auditul sistemelor informationale

Auditul sistemelor

informaticeClaudiu BRÂNDAŞ, conf. univ. dr. Departamentul de Sisteme Informaționale pentru Afaceri

Facultatea de Economie și de Administrare a Afacerilor

Universitatea de Vest din Timișoara

Obiective� Impactul sistemelor informatice economice asupra

activităţii auditorilor financiari

� Necesitatea şi definirea auditului sistemelor informatice

� Organisme, regulamente şi standarde privind auditul sistemelor informatice

� Riscurile şi controlul sistemelor informatice

� Metodologia de audit a sistemelor informatice

� Managementul functiei de audit informatic

� Tehnici de audit asistate de calculator

� Conform OMFP 1802/2014 – Reglementările contabile privind situaţiile financiare anuale individuale şi consolidate:

� CAPITOLUL 2

Dispoziţii şi principii generale

SECŢIUNEA 2.1

Dispoziţii generale

……..

17. – Obiectivul situaţiilor financiare anuale îlconstituie furnizarea de informaţii despre poziţiafinanciară, performanţa financiară şi fluxurile de trezorerie ale unei entităţi, utile unei categorii largide utilizatori.

� http://codfiscal.net/42096/omfp-18022014-reglementarile-contabile-privind-situatiile-financiare-anuale-individuale-si-situatiile-financiare-anuale-consolidate

� Pentru auditorii financiari calculatorul poate fi atât un obiectiv, cât şi un mijloc de prelucrare în activitatea de audit.

� Conform IFAC ISA – 315 “Identifying and assessing the risks of material misstatement through understanding the entity and its environment”:

�“The information system, including the related business processes, relevant tofinancial reporting, and communication”

�http://www.ifac.org/system/files/downloads/a017-2010-iaasb-handbook-isa-315.pdf

Sisteme Informatice Economice (S.I.E.)

-Politici şi proceduri de lucru

-Proceduri de control

Sistemul informaţional

al intreprinderii

Mediu informaţional

externSistemul informatic

al intreprinderii

Date şi informaţii

Date şi

informaţii

Date şi

informaţii

Procesele de afaceri

� În cadrul unei firme produsele sau serviciile sunt create pe baza unei secvențe de sarcini și activități.

� În cadrul acestor activități și sarcini sunt procesate seturi de intrări (materiale, financiare, informaționale etc.) și sunt obținute seturi de ieșiri.

� Procesul de afaceri reprezintă o colecție structurată și secvențială de sarcini și activități pentru obținerea unui produs sau a unui serviciu.

Procesele de afaceri

� de Bază

� de Suport

� de Management

Resursele informaţionale

� Datele;

� Informaţiile;

� documentele (primare, centralizatoare, rapoartele etc.);

� personalul;

� computerele şi perifericele;

� aplicaţiile informatice;

� mijloacele de comunicaţie;

� mijloacele de stocare a datelor.

� Politici şi poceduri de lucru

� Politici şi proceduri de control sau securitate

Aplicaţii (programe)

informatice economice

� Aplicaţii informatice pentru:

� financiar-contabilitate

� gestiunea stocurilor

� gestiunea mijloacelor fixe

� personal-salarizare

� producţie

� calculaţia costurilor

� distribuţie şi logistică

� analiza economico-financiară ş.a.

� Sisteme informatice economice integrate (ERP – Enterprise Resource Planning)

� Pachete de aplicaţii informatice pentru birou: MS Office, Lotus Smart Suite, Star Office ş.a.

Tehnologii IT&C

�Cloud Computing.

�Mobile Computing

� IoT (Internet of Things)

Sisteme Informatice

Economice

� Obiective principale:

� Culegerea, prelucrarea, transmiterea şi stocarea automată a datelor şi informaţiilor economice.

� Creşterea productivităţii prelucrărilor de date şi informaţii.

� Comunicarea rapidă şi eficientă a datelor şi informaţiilor.

� Creşterea potenţialului decizional pentru management.

� Gestiunea integrată a resurselor economice.

� Sprijină atingerea obiectivelor strategice ale întreprinderii.

� Sprijină sistemul de control intern.

Sisteme Informatice

Economice

�S.I.E. sunt expuse unor

vulnerabilităţi şi riscuri, care

afectează negativ obiectivele

sistemului, respectiv obţinerea

situaţiilor financiare

IT Governance

� procesul de conducere, control şi coordonare a resurselor informaţionale dintr-o organizaţie.

� obiectivele principale ale IT Governance sunt:

� stabilirea unor strategii pentru ca utilizarea resurselor informaţionale să fie în concordanţă cu obiectivele organizaţiei;

� utilizarea cât mai eficientă şi cu riscuri minime a resurselor informaţionale.

Auditul sistemelor

informatice

� Necesitatea activităţii de audit informatic s-a conturat pe baza unor consideraţii cum ar fi:

� Auditorii financiari şi interni au realizat că sistemul informatic are un impact tot mai mare asupra obiectivelor misiunilor lor.

� Managerii din cadrul întreprinderilor au recunoscut calculatorul ca fiind o resursă cheie în competiţia de pe piaţă şi ca atare se impune controlul şi auditarea proceselor unde este utilizat.

� Asociaţiile şi organizaţiile profesionale, precum şi guvernele, au recunoscut necesitatea controlului şi auditatarea sistemelor informatice.

� Impactul auditului sistemelor informatice asupra întreprinderii se concretizează în:

� creşterea securităţii mijloacelor sistemului

informatic;

� creşterea integrităţii datelor;

� creşterea utilizării efective a sistemului informatic;

� creşterea eficienţei exploatării sistemului informatic;

� creşterea eficienţei şi calităţii procedurilor şi

politicilor de securitate;

� creşterea calităţii controlului intern.

Auditul sistemelor

informatice

� Auditul sistemelor informatice reprezintă activitatea de colectare şi evaluare a unor probe pentru a determina dacă sistemul informatic este securizat, menţine integritatea datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale întreprinderii şi utilizează eficient resursele informaţionale.

� are la bază cunoştinţe din cel puţin patru domenii, astfel: auditul tradiţional, sisteme informaţionale pentru management, ştiinţa comportamentului (psihologie) şi informatică.

�Auditul sistemului informatic poate

fi organizat atât la nivelul

întreprinderii, în cadrul funcţiei de

audit intern, cât şi sub forma

auditului extern realizat de către

entităţi din afara întreprinderii.

Organisme, regulamente şi standarde

privind auditul sistemelor informatice

� ISACA (Information Systems Audit and Control Association)

� Web site: http://www.isaca.org

� Standarde: SISAS (Statement of Information Systems Auditing Standards)

� Ghiduri: Guidelines and Procedures for Audit and Control Professionals

CobiT (Control Objectives for Information and related

Technology)

� Certificări: CISA (Certified Information Systems Auditor)

� IFAC (International Federation of Accountants)

� Web site: http://www.ifac.org

� Standarde: ISA (International Standards on Auditing)

IAPS (International Auditing Practice Statements)

� Ghiduri: IITG (International Information Technology Guidelines)

� IIA (Institute of Internal Auditors)

� Web site: http://www.theiia.org

� Standarde: SIAS (Statements on Internal Auditing Standards)