru diminuarea riscurilor
• orice rezervă pe care auditorul o are asupra sistemului auditat
• opinia și concluziile misiunii
• referențialul de raportare reprezentat de standardele, normele și ghidurile asociate domeniului auditat.
• Paragraf final în care se înscriu data raportului, adresa și semnătura auditorului.
Tehnici de audit asistate de calculator
(CAATs) Instrumente pentru creşterea productivităţii muncii de audit.
◦ Planificarea şi urmărirea automată a misiunii de audit: aplicaţiile pentru managementul proiectelor (MS Project, Primavera Project Planner etc.); aplicaţiile pentru calcul tabelar (MS Excel, OpenOffice);
◦ Editarea şi managementul automat al foilor de lucru (electronic workingpapers): Microsoft Office, IDEA (produs de către CaseWare), TeamMate (produs de PriceWaterhouseCoopers), BCOMM Audit Manager ş.a.;
◦ Comunicarea şi transferul automat al datelor: aplicaţii pentru e-mail (Microsoft Outlook), instrumente groupware (Lotus Notes Domino Server); forumuri intranet ş.a.
Aplicaţii generale de audit (GAS - Generalized Audit Software).
Aplicaţii informatice (utilitare) pentru testarea şi verificarea sistemului.
Auditul sistemelor informatice financiar-
contabile
Auditul aplicaţiilor informatice pentru
gestiunea mijloacelor fixe
Auditul aplicaţiilor pentru evidenţa
salariilor
Studii de caz
Program general pentru auditarea aplicaţiilor informatice de evidenţa a mijloacelor fixe
◦ Scopul auditului
Auditarea aplicaţiilor de evidenţă a mijloacelor fixe
◦ Obiectivele auditului
Asigurarea acurateţii şi integrităţii aplicaţiilor de evidenţă a mijloacelor fixe
Evaluarea controalelor din cadrul aplicaţiilor de evidenţă a mijloacelor fixe
◦ Planificarea
Întâlnirea cu managementul întreprinderii pentru clarificarea întinderii misiunii de audit.
Revizuirea unor misiuni anterioare privind evidenţa mijloacelor fixe pentru a determina unele probleme.
Realizarea unei evaluări preliminare a riscurilor pentru identificarea şi cuantificarea ameninţărilor şi vulnerabilităţilor din sistemul de evidenţă a mijloacelor fixe.
Scrierea detaliată a programului de audit, respectiv a foilor de lucru.
Formarea echipei de audit în funcţie de complexitatea aplicaţiilor şi a sistemului.
Stabilirea bugetului misiunii.
Desfăşurarea
◦ Revizuirea legislaţiei la zi referitor la evidenţa mijloacelor fixe.
◦ Identificarea personalului şi aplicaţiilor implicate în evidenţa mijloacelor fixe.
◦ Analiza tuturor documentelor şi rapoartelor privind evidenţa mijloacelor fixe pentru a înţelege circuitul şi fluxul informaţional din această activitate.
◦ Intervievarea personalului implicat.
◦ Documentarea şi completarea foilor de lucru cu procedurile şi descrierea circuitelor din cadrul aplicaţiilor pentru evidenţa mijloacelor fixe.
◦ Pregătirea datelor de test pentru testarea intrărilor şi prelucrărilor aplicaţiilor.
◦ Introducerea datelor de test şi verificarea controalelor de intrare şi prelucrare.
◦ Evaluarea modului de prelucrare şi concordanţa cu legislaţia şi regulamentele interne.
◦ Identificarea şi analiza erorilor.
◦ Evaluarea şi testarea controalelor aplicaţiilor. Controale de acces, de raportare, de stocare şi de modificare a aplicaţiilor.
◦ Testarea integrităţii datelor din baza de date şi din cadrul listelor sau rapoartelor.
◦ Evaluarea sistemului de operare sub care lucraeză aplicaţia.
◦ Documentarea tuturor testelor şi evaluărilor în cadrul foilor de lucru.
Raportarea
◦ Formularea concluziilor privind controalele şi integritatea sistemului de evidenţă a mijloacelor fixe.
◦ Prezentarea şi discutarea rezultatelor obţinute cu managementul clientului.
◦ Stabilirea recomandărilor.
◦ Pregătirea şi scrierea raportului de audit.
◦ Stabilirea condiţiilor şi termenilor pentru urmărirea implementării recomandărilor.
MULŢUMESC PENTRU ATENŢIE!