impactul tehnologiei asupra practicilor de audit intern - model referat
DESCRIPTION
finanteTRANSCRIPT
UNIVESRISTATEA BABEŞ – BOLYAI
FACULTATEA DE ŞTIINŢE ECONOMICE ŞI GESTIUNEA
AFACERILOR
CLUJ – NAPOCA
IMPACTUL TEHNOLOGIEI ASUPRA
PRACTICILOR DE AUDIT INTERN
Coordonator ştiinţific
Lect. univ. dr. Boţa-Avram Cristina
Studenţi An 2 Master, MCAC
Nicoară Ioana Sorina
Oltean Anca
2012
i
Cuprins
1. Introducere .................................................................................................................................. 1
2. Metodologia de cercetare ............................................................................................................ 3
3. Impactul tehnologiei asupra auditului intern .............................................................................. 5
3.1. Auditul intern în schimbare .................................................................................................. 5
3.2. Tehnologia utilizată în cadrul auditului intern ................................................................... 11
3.3. Auditul asistat de tehnologie .............................................................................................. 18
4. Concluzii ................................................................................................................................... 26
5. Bibliografie ............................................................................................................................... 27
1
1. Introducere
Dacă există un adevăr fundamental în mediul de afaceri actual, acesta este că puţine companii
pot funcţiona fără o tehnologie substanţială şi robustă. Tehnologia, în toate formele ei, este
indispensabilă în mediu competitiv de astăzi. Majoritatea companiilor se bazează pe calculatoare
şi software-uri pentru a obţine informaţii exacte care sunt necesare în gestionarea eficientă a
afacerii. Companiile au ales să includă soluţii IT pentru a se dezvolta şi a opera cu succes pe
pieţele pe care activează.
O modalitate prin care multe corporaţii au adoptat tehnologia informaţiei pe o scara largă este
prin instalarea de sisteme Enterprise Resource Planning (ERP) pentru a-şi satisface nevoile de
prelucrare a datelor şi realizarea tranzacţiilor. ERP-urile sunt software-uri care permit unei
organizaţii să utilizeze un sistem de aplicaţii integrate pentru a gestiona afacerea. Acestea
integrează toate faţete specifice unei operaţiuni, inclusiv dezvoltare, producţie, vânzări şi
marketing. Sistemele ERP creează noi oportunităţi, precum şi noile provocări pentru focusul
general al funcţiei de audit intern (Saharia et al., 2008). De aceea, funcţia de audit intern trebuie
să fie adaptabilă şi creativă.
Institutul Auditorilor Interni (IIA- Institute of Internal Auditors), autoritatea globală pentru
profesia de audit intern, a recunoscut rolul vital al tehnologiei în realizarea auditului intern, atât
în Ghidul Evaluări Riscului IT (GAIT – Guide to the Assessment of IT Risk) cât şi prin
modificări cheie asupra Standardelor Internaţionale pentru Practica Profesională în Auditul
Intern (International Standards for the Professional Practice of Internal Audit). Încă de la nivelul
anului 2010, în standardul IIA 1220.A2 se menţionează ”În exercitarea profesiei, auditorii interni
trebuie să considere implementarea auditului asistat de tehnologie şi a altor tehnici de analiză a
datelor.” Acelaşi standard susţine că “Activitatea de audit intern trebuie să evalueze dacă
guvernanţa tehnologiei informaţiei a organizaţiei susţine strategiile şi obiectivele
organizaţionale”. De aceea auditorii interni trebuie să se familiarizeze cu noile tool-uri de analiză
a datelor, cu tehnicile de audit asistate de calculator (CAATs), precum şi cu practicile de audit
continuu şi monitorizare continuă.
2
Organizaţiile din ziua de astăzi sunt din ce în ce mai sofisticate, iar funcţia de audit intern trebuie
să fie conectată la tehnologie pentru a-şi îmbunătăţii scopul şi ritmul de muncă, pentru a produce
rezultate mai bune, mai relevante şi mai sigure într-un timp cât mai scurt. Acest fapt devine mai
evident pe fondul nesiguranţei din economia globală, care forţează organizaţiile să producă mai
multe cu mai puţine resurse. În acelaşi timp, cererile şi aşteptările din partea auditorilor interni
sunt tot mai mari şi în schimbare în vederea îmbunătăţirii managementului riscurilor şi a
asigurării unui proces de guvernanţă şi control funcţional. Creşterea interesului publicului în
guvernanţa corporativă, în special cu privire la conceptul în schimbare de control intern (IFAC,
2006) a condus organizaţiile spre revizuirea aşteptărilor legate de funcţia de audit intern. Mai
mult decât atât, odată cu dezvoltarea managementului riscurilor ca un aspect integrant al
guvernanţei corporative, schimbări au avut loc şi în cadrul rolului auditorilor interni.
Funcţia de audit intern este îmbunătăţită astăzi de către auditul asistat de tehnologie şi de
tehnicile de analiză a datelor. Acum, auditul intern are capacitatea de a examina cantităţi mari de
date, de a identifica modele, tipare, trenduri şi potenţiale riscuri precum şi de a face recomandări
mai bune managementului şi Consiliului de Administraţie. Auditul intern asistat de tehnologie
oferă un nou nivel de vizibilitate asupra a ceea ce se întâmplă în organizaţii şi prin urmare
problemele sunt mai uşor de identificat şi rezolvat. Această acurateţe, precizie şi eficienţă oferă
funcţiei de audit intern posibilitatea de a se concentra mai mult asupra activităţilor strategice, de
ansamblu.
3
2. Metodologia de cercetare
Auditul intern este o funcţie în cadrul unei companii care nu variază în funcţie de obiectul de
activitate al acesteia, ci mai degrabă de dimensiune şi de complexitatea operaţiunilor desfăşurate.
Modul de organizare şi de funcţionare a departamentului de audit intern este specific fiecărei
companii şi nu se încadrează în informaţiile făcute publice de către acestea. Pe de-o parte pentru
că atât controalele interne cât şi auditul intern sunt adaptate în funcţie de activităţile, de modul de
funcţionare şi de diviziunea muncii în cadrul companiilor şi pe de altă parte deoarece aceste
informaţii nu sunt utile publicului deoarece nu oferă nici un tip de asigurare referitor la
informaţiile financiar-contabile sau la activitatea companiei. Asigurarea rezonabilă asupra
situaţiilor financiare este furnizată de auditul extern.
Luând în considerare aceste aspecte, informaţiile necesare pentru studierea practicilor de audit
intern în cadrul companiilor pot fi culese doar din interiorul acestora, şi cu acordul lor. În plus,
desprinderea unor concluzii generale privitoare la practicile de audit este dificilă deoarece
acestea sunt adaptate specificului fiecărei companii. Acest fapt poate explica şi lipsa interesului
spre studii referitoare la acest domeniu.
Pentru realizarea lucrării de faţă am apelat la studii de specialitate pentru reliefarea impactului
tehnologiei asupra mediului de afaceri în general, cu implicaţii importante şi asupra practicilor de
audit intern. Am considerat tehnologia ca având un dublu impact asupra practicilor de audit
intern. Pe de-o parte prezenţa tehnologiei în toate operaţiunile şi tranzacţiile companiilor le
expune la riscuri specifice şi le remodelează modul de organizare şi funcţionare. În acest sens,
auditul intern trebuie să se adapteze pentru contracararea riscurilor nou apărute şi pentru a se plia
pe noua funcţionare a entităţilor. Pe de altă parte, dezvoltarea tehnologică permite regândirea
proceselor de audit prin utilizarea unor soft-uri care să eficientizeze munca auditorilor şi să le
permită efectuarea unor teste mai complexe.
Pentru reliefarea impactului tehnologiei asupra practicilor de audit, am considerat oportun
prezentarea unor exemple concrete. Pentru aceasta am apelat la studii de specialitate care, pe
4
baza interviurilor desfăşurate, au cules informaţii referitoare la utilizarea tehnologiei în cadrul
funcţiei de audit intern. Aceste studii prezintă exemple concrete de companii care utilizează
anumite programe informatice pentru eficientizarea şi atingerea obiectivelor auditului intern.
5
3. Impactul tehnologiei asupra auditului intern
3.1. Auditul intern în schimbare
Accentul la nivel mondial asupra necesităţii guvernanţei corporative a provocat un interes în
creştere în funcţia de audit intern (Goodwin şi Yeo, 2001). Funcţia de audit intern s-a schimbat în
mod semnificativ pentru a face faţă evoluţiilor în guvernanţa corporativă (Bailey et al., 2003),
precum şi evoluţiilor din domeniul tehnologiei informaţiei (Allegrini et al., 2006). Cu toate
acestea, rămâne o provocare continuă pentru funcţia de audit intern să îşi dovedească valoarea
adăugată organizaţiilor prin îmbunătăţirea guvernanţei corporative în mediul IT extins.
Cadrul internaţional al Practicii Profesionale (IPPF - International Professional Practices
Framework) este cadrul conceptual care organizează ghidurile promulgate de către Institutul
Auditorilor Interni (IIA). Institutul, o organizaţie de încredere la nivel global, oferă
profesioniştilor din domeniul auditului intern îndrumări şi ghiduri organizate în IPPF sub forma
unor ghiduri obligatorii şi a unor ghiduri recomandate.
Ghidurile obligatorii includ 3 elemente: Definitia Auditului Intern, Codul de Etică şi Standardele
Internaţionale de Practică Profesională de Audit Intern (International Standards for the
Professional Practice of Internal Auditing – denumite în continuare Standarde). Ghidurile
obligatorii sunt dezvoltate în urma unui proces minuţios stabilit, care include o perioadă de
dezbatere publică pentru a ţine cont de părerea tuturor părţilor interesate.
Standardele sunt focalizate pe principii şi oferă un cadru pentru realizarea şi promovarea
auditului intern. Standardele cuprind: cerinţele de bază pentru practica profesională a auditului
intern şi pentru evaluarea eficienţei performanţei sale - cerinţele sunt aplicabile pe plan
internaţional la nivel organizaţional şi individual; interpretări ale standardelor – clarifică termeni
şi concepte întâlnite în cerinţe; glosar de termeni. Conformitatea cu principiile stabilite în
ghidurile obligatorii este necesară şi esenţială pentru practica profesională a auditului intern.
6
Institutul Auditorilor Interni (IIA- Institute of Internal Auditors), autoritatea globală pentru
profesia de audit intern, a recunoscut rolul vital al tehnologiei în realizarea auditului intern, atât
în Ghidul Evaluări Riscului IT (GAIT – Guide to the Assessment of IT Risk) cât şi prin
modificări cheie asupra Standardelor Internaţionale pentru Practica Profesională în Auditul
Intern (International Standards for the Professional Practice of Internal Audit). Încă de la nivelul
anului 2010, în standardul IIA 1220.A2 se menţionează ”În exercitarea profesiei, auditorii interni
trebuie să considere implementarea auditului asistat de tehnologie şi a altor tehnici de analiză a
datelor.” Acelaşi standard susţine că “Activitatea de audit intern trebuie să evalueze dacă
guvernanţa tehnologiei informaţiei a organizaţiei susţine strategiile şi obiectivele
organizaţionale.” De aceea auditorii interni trebuie să se familiarizeze cu noile tool-uri de analiză
a datelor, cu tehnicile de audit asistate de calculator (CAATs), precum şi cu practicile de audit
continuu şi monitorizare continuă.
Ghidurile recomandate descriu practici pentru implementarea eficientă a ghidurilor obligatorii şi
sunt alcătuite din: position papers (rapoarte de poziţie, evidenţiază poziţia institutului cu privire
la diferite chestiuni semnificative), practice advisories (recomandări de practică) şi practice
guides (ghiduri de practică). Ghidurile de practică oferă îndrumări referitoare la desfăşurarea de
activităţi de audit intern, dorind totodată să sprijine interacţiunea şi comunicarea auditului intern
cu Consiliul de Administraţie. Acestea includ procese şi proceduri, instrumente şi tehnici,
programe, abordări pas-cu-pas, precum şi exemple. Ghidurile de Practică sunt împărţite în 4
categorii: Generale, pentru Sectorului Public, ghiduri pentru tehnologia de audit la nivel global -
Global Technology Audit Guides (GTAG) şi ghiduri pentru evaluarea riscurilor în IT - Guide to
the Assessment of IT Risk (GAIT).
GTAGs sunt scrise într-un limbaj de afaceri clar şi abordează problemele actuale legate de
gestionarea tehnologiei informaţiei (IT), control şi securitate. Acestea servesc drept resursă
pentru directorii de audit în legătură cu diferite riscuri asociate tehnologiei şi practicile
recomandate. Seria de ghiduri practice GAIT descrie relaţiile dintre riscul afacerii, controale
cheie din cadrul proceselor de afaceri, controale automate şi alte funcţionalităţi critice ale
tehnologiei informaţiei şi controale cheie în cadrul controalelor generale IT. Fiecare ghid
7
abordează un aspect specific al tehnologiei informaţiei din puncte de vedere al riscului şi al
evaluării controlului.
Introducerea tehnologiei, într-un sistem existent este o provocare masivă şi are un impact
puternic asupra organizaţiei la nivelul tuturor departamentelor. Tehnologia poate include, dar nu
se limitează la servere, dispozitive mobile, tablete, calculatoare, social media, protocoale de
comunicare, reţele wireless, site-uri de comerţ electronic, şi alte tool-uri, sofware-uri şi platforme
indispensabile mediului de afaceri actual. Una dintre cele mai importante inovaţii din lumea IT
au fost sistemele Enterprise Resource Planning (ERP). Punerea în aplicare a sistemelor ERP
necesită reorganizarea şi re-ingineria proceselor de afaceri. Acest lucru implică noi modalităţi de
proiectare a sarcinilor, a locurilor de muncă, de comunicaţii în cadrul organizaţiei şi conduce la
structuri noi de lucru şi proceduri (Kallinikos, 2004).
Sistemele ERP automatizează activităţile organizaţiilor prin intermediul unei aplicaţii software
integrate. Acestea facilitează fluxul de informaţii între toate funcţiunile afacerii din interiorul
graniţelor organizaţiei şi gestionează conexiunile cu stakeholderii exteriori. Tabelul de mai jos
sintetizează diferenţele dintre mediul organizaţional tradiţional şi mediu ERP:
Mediu Tradiţional Mediu ERP
Sisteme multiple Mai puţine sisteme
Dispersat şi diversificat Soluţii integrate
Dezvoltat cu mijloace proprii Dezvoltat de un specialist (distribuitor)
Orientat pe loturi de procesare Orientat spre susţinerea viziunii strategice şi a
procesului de luare a deciziilor
Sistem închis Deschidere pentru colaborări
Cerere pentru abilităţi de programare
disponibile în cadrul firmei
Necesitatea unor noi seturi de abilităţi
complexe
Mai în detaliu, un sistem ERP se caracterizează prin:
baza de date este, de obicei, centralizată şi deoarece aplicaţiile sunt utilizate de o
multitudine de utilizatori, sistemul este flexibil şi permite personalizare şi configurare;
8
procesele se desfăşoară online în timp real, prin urmare bazele de date sunt actualizate
simultan;
introducerea de date este condiţionată de validarea datelor şi se bazează pe
interrelaţionarea acestora;
deoarece tranzacţiile sunt stocate într-o bază de date comună, diferite module
actualizează intrările în baza de date;
autorizarea este făcută la nivelul aplicaţiei şi nu al bazei de date. prin urmare, evaluarea
controlului securităţii este de o importanţă capitală;
auditorii trebuie să îşi petreacă un timp considerabil cu înţelegerea fluxurilor de date şi
prelucrarea tranzacţiilor;
sistemul depinde într-o mare măsură de reţele pe scară largă;
vulnerabilitatea datorată accesului sporit este preţul plătit pentru o integrare mai ridicată
şi o procesarea mai rapidă a datelor într-o manieră integrată;
riscul de defectare a unui sigur punct care să ducă la blocarea întregului sistem este mai
mare în sistemele ERP.
Tehnologia şi în special sistemele ERP pot schimba structura internă a funcţiei de audit şi
practica în domeniu. Punerea în aplicare a sistemelor ERP alături de alte progrese tehnologice
acţionează ca un catalizator pentru schimbarea funcţiei de audit intern, prin afectarea controlului
intern şi a riscurilor din cadrul organizaţiei. Mediul de control al riscurilor este influenţat de
tehnologie şi de implementarea sistemelor ERP. Prin urmare, funcţia de audit intern trebuie să fie
remodelată. Relaţiile sale cu toate celelalte părţi implicate vor fi de asemenea afectate (Paape et
al, 2003).
Unele studii consideră că auditorii interni au pierdut controlul asupra rolului lor tradiţional de
evaluatori, deoarece acest rol este acum construit în IT şi cunoştinţele lor de audit au devenit
uşor transferabile personalului IT (Spathis şi Constantinides, 2004). Alţii sugerează că auditorii
interni nu numai că îşi continuă funcţia lor tradiţională, dar îşi extind, de asemenea, şi rolului lor
în alte zone funcţionale (Bierstaker, 2001; Lightle şi Vallario, 2003; Madani, 2009).
9
Sistemele ERP elimină interacţiunea umană cu fluxuri de date. Astfel, se sporeşte securitatea,
precizia şi integritatea în cadrul organizaţiilor. Ca urmare, transparenţa în procesele de afaceri a
crescut. Deşi obiectivele de control intern rămân aceleaşi, mecanismele de control sunt
modificate (Madani, 2009). Sistemele ERP aduc schimbări în controlul intern, procesul de
afaceri şi separarea funcţiilor (Hunton et al, 2001;. Wright şi Wright, 2002). Totodată sunt
afectate multe aspecte de control, cum ar fi planificarea de control şi monitorizare, autorizaţiile,
autentificarea utilizatorilor, restricţiile de timp, integritatea datelor, reconcilieri şi separarea
funcţiilor (Sia et al., 2002).
Pe de o parte, sistemele ERP restrâng controlul intern. OLeary (2000) afirmă că sisteme ERP
consolidează controlul prin intermediul unor informaţii standardizate şi accesibile, care fac orice
abatere vizibilă. Pe de altă parte, practicile de afaceri, care sunt încorporate în ERP şi
transparenţa au dus simultan la mai multă putere conferită salariaţilor şi relaxarea controlului
(Elmes et al., 2005). Cu toate acestea, nu există multe cercetări cu privire la schimbările necesare
în funcţia de audit intern pentru a se asigura de buna funcţionare a controlului intern în cadrul
organizaţiilor bazate pe ERP, în scopul de a spori legitimitatea acestuia.
Complexitatea sistemelor integrate ERP generează riscuri suplimentare. O eroare introdusă într-o
parte a sistemului poate perturba întregile operaţiuni ale afacerii (Saharia et al., 2008). Mai mult
decât atât, OLeary (2000) susţine că natura interdependentă a sistemului ERP expune
organizaţiile la unele riscuri semnificativ diferite. Aceste riscuri unice includ întreruperea
activităţii în curs de desfăşurare, procesul de interdependenţă, intimitate şi confidenţialitate,
calitatea datelor şi riscuri cu privire la securitatea sistemului.
Este important ca auditorii interni să fie conştienţi de riscurile unice asociate cu sisteme de tip
ERP, în scopul de a planifica şi executa o funcţie de asigurare. Cu toate acestea, modificările
necesare în funcţia de audit intern pentru a ajuta la gestionarea riscurilor au fost trecute cu
vederea în mediul sistemelor ERP. De aceea, este importantă investigarea modului în care
funcţia de audit intern trebuie să se schimbe pentru a menţine legitimitatea.
10
Sistemele ERP prezintă noi provocări şi oportunităţi pentru funcţia de audit intern (Hunton et al,
2001;. Wright şi Wright, 2002). Funcţia tradiţională a auditului intern nu mai este suficientă,
odată cu punerea în aplicare a acestor sistemelor (Madani, 2009). Ele complică funcţia de audit
intern. Datorită naturii în timp real a sistemelor ERP, mulţi auditorilor interni nu mai deţin
pregătirea necesară pentru a îndeplini misiunea lor de guvernare.
Pe de altă parte, sisteme de tip ERP au condus la o schimbare semnificativă a focusului general
al funcţiei de audit intern. Profesioniştii în audit intern dezvoltă un rol tot mai amplu pentru ei
înşişi. Aceştia sunt responsabil mai puţin de verificarea datelor şi oferă mai multă consultanţă. În
acelaşi timp, capacităţile auditorilor interni au fost extinse (Saharia et al., 2008), ceea ce induce
costuri mai mari şi necesită alte abilităţi decât cele aferente funcţiei de bază standard (Paape et
al., 2003). Rolul auditului intern este pro-activ şi în curs de dezvoltare.
Auditorii trebuie să-şi extindă abilităţile lor pentru a lucra în mod eficace şi eficient în mediul
ERP. În caz contrar, auditorii interni pot să se confrunte cu o diminuare a necesităţii prezenţei lor
prin preluarea noilor atribuţii de către alte grupuri concurente profesional. Spathis şi
Constantinides (2004) examinează modificările aduse prin implementarea de sisteme ERP în
procesul de contabilitate. Rezultatele au arătat că singura schimbare notabilă în practicile de
contabilitate este legată de utilizarea sporită a funcţiei de audit intern.
Informaţiile disponibile pană la ora actuală nu abordează suficient de avansat problema
influenţiei tehnologiei în special prin sisteme ERP asuprea rolului auditului intern. Schimbarea
funcţiei de audit intern, ca răspuns la punerea în aplicare a sistemelor ERP este privită adeseori
contradictoriu, însă cu siguranţă această schimbare este constatată.
11
3.2. Tehnologia utilizată în cadrul auditului intern
Modul de organizare şi funcţionare a auditului intern, respectiv a departamentului de audit este
specific fiecărei companii. Tehnologia utilizată în cadrul practicilor de audit intern, sau lipsa
utilizării acesteia este de asemenea specifică fiecărei companii în parte. Trebuie subliniat faptul
că aceste informaţii nu sunt puse la dispoziţie de către companii, nu sunt făcute publice. Drept
urmare, pentru a reliefa tendinţele, modul şi măsura în care tehnologia este utilizată în cadrul
practicilor de audit intern am apelat la studiul realizat de Protiviti în 2012 „Internal Audit
Capabilities and Needs Survey”. Acest studiu este bazat pe răspunsurile angajaţilor la un
chestionar. Majoritatea respondenţilor sunt angajaţi ai unor companii americane.
În cadrul practicilor de audit intern, tehnologia este utilizată doar de 65% din companii. 35%
dintre acestea nu utilizează nici un tip de software. Dintre companiile care utilizează softuri
informatice, 37% folosesc programe informatice pentru activităţi de bază, cum ar fi păstrarea
documentelor şi prelucrarea de text. În plus, doar jumătate din companiile intervievate utilizează
tehnologia pentru a preveni, detecta, monitoriza şi investiga fraudele.
Rezultatele studiului indică faptul că este resimţită nevoia de îmbunătăţire a nivelului de utilizare
a tehnologiei în cadrul auditului intern. Principalele arii în care se resimte această nevoie sunt:
modul de gestionare al activelor din domeniul IT, crearea şi gestionarea furnizorilor, controlul
acceselor şi încasările. Modul de gestionare al activelor din domeniul IT prezintă o deosebită
importanţă deoarece toate funcţiile din cadrul unei companii necesită un anumit nivel de
tehnologie (computere, softuri informatice). În consecinţă acestea se află răspândite în întreaga
companie, la majoritatea angajaţilor şi necesită o bună gestionare. În plus, activele IT conţin date
esenţiale pentru companie. Pierderea, distrugerea sau publicarea unor date confidenţiale poate
avea efecte nefaste. Celelalte arii în care se resimte nevoia de îmbunătăţire a nivelului de
utilizare al tehnologiei se referă în principal la evitarea fraudelor (crearea unor furnizori fictivi şi
efectuarea de plăţi către aceştia, accesul la date, informaţii sau tranzacţii al unor persoane
neautorizate).
12
În ceea ce priveşte nivelul efectiv de utilizare a tehnologiei în cadrul practicilor de audit intern,
ariile în care aceasta este cel mai practicată sunt: controlul acceselor, datoriile către
furnizori/plăţi şi achiziţiile. Deşi în aceste domenii se utilizează un nivel mai înalt al tehnologiei,
respondenţii consideră că este nevoie de o îmbunătăţire a nivelului de utilizare a tehnologiei.
Domeniile în care tehnologia este cel mai puţin utilizată sunt: operaţiunile de leasing pentru
echipamente, operaţiunile de leasing operaţional, drepturi de autor. În aceste domenii nici nu este
resimţită nevoia de a utiliza tehnologia pentru auditul intern.
Aceste rezultate sunt aferente tuturor respondenţilor. Dacă ne focalizăm doar pe răspunsurile
directorilor de audit intern, apar mici diferenţe. Directorii de audit intern resimt nevoia de
îmbunătăţire a nivelului de utilizare a tehnologiei în principal în ceea ce priveşte modul de
gestionare al activelor IT. Spre deosebire de rezultatele generale, aceştia consideră importantă
creşterea nivelului de utilizare a tehnologiei pentru auditarea încasărilor şi a modului de
gestionare a furnizorilor.
Înafara nivelului de utilizare a tehnologiei, trebuie luat în considerare şi nivelul cunoştinţelor
tehnice ale personalului angajat. Implementarea şi utilizarea tehnologiei implică şi cunoaşterea
de către personalul angajat a modului de funcţionare a acesteia, ceea ce implică trainingul
angajaţilor precum şi dorinţa şi motivaţia acestora de a învăţa şi utiliza tehnologia.
Cunoştinţele tehnice cu nivelul cel mai scăzut şi cu nevoia cea mai mare de îmbunătăţire sunt în
domeniul social media şi cloud computing. Aceste domenii sunt relativ noi iar utilizarea lor în
cadrul companiei duce la apariţia de noi riscuri ceea ce impune auditului intern identificarea,
evaluarea, monitorizarea şi controlarea lor.
În ceea ce priveşte social media, mediul s-a schimbat drastic în ultimi ani şi multe companii se
zbat să ţină pasul cu schimbările şi cererile din această zonă. Aplicaţiile social media şi site-uri
ca Facebook sau Twitter au explodat în termeni de popularitate în ultimii ani şi noi site-uri social
media apar online într-un ritm foarte alert. Unele firme au politici vagi sau învechite de social
media şi inaplicabile în cazul în care activităţi inadecvate apar. Conform studiului Information
Technology Capabilities and Needs 2011 doar o pătrime din respondenţi au primit instrucţiuni
13
clare în ceea ce priveşte utilizarea social media. Aşadar, în majoritatea organizaţiilor este loc
pentru îmbunătăţiri.
Prin intermediul cloud computing-ului aplicaţiile şi datele sunt disponibile utilizatorilor unei
organizaţii oriunde şi oricând aceştia doresc să le acceseze. Prin urmare, pentru ca afacerea să
funcţioneze şi să livreze produsele sau serviciile sale nu mai trebuie să întreţină hardware-ul şi
software-ul necesar, sau să dispună de suport pentru a menţine toate componentele acestei
infrastructuri actualizate, securizate şi disponibile. Cloud computing-ul urmăreşte să crească
viteza cu care aplicaţiile sunt rulate, să crească inovaţia şi să reducă costurile, dar şi să mărească
agilitatea afacerii (Sun). Alte potenţiale beneficii pentru organizaţiile care apelează la cloud
computing sunt: separarea afacerii de infrastructură necesară funcţionării acesteia; flexibilitate în
alegerea furnizorilor de servicii de cloud computing astfel încât acestea să se potrivească cât mai
bine nevoilor afacerii cu posibilitatea încheierii unor contracte pe termen scurt; natura elastică a
infrastructurii ce oferă posibilitatea de a aloca resurse considerabile spre anumite servicii în
funcţie de cerere; reducerea costurilor datorită eficienţei operaţionale; implementarea mai rapidă
a noilor servicii oferite; reducerea riscului operaţional, dacă disponibilitatea serviciilor este
corect protejată în baza unui contract.
Utilizarea cloud computing-ului poate prezenta riscuri pentru companie, dar dacă anumite riscuri
cheie sunt înţelese şi planificate încă de la început acestea pot fi gestionate. Înainte de a trece
spre cloud computing companiile ar trebui să evalueze riscurile la care se expun. Rolul auditului
intern în procesul de migrare spre cloud computing este considerabil. Datorită funcţiei sale de
asigurare, auditul intern va ajuta managementul să identifice riscurile cheie şi să determine dacă
aceste riscuri au fost adecvat evaluate şi s-au luat măsurile necesare pentru diminuarea lor
(Protiviti, Internal Audit`s Role in Cloud Computing, 2011).
Printre domeniile în care se resimte nevoia de îmbunătăţire a cunoştinţelor tehnice se numără şi:
gestiunea riscului de fraudă, tehnologii pentru analiza datelor, cuantificarea eficienţei auditului
intern. Comparând rezultatele cu cele din anii anteriori se pot desprinde următoarele concluzii:
nevoia de cunoaştere a aplicaţiilor social media şi a cloud computing este nouă, fiind identificată
de angajaţi doar în anul 2011; în aceeaşi situaţie se află şi cunoaşterea tehnologiilor pentru
14
analiza datelor; angajaţii şi-au îmbunătăţit nivelul cunoaşterii tehnologiilor de tip eXtensible
Business Reporting Language (XBRL) şi Control Objectives for Information and Related
Technology (COBIT).
XBRL este un standard global disponibil gratuit pentru schimbul de informaţii caracteristice
afacerilor. XBRL permite exprimarea sensului semantic utilizat în principal în raportarea
informaţiilor de afaceri. Limbajul este bazat pe XML şi utilizează sintaxa XML şi tehnologii
conexe. O utilizare a XBRL este de a defini şi schimba informaţii financiare, cum ar fi situaţiile
financiare. COBIT este un cadru creat de ISACA (Information Systems Audit and Control
Association) pentru management IT şi guvernanţa IT. Acesta este un set de instrumente de
sprijin, care permite managerilor să reducă decalajul dintre cerinţele de control, probleme tehnice
şi riscurile de afaceri.
Auditul intern este specific fiecărei companii. Drept urmare şi tehnologiile utilizate şi stăpânite
de angajaţi diferă de la o companie la alta. Totuşi, unele caracteristici sunt comune companiilor
în funcţie de dimensiunea lor. Astfel, dacă lipsa de cunoaştere a aplicaţiilor social media este
comună tuturor companiilor, cunoaşterea tehnică a cloud computing este prezentă în cazul
angajaţilor companiilor mari şi doar în cazul companiilor mici şi mijlocii se resimte nevoia de
îmbunătăţire a cunoştinţelor în acest domeniu. În cazul companiilor mici şi mijlocii trebuie
îmbunătăţit nivelul de cunoaştere al tehnologiilor pentru prevenirea şi detectarea fraudelor în
contextul automatizării proceselor. Se poate desprinde concluzia că în companiile mari angajaţii
beneficiază de cursuri de pregătire profesională pentru a stăpâni modul de funcţionare al
proceselor automatizate. În cadrul companiilor mici şi mijlocii, deşi automatizarea proceselor
este o realitate, angajaţii nu sunt pregătiţi pentru a face faţă tuturor schimbărilor implicate de
acest fapt. Cunoaşterea modului de gestiune a riscului de fraudă, care este un aspect mai sensibil
şi mai greu de cuantificat, trebuie îmbunătăţită în cadrul tuturor companiilor, indiferent de
dimensiunea lor.
În ceea ce priveşte cunoaşterea proceselor de audit, nevoia cea mai pregnantă de îmbunătăţire a
cunoştinţelor este în domeniul auditului continuu, urmat de CAATs (Computer Assisted Audit
Tools) şi de monitorizarea continuă. De asemenea angajaţii consideră că ar trebui să îşi
15
îmbunătăţească nivelul de cunoaşterea a programelor pentru analiza datelor. Aceste domenii în
care se resimte nevoia de îmbunătăţire a cunoştinţelor sunt constante în ultimii 3 ani, diferă doar
ordinea lor. Astfel, dacă în 2010 pe primul plan se afla cunoaşterea CAATs si a programelor
pentru analiza datelor, în 2011 şi 2012 pe primul loc se află auditul continuu. Se poate desprinde
concluzia că în ultimii 3 ani angajaţii şi-au îmbunătăţit nivelul de cunoştinţe în ceea ce privesc
programele de analiză a datelor, însă acesta este un domeniu în continuă evoluţie ceea ce implică
un proces de învăţare continuă din partea angajaţilor.
Auditul continuu este un proces de audit care examinează practicile de contabilitate în mod
continuu de-a lungul anului. Auditurile continue sunt de obicei bazate pe tehnologie şi sunt
proiectate pentru a automatiza verificarea erorilor şi a datelor în timp real. Un sistem de audit
continuu declanşează alarma dacă sunt anomalii şi erori detectate în sistem şi emite o notificare
despre acestea.
Programul de monitorizare continuă are ca scop determinarea dacă un set complet de controale
de securitate din cadrul unui sistem continuă să fie eficiente în timp pe fondul schimbărilor
inevitabile care apar. Monitorizarea continuă este o activitate importantă în evaluarea impactului
de securitate asupra unui sistem ca urmare a schimbărilor planificate şi neplanificate la nivelul
hardware-ului, software-ului, firmware-ului sau mediului de operare.
Astfel, monitorizarea continuă oferă managementului posibilitatea să determine mai repede şi cu
mai mare acurateţe spre ce ar trebui să îşi îndrepte atenţia şi resursele pentru a îmbunătăţii
procese, pentru a diminua riscuri sau a lansa iniţiative cu scopul de a îşi atinge obiectivele
propuse. Pe de alta parte, auditul continuu oferă auditorilor interni posibilitatea de a determina
mai repede şi cu mai mare acurateţe spre ce ar trebui să îşi îndrepte atenţia şi resursele astfel
încât să îmbunătăţească calitatea auditurilor şi să susţină managementul.
Termenul de CAATs (Computer Assisted Audit Tools) reuneşte toate tehnicile care implică
utilizarea calculatorului pentru aplicarea procedurilor de audit. CAATs include toate tehnicile de
acest fel, de la aplicaţii simple de prelucrare de text până la sisteme complexe şi specializate.
Printre acestea se numără şi Microsoft Word, MS Excel şi MS Access pentru prelucrare de text,
16
organizarea foilor de lucru, grafice. Alte aplicaţii folosite pentru baze de date şi pentru analizarea
datelor sunt Oracle, Statistical Analysis Software (SAS), Structured Query Language (SQL),
Crystal Report şi PowerBuilder. Aceste aplicaţii pot fi folosite pentru extragerea şi selectarea
datelor precum şi pentru analiza acestora. Embedded Audit Modules (EAMs – module de audit
incorporate) sunt o categorie aparte de CAATs şi se evidenţiază prin faptul ca sunt incorporate în
aplicaţiile entităţii şi favorizează monitorizarea tuturor tranzacţiilor în timp real (Debreceny et
al., 2003; Groomer and Murthy, 2003, regăsit în Debreceny et al., 2005).
Cea mai utilizată categorie de CAATs este GAS (Generalized Audit Software – Software de
audit generalizat). Aceste tipuri de software reprezintă programe care conţin module capabile să
citească documentele existente pe un calculator şi să efectueze operaţiuni sofisticate cu datele
conţinute de acele fişiere pentru a ajuta la îndeplinirea obiectivelor auditului. Aceste tipuri de
programe au o interfaţă prietenoasă şi nu necesită cunoştinţe de programare din partea
utilizatorilor, respectiv a auditorilor. Programul utilizează cerinţele sau interogările auditorului şi
le transformă în linii de cod. Avantajul acestui tip de software, comparativ cu EAM este că nu
necesită cunoştinţe de programare, dar nu oferă nici posibilitatea de monitorizare în timp real.
Motivul utilizării pe scară largă a softurilor de tip GAS reprezintă simplitatea în utilizare.
Exemple de astfel de softuri sunt: Audit Command Language (ACL), Interactive Data Extraction
and Analysis (IDEA) şi Panaudit Plus. GAS permite exploatarea datelor aflate în sistemele
companiei într-un mod facil, flexibil şi interactiv.
Nivelul de cunoaştere al proceselor de audit precum şi nevoia de îmbunătăţire a acestuia diferă în
funcţie de dimensiunea companiei. Astfel, îmbunătăţirea cunoştinţelor în domeniul auditului
continuu şi monitorizării continue este considerată necesară în toate tipurile de companii, dar
companiile mari pun accentul şi pe îmbunătăţirea cunoştinţelor pentru monitorizarea fraudei.
În ceea ce priveşte abilităţile personale, angajaţii consideră că au o stăpânire medie a noilor
tehnologii, dar că nivelul acesteia ar trebui îmbunătăţit. Îmbunătăţirea nivelului de utilizare a
noilor tehnologii este resimţită ca o nevoie în special în cadrul companiilor mijlocii. O explicaţie
a acestui fenomen ar putea fi faptul că în cadrul companiilor mari angajaţii au parte de mai multe
programe de training pentru tehnologiile folosite în companie, iar în cazul companiilor mici
17
tehnologiile utilizate sunt doar cele de baza. Companiile mijlocii doresc să utilizeze tehnologii
mai complexe şi mai avansate, însă nu dispun de programe eficiente pentru instruirea
personalului în utilizarea lor ceea ce ar explica nevoia percepută de angajaţi de a-şi îmbunătăţi
cunoştinţele în acest domeniu.
18
3.3. Auditul asistat de tehnologie
Importanţa utilizării tehnologiei în cadrul auditului intern este redată de faptul că aceasta ajută la
obţinerea unor rezultate mai bune, mai sigure şi într-un timp mai scurt. De asemenea, utilizarea
tehnologiei poate duce la obţinerea unor beneficii superioare cu utilizarea a mai puţine resurse.
Pentru reliefarea concretă a modului în care tehnologia este utilizată în cadrul practicilor de audit
intern am apelat la studiul realizat de Protiviti, Internal Audit Around the Word 2010 şi la alte
studii regăsite în literatura de specialitate pentru exemplificarea concretă a tipurilor de tehnologii
implementate în anumite companii.
Accenture este o companie înfiinţată în Irlanda, care este cotată pe piaţa de capital de la New
York şi întocmeşte rapoarte în conformitate cu cerinţele SEC (Securities and Exchange
Commisssion), fiind prezentă în peste 52 de ţări. Obiectul principal de activitate al companiei
Accenture este prestarea de servicii profesionale. Obiectivele principale ale auditului intern în
cadrul companiei sunt: evaluarea modalităţii de gestionare a riscului, evaluarea siguranţei şi
integrităţii mediului financiar şi operaţional, evaluarea eficienţei controalelor interne şi a
sistemelor informaţionale, evaluarea măsurii în care politicile companiei sunt respectate.
Directorul de audit din cadrul Accenture consideră tehnologia ca fiind „o forţă multiplicatoare” a
abilităţilor auditorilor deoarece munca auditorilor interni este mult mai eficientă cu ajutorul
tehnologiei. Pentru atingerea obiectivelor auditului intern sunt utilizate următoarele programe:
SAP, CCH TeamMate, Microsoft SharePoint şi Audit Command Language (ACL).
Programul SAP este utilizat în întreaga companie şi nu este un program specific doar auditului
intern. Este util însă deoarece cu ajutorul acestei aplicaţii auditorii interni pot analiza datele din
orice locaţie înainte de a ajunge fizic acolo.
Programul ACL este specific doar auditului şi dă posibilitatea auditorilor interni de a verifica
seturi întregi de date, fără a apela la eşantionare ceea ce face evaluarea riscurilor mult mai
fiabilă. Programele TeamMate şi SharePoint sunt utilizate pentru organizarea activităţii de audit
intern, făcând posibil accesul tuturor auditorilor la toate foile de lucru din toate ţările.
19
Commonwealth Bank este o companie care oferă servicii financiare. Aceasta a fost înfiinţată în
Australia şi operează în 11 ţări, fiind listată pe piaţa de capital din Australia. În cadrul companiei
a fost format un grup de analiză pentru a facilita legătura dintre programele informatice şi
auditorii interni. Programul utilizat este SAS (Statistical Analysis System), iar grupul de analiză
monitorizează continuu datele pentru a identifica semnalele unei posibile probleme. Astfel,
Commonwealth Bank utilizează tehnologia pentru facilitarea unei atitudini pro-active, pentru
identificarea posibilelor probleme înainte de apariţie şi intervenirea pentru a le evita. Atingerea
acestui obiectiv este însă împiedicată de dificultatea selectării datelor.
Dentsply este o companie din Statele Unite care produce instrumente medicale, desfăşurând
activităţi operaţionale în 120 de ţări. În această companie obiectivul auditului intern este de a
evalua fiabilitatea rapoartelor financiare, integritatea activelor, eficienţa practicilor şi proceselor
financiare, precum şi evaluarea modului în care controalele interne sunt concepute şi a modului
lor de funcţionare. Suplimentar, auditul intern trebuie să furnizeze recomandări pentru
îmbunătăţirea acestor aspecte.
Programul utilizat de departamentul de audit intern este Audit Command Language (ACL).
Acest program permite echipei de audit intern să verifice anumite seturi de date rezultând într-o
creştere a eficienţei precum şi o posibilitate de control a costurilor. Utilizarea acestui program
reduce şi costurile echipei de audit deoarece auditorii nu sunt nevoiţi să se deplaseze în toate
locaţiile companiei ci pot verifica anumite aspecte cu ajutorul tehnologiei.
Deutsche Bank este o instituţie financiară din Germania care desfăşoară activităţi operaţionale în
72 de ţări. Departamentul de audit intern este format din peste 400 de membri (semnificativ mai
mulţi decât celelalte companii prezentate până acum), localizaţi in 31 de ţări pentru a asigura
prezenţa auditului intern în toate regiunile. În ceea ce priveşte tehnologia utilizată în cadrul
auditului intern, Deutsche Bank utilizează un program dezvoltat intern. Scopul principal al
folosirii acestui program este eficientizarea utilizării resurselor. Numele programului este
AWARE (Audit Workflow and Risk Assessement Engine), nume care sugerează un program
destinat să eficientizeze fluxul de lucru al auditului intern precum şi evaluarea riscurilor. Acest
program permite tuturor membrilor echipei de audit intern să acceseze întreaga bază de date în
20
orice moment, din orice locaţie. În plus, acest program reuneşte cele 3 aplicaţii care erau anterior
folosite (una pentru planificare, una pentru munca de teren şi o a treia pentru urmărire). Pentru
eficientizarea fluxului de lucru, programul oferă posibilitatea de a pune în ordine cronologică
toate sarcinile care trebuie îndeplinite.
Philips, companie olandeză, desfăşoară activităţi operaţionale în 60 de ţări. În cadrul auditului
intern este utilizată aplicaţia Enterprise Transaction Repository (ETR), care este o platforma
SAP. Printre avantajele utilizării acestei tehnologii se numără: o mai bună planificare a auditului
intern, asigurarea faptului că riscurile la care sunt supuse situaţiile financiare sunt monitorizate
de-a lungul întregului exerciţiu financiar pentru ca resursele să fie alocate în consecinţă precum
şi scăderea costurilor cu auditul extern.
SAP este o companie din Germania care produce programe pentru calculator, având activităţi
operaţionale în 50 de ţări. Pentru auditul intern, compania utilizează tehnologii dezvoltate intern.
Printre avantajele acestui soft se numără: generarea automată de documente, incluzând
recomandări şi semnalarea riscurilor; o interfaţă prietenoasă; posibilitatea de a efectua căutări
avansate, incluzând filtre pe regiuni, companii sau tip de audit; o bună monitorizare a auditului.
Shell este o companie olandeză din domeniul energetic cu sedii operaţionale în 100 de ţări. În
cadrul auditului intern a fost implementat un set complex de programe informatice pentru a
răspunde cerinţelor echipei de audit. Printre aceste cerinţe se numără: extragerea şi analiza
seturilor de date, evaluarea modului în care tranzacţiile, procesele şi programele funcţionează.
Cu ajutorul tehnologiei auditul intern nu mai apelează la eşantionare ci verifică complet
tranzacţiile companiei.
SPB este o instituţie financiară cu sediul în Franţa care desfăşoară activităţi operaţionale în 11
ţări. Programele informatice utilizate de SPB sunt Protiviti Governance Portal (PGP) pentru
organizarea şi stocarea documentelor de audit şi Audit Command Language (ACL) pentru
analiza datelor şi întocmirea rapoartelor. Directorul de audit susţine că programul PGP ajută
foarte mult la organizarea documentelor, regăsirea anumitor detalii precum şi oferirea
21
posibilităţii de verificare a documentelor. Programul ACL oferă posibilitatea analizării seturilor
de date mai cuprinzătoare, rezultând un audit intern mai eficient.
Talecris este o companie de produse farmaceutice din Statele Unite ale Americii. Această
companie desfăşoară activităţi operaţionale în 3 ţări. Departamentul de audit intern al acestei
companii utilizează programul ACL, în special Continuous Control and Monitoring (CCM).
Acest program oferă posibilitatea de a efectua 189 de teste de audit zilnic, săptămânal şi lunar.
Acest program oferă un control şi o monitorizare continuă a activităţilor şi ajută la o analiză
complexă a datelor.
Impactul tehnologiei nu se resimte doar în ţările dezvoltate. Dacă exemplele precedente fac
referire preponderent la cazul Statelor Unite ale Americii şi Europei Occidentale, putem să ne
orientăm atenţia şi spre ţările în curs de dezvoltare. Exemple relevante în acest sens regăsim în
studiul Employing generalized audit software in the financial services sector: Challenges and
opportunities efectuat de Roger Debreceny, Sook-Leng Lee, Willy Neo şiJocelyn Shuling Toh în
2005. Acesta prezintă modul de utilizare al tehnologiei în cadrul auditului intern al unor instituţii
financiare din Singapore.
Din motive de confidenţialitate studiul nu menţionează numele băncilor exemplificate. Banca C
este o societate dinafara lui Singapore care are 4 filiale în această ţară. Departamentul de audit
intern utilizează programul ACL. Criteriile de selecţionare a datelor necesare auditului sunt
introduse în program, iar acesta descarcă datele selectate de pe serverul băncii. Eşantionul este
selectat în funcţie de procentul din totalul conturilor pe care auditorul doreşte să le verifice.
Programul ACL este utilizat şi pentru investigaţii specifice, cum ar fi unele situaţii suspicioase.
Un exemplu în acest sens este analizarea trendurilor. Auditorul poate analiza trendul unor
tranzacţii pe mai multe perioade, iar fluctuaţiile anormale vor fi reliefate.
Banca A foloseşte de asemenea programul ACL în cadrul funcţiei de audit intern. Datele sunt
iniţial descărcate pe software-ul general implementat pentru tranzacţiile efectuate de bancă,
respectiv Silverlake Integrated Banking Suite (SIBS). Ulterior aceste date sunt exportate în
programul ACL. Criteriile pentru identificarea şi selecţionarea datelor sunt specificate în cadrul
22
programului ACL care este utilizat pentru eşantionare. Un exemplu în acest sens este
selecţionarea datelor pentru auditul unei filiale. Auditorul poate selecţiona un criteriu, de
exemplu tranzacţii mai mari de 250.000 de dolari. Tranzacţiile care îndeplinesc acest criteriu
sunt reliefate de programul ACL şi organizate în forma unui raport, pentru o identificare mai
facilă. Acest raport poate include câmpuri cum ar fi: numărul contului bancar, numele titularului,
suma care a depăşit plafonul selecţionat, valuta, operatorul care a efectuat tranzacţia, tipul, data
şi descrierea tranzacţiei. Pe baza acestui raport auditorii pot restrânge numărul de probe şi se pot
asigura că toate informaţiile necesare tranzacţiilor sunt corecte şi complete.
Programul ACL poate fi utilizat şi pentru identificare conturilor inactive. Prin inserarea unui
criteriu de tipul „conturi fără mişcări pe o perioadă de 6 luni”, programul ACL generează un
raport cu toate conturile care îndeplinesc acest criteriu. Pe baza acestui raport se pot verifica
procedurile de identificare şi măsura în care acestea funcţionează corect. Dacă aceste proceduri
nu funcţionează eficient se propun proceduri noi pentru investigarea tranzacţiilor neobişnuite.
Acest aspect este important deoarece conturile inactive pot fi reactivate pentru scopuri
frauduloase, cum ar fi spălarea de bani.
Deşi programul ACL facilitează şi eficientizează munca auditorilor, auditorul intern din cadrul
băncii A consideră ca acest sistem poate fi îmbunătăţit. De exemplu el consideră că ar fi un
avantaj ca ACL să fie instalat pe server-ul băncii pentru ca datele să fie exportate în program
printr-o singură procedură (spre deosebire de descărcarea iniţială a datelor de pe server şi apoi
exportarea lor în ACL, în două proceduri distincte şi consumatoare de timp). Prin instalarea
programului ACL pe server se reduce timpul necesar pentru demararea auditului. În plus se
reduce forţa de muncă necesară, deoarece nu mai este nevoie de asistenţa unui specialist IT
pentru procedura de migrare a datelor în ACL. Trebuie luată însă în considerarea ca excluderea
specialistului IT să nu afecteze securitatea şi integritatea server-ului băncii. Un alt beneficiu al
acestei instalări ar fi faptul că permite un audit continuu şi nu auditarea datelor istorice. Astfel,
programul ACL poate semnala o tranzacţie care depăşeşte un plafon prestabilit în momentul în
care aceasta are loc.
23
Banca B, o bancă locală din Singapore utilizează un program dezvoltat intern, denumit Zeus.
Trebuie remarcat faptul că, şi în ţările în curs de dezvoltare, tehnologia nu este doar „importată”,
unele companii dezvoltând programe şi softuri adaptate specificului şi nevoilor proprii. Cu
ajutorul programului Zeus, auditorii pot accesa datele oricând şi din orice locaţie sub forma unor
fişiere de tip „read-only”. Comparativ cu ACL, programul Zeus are şi o funcţie de arhivare,
stocând documente însă nu poate genera statistici şi analize de date. Programul Zeus este utilizat
preponderent pentru efectuarea de calcule, imprimarea scrisorilor de confirmare, efectuarea de
interogări şi sortarea datelor. Pentru unele cerinţe mai specifice ale auditorilor, aceştia se
adresează departamentului de IT pentru a le furniza informaţiile. Acest fapt denotă pe de o parte
faptul că auditorii ar avea nevoie de cunoştinţe de specialitate în domeniul IT pentru a efectua
singuri toate operaţiunile necesare funcţiei de audit, iar pe de altă parte auditorii nu sunt
autorizaţi să efectueze anumite interogări pentru securitatea informaţiei şi reducerea riscului ca
informaţia să fie distribuită persoanelor neautorizate.
Exemplele studiate sunt sintetizate în tabelul de mai jos:
Companie Ţara de
provenienţă
Tehnologie utilizată
Accenture Irlanda ACL, SAP, CCH TeamMate, Microsoft
SharePoint
Commonwealth
Bank
Australia SAS (Statistical Analysis System)
Dentsply U.S.A. ACL
Deutsche Bank Germania AWARE (dezvoltat intern)
Philips Olanda SAP
SAP Germania dezvoltat intern
Shell Olanda set complex de programe informatice
SPB Franta ACL, PGP (Protiviti Governance Protal)
Talecris U.S. ACL
Banca A Singapore ACL
Banca B Singapore Zeus (dezvoltat intern)
Banca C Singapore ACL
(Sursa: prelucrarea autorilor)
24
Studiind frecvenţa cu care tipurile de tehnologii sunt utilizate în cadrul companiilor se observă
următoarea distribuţie, redată în tabelul de mai jos:
ACL SAP Dezvoltat intern Altele
53,85% 23,08% 23,08% 30,77%
(Sursa: prelucrarea autorilor)
Peste jumătate dintre companii au implementat programul ACL, utilizarea acestuia fiind cel mai
răspândită. Platformele SAP sunt utilizate doar în 23% din cazuri. Aceasta poate fi datorată
faptului că platformele SAP nu sunt neapărat specifice funcţiei de audit intern, ci mai degrabă
sunt platforme implementate pentru toate funcţiile companiei. Trebuie remarcat faptul că 23%
din companiile analizate au dezvoltate tehnologii proprii pentru a fi folosite în cadrul auditului
intern. Deşi dezvoltarea internă a tehnologiilor permite o mai bună adaptare la specificul
companiei, acest proces necesită o investiţie mai mare şi personal calificat în domeniu.
Concentrându-ne atenţia doar pe tehnologiile utilizate de instituţiile financiare, procentele se
schimbă semnificativ.
ACL SAP Dezvoltat intern Altele
66,67% 0% 33,33% 33,33%
(Sursa: prelucrarea autorilor)
Peste 60% dintre instituţiile financiare utilizează ACL, iar platformele SAP nu sunt
implementate deloc în companiile din acest sector. Acest fapt denotă faptul că programul ACL
răspunde cerinţelor auditului intern din cadrul instituţiilor financiare. Pe de altă parte,
platformele SAP sunt potrivite pentru companii din alte domenii de activitate decât instituţiile
financiare. Se remarcă faptul că o treime din instituţiile financiare au dezvoltate tehnologii
proprii pentru departamentul de audit intern. Putem desprinde concluzia că în cadrul acestor
instituţii nevoia de a avea tehnologii adaptate organizaţiei este mai pregnantă decât în cadrul
companiilor cu alte domenii de activitate.
25
Exemplele prezentate ilustrează faptul că tehnologia este utilizată în cadrul funcţiei de audit
intern. Utilitatea tehnologiei este vastă, de la aspecte de bază cum ar fi procesarea de text,
realizarea unor tabele şi grafice, organizarea foilor de lucru, până la aspecte complexe şi
specifice cum ar fi analiza statistică a datelor, identificarea unor tendinţe, interogarea bazelor de
date pentru identificarea elementelor atipice. În plus, tehnologia este utilizate indiferent de
obiectul de activitate al companiei. Dintre exemplele noastre, cel mai frecvent utilizat este
programul ACL, fiind implementat atât în instituţii financiare, care utilizează tehnologia pentru
toate tranzacţiile şi operaţiunile efectuate cât şi de companii cu activitate de producţie, cum ar fi
Dentsply şi Telecris din industria produselor medicale.
Tehnologia utilizată în cadrul companiilor cuprinde atât programe cum ar fi ACL, care permit
efectuarea unor operaţiuni şi proceduri standard cât şi programe adaptate cerinţelor specifice
companiei. Software-ul adaptat unei companii poate fi achiziţionat de la un furnizor, cum este
SAP, care permite adaptarea programul în funcţie de cerinţele utilizatorilor, sau poate fi
dezvoltat intern, cum este cazul programului Zeus pentru instituţia financiară din Singapore şi
AWARE pentru Deutsche Bank.
26
4. Concluzii
Tehnologia va continua să transforme modul în care organizaţiile îşi gestionează afacerile,
crescând eficienţa şi reducând costurile, dar există riscuri. Identificarea şi înţelegerea riscurilor
relevante este esenţială pentru succesul afacerii, asigurarea securităţii datelor şi satisfacerea
eficace a cererii. De aceea, organizaţiile trebuie să implementeze procese de evaluare şi
monitorizare a riscurilor, iar auditul intern este responsabil cu înţelegerea riscurilor care
ameninţă organizaţia şi trebuie să se asigure că managementul a evaluat potenţialele riscuri şi
acestea sunt adresate pro-activ.
Auditorii interni trebuie să îşi dezvolte şi îmbunătăţească abilităţile legate de utilizarea
tehnologiei şi să ţină pasul cu continua dezvoltare şi modificare a acesteia. Pe de-o parte aceştia
trebuie să obţină o înţelegerea a modalităţii de implementare şi funcţionare a sistemelor IT în
cadrul organizaţiei precum şi a modului în care software-ul este folosit în cadrul tranzacţiilor şi
operaţiunilor şi a riscurilor la care compania se expune prin utilizarea acestor tehnologii. Pe de
altă parte auditorii interni sunt nevoiţi să cunoască şi să înţeleagă programele specifice auditului
intern pentru a le utiliza eficient şi pentru a exploata la maxim avantajele pe care acestea le oferă.
Auditul intern trebuie să se adapteze modului de organizare şi funcţionare a companiei. Astfel,
dacă în cadrul unei companii toate operaţiunile, procesele şi tranzacţiile utilizează tehnologia
informaţiei, va fi dificil, dacă nu chiar imposibil pentru auditul intern să îşi atingă obiectivele
prin realizarea tuturor procedurilor manual. Integrarea tehnologiei informaţiei în cadrul funcţiei
de audit intern trebuie să fie simultană cu integrarea acesteia în cadrul celorlalte funcţii ale
companiei. Pentru realizarea unui audit intern eficient sunt necesare soft-uri specializate,
integrate la nivelul sistemului informatic al companiei.
27
5. Bibliografie
1. Delloite (2010) , Continuous Monotoring and Continuous Auditing: from Idea to Implementation
2. Goodwin, J. and Yeo, T. (2001). Two factors affecting internal audit independence and
objectivity: Evidence from Singapore. International Journal of Auditing, 5(2), 107-25
3. Hunton, J., Wright, A. and Wright, S. (2001).Business and audit risks associated with ERP
systems: knowledge differences between information systems audit specialists and financial
auditors. 4th European Conference on Accounting Information Systems (ECAIS), Athens
4. Institute of Internal Audit (2010), International Standards for the Professional Practice of
Internal Auditing
5. Kallinikos J. (2004), Deconstructing Information Packages: Organizational and Behavioral
Implications of ERP Systems, Information Technology and People, Vol.17, Issue 1
6. Madani, H. (2009).The role of internal auditors in ERP-Based organisations. journal of
Accounting & Organisational Change,5 (4) , 514-526.
7. Paape, L., Scheffe, and Snoep P. (2003). The Relationship between the Internal Audit Function
and Corporate Governance in the EU – a Survey. International Journal of Auditing, 7, 247-262
8. Protiviti Knowleadgeleader (2010), Internal Audit Around the World
9. Protiviti Knowleadgeleader (2011), Information Technology Capabilities and Needs Survey
10. Protiviti Knowleadgeleader (2011), Internal Audit’s Role in Cloud Computing
11. Protiviti Knowleadgeleader (2012), Internal Audit Capabilities and Needs Survey
12. Raja Gopalan (2012), Internal Audit in ERP Environment Knowledge, Management Series, Vol.
1, Issue 5
13. Roger Debreceny, Sook-Leng Lee, Willy Neo, Jocelyn Shuling Toh (2005), Employing
generalized audit software in the financial services sector: Challenges and opportunities,
Managerial Auditing Journal, Vol. 20 Iss: 6, pp.605 – 618
14. Saharia Adyta, Koch Bruce, Tucker Robert (2008), ERP Systems and Internal Audit
15. Saharia, A., Koch, B. and Tucker, R. (2008). ERP systems and Internal Audit. Issues in
Information Systems, XL (2), 578-586.
16. Spathis, C. and Constantinides, S. (2004). Enterprise resource planning systems‟ impact on
accounting processes. Business Process Management Journal, 10 (2), 234-247
17. Sun Microsystems (2009), Introduction to Cloud Computing Architecture
18. Wright, S. and Wright, A. (2002).Information System Assurance for Enterprise Resource
Planning Systems: Unique Risk Considerations. Journal of Information Systems, 16, 99-113