ISA 620: Utilizarea activității unui expert din partea

auditorului

Utilizarea unui expert IT în

auditul sistemelor informatice

Claudiu BRANDAS, conf. univ. dr.

Facultatea de Economie si de Administrare a Afacerilor

Universitatea de Vest din Timisoara

claudiu.brandas@e-uvt.ro

Cuprins

1. ISA 620 „Utilizarea activității unui expert din partea auditorului”

2. Impactul utilizării sistemelor informatice în cadrul proceselor financiar-contabile şi de gestiune

3. Determinarea necesităţii utilizării serviciilor unuiauditor de sisteme informaţionale

4. Metodologia de audit a sistemelor informaţionale

5. Tehnici de audit asistate de calculator (CAATs)

6. Studii de caz

ISA 620 „Utilizarea activității unui expert din partea auditorului”

conferă auditorului financiar dreptul de a apela la serviciile unui specialist atunci când: „expertiza într-un domeniu, altul decât contabilitatea sau auditul, este necesară în vederea obținerii de probe de audit suficiente și adecvate, auditorul trebuie să stabilească dacă va utiliza activitatea unui expert din partea auditorului”.

ISA 620 prevede că este posibil să fie necesar un expert din partea auditorului în vederea

asistării auditorului în următoarele situații [Mirela G.] :

Obținerea unei înțelegeri a entității și a mediului său, inclusiv a controlului său intern.

În acest sens, standardul ISA 315 „Identificarea și evaluarea riscurilor de denaturare semnificativă prin înțelegerea entității și a mediului său” recomandă auditorului să înțeleagă sistemul informațional, riscurile care decurg din utilizarea tehnologiilor informaționale pentru a putea realiza o evaluare a sistemului de control intern al entității.

Identificarea și evaluarea riscurilor de denaturare semnificativă.

Același standard ISA 315 prevede între condițiile și evenimentele care pot indica riscuri de denaturare semnificativă următoarele: inconsecvențele dintre strategia informatică a entității și strategiile sale de afaceri, modificări ale mediului informatic, instalarea de noi sisteme informatice semnificative aferente raportării financiare etc.

Stabilirea și implementarea răspunsurilor generale la riscurile evaluate la

nivelul situațiilor financiare.

Conceperea și efectuarea de proceduri de audit ulterioare pentru a

răspunde riscurilor evaluate la nivelul afirmației, cuprinzînd teste ale

controalelor sau proceduri de fond.

• Evaluarea caracterului suficient și a gradului de adecvare probelor de audit

obținute prin formarea unei opinii asupra situațiilor financiare.

Impactul utilizării sistemelor informatice în cadrul proceselor financiar-contabile şi de gestiune

Sisteme Informatice de Gestiune (S.I.G.)

-Politici şi proceduri de lucru

-Proceduri de control

Sistemul informaţional

al organizaţiei

Mediu informaţional

externSistemul informatic

al organizaţiei

Date şi informaţii

Date şi

informaţii

Date şi

informaţii

Aplicaţii (programe) informatice

economice Aplicaţii informatice pentru:

◦ financiar-contabilitate

◦ gestiunea stocurilor

◦ gestiunea mijloacelor fixe

◦ personal-salarizare

◦ producţie

◦ calculaţia costurilor

◦ distribuţie şi logistică

◦ analiza economico-financiară ş.a.

Sisteme informatice economice integrate (ERP – Enterprise Resource Planning)

Pachete de aplicaţii informatice pentru birou: MS Office, Lotus Smart Suite, Star Office ş.a.

Tehnologii şi sisteme informatice

E-Business (E-Commerce, E-Banking)

Cloud Computing (SaaS, PaaS, IaaS, BPaaS)

Mobile Computing

IoT (Internet of Things)

S.I. sunt expuse unor vulnerabilităţi

şi riscuri, care afectează negativ obiectivele sistemului, respectiv obţinerea situaţiilor financiare.

Sisteme şi tehnologii informatice - Riscuri de denaturare semnificativă a raportărilor financiare

Riscurile şi controlul sistemelor

informatice

Riscul sistemului informaţional. Reprezintă

probabilitatea de apariţie a unor erori sau

fraude datorită utilizării inadecvate a sistemului

informaţional. Riscul sistemului informaţional

cuprinde:

◦ Riscurile la nivelul aplicaţiilor şi operaţiilor din

sistemul informatic.

◦ Riscul de continuare a activităţii sistemului

informatic.

Riscurile şi controlul sistemelor informatice Riscurile la nivelul aplicaţiilor şi operaţiilor din sistemul

informatic. Acestea pot fi:

securitatea scăzută a aplicaţiilor;

accesul neautorizat la datele sistemului;

introducerea unor date inadecvate sau false;

procesarea incompletă a datelor;

dublarea datelor tranzacţionate;

procesarea cu întârziere a datelor;

nefuncţionarea corectă a transmisiei datelor;

segregarea inadecvată sau inexistentă a funcţiilor şi responsabilităţilor;

analiza şi proiectarea defectuoasă a aplicaţiilor;

incompatibilitatea dintre aplicaţiile informatice;

infectarea aplicaţiilor cu viruşi electronici;

instruirea inadecvată a utilizatorilor;

suportul şi mentenanţa inadecvată a aplicaţiilor.

Riscul de continuare a activităţii sistemului informatic.

◦ Riscul disponibilităţii sistemului - reprezintă probabilitatea ca sistemul să devină indisponibil utilizatorilor datorită securităţii sale (de exemplu atacul de tip DoS al hacker-ilor).

◦ Riscul recuperării sistemului reprezintă probabilitatea ca datele şi operaţiile sistemului să nu mai poată fi recuperate în vederea continuării activităţii întreprinderii (de exemplu inexistenţa unor copii de siguranţă şi a procedurilor de recuperare şi continuare a activităţii conduc la creşterea nivelului acestui risc).

Controale IT

Standardul ISA 315 prevede că „din perspectiva auditorului, controalelesistemelor informatice sunt eficiente și eficace atunci când păstrează integritateainformațiilor și securitatea datelor pe care aceste sisteme le procesează, șiinclud controale generale ale sistemelor informatice și controale ale aplicațiilor”.

• Controalele generale ale sistemelor informatice, în conformitate cuISA 315, “sunt politici și proceduri aferente numeroaselor aplicații și susținfunctionarea eficientă a controalelor aplicațiilor”. Controalele generale se vorevalua din două perspective, pe de o parte din punct de vedere procedural(politica de securitate și procedurile aferente) și din punct de vedereoperațional (practic, cum operează procedura).

• Controalele aplicațiilor „sunt proceduri manuale sau automate carefuncționează, de obicei, la nivel de proces de afaceri al entității și se aplicăprocesării tranzacțiilor de către aplicațiile individuale” (conform ISA 315).Altfel spus, sunt controale automate implementate la nivelul aplicațiilorinformatice din sistem, cât și controale manuale realizate de utilizatoriiacestora, care vor asigura autorizarea, completitudinea, integritatea,acuratețea și disponibilitatea tranzacțiilor, cât și încrederea în activitatea deprocesare a informațiilor.

Controale IT

Determinarea necesităţii utilizării serviciilor unui auditor de sisteme informaţionale

Calitatea informaţiei contabile

conform OMFP 3055/2009, există patru caracteristici calitative ale situațiilor financiare:

◦ inteligibilitatea (să fie ușor de înțeles),

◦ relevanța (sunt influențate deciziile economice luate de către utilizatori),

◦ credibilitatea (să nu conțină erori semnificative)

◦ comparabilitatea (să se poată compara în timp poziția și performanța entității).

Procesarea tranzacţiilor prin

sistemele informatice poate să

conducă la manifestarea unor riscuri

de denaturare semnificativă a

informaţiei contabile

În etapa de planificare, auditorul financiar trebuiesă obțină informații suficiente și relevante care să-iconfere o înțelegere adecvată a mediului de lucru aentității auditate. [Mirela G.]

Implicit va realiza o analiză a riscurilor şi amediului de control IT, respectiv a tuturorsistemelor care au impact semnificativ asupraobţinerii situațiile financiare. Concluziile acesteietape, referitoare la arhitectura și complexitateasistemului informational, îi vor permite auditoruluifinanciar să stabilească dacă este necesară sau nuutilizarea experților IT în cadrul misiunii de auditfinanciar. [Mirela G.]

Factorii care vor determina această decizie (prelucrare dupa SAS 94 si Ghid de audit al sistemelor informatice) pot include [Mirela G.] :◦ Abilitățile și experiența IT a auditorului financiar

◦ Arhitectura rețelei IT și complexitatea tehnică a echipamentelor utilizate

◦ Generarea automată a tranzacțiilor, comunicația cu alte aplicații sau sisteme informatice

◦ Natura tranzacțiilor entității auditate (tranzacții de comerț electronic)

◦ Sisteme informatice complexe de tip ERP, SAP, Oracle, etc.

◦ Modificări ale sistemelor informatice existente sau implementarea unor noi sisteme

◦ Antecedente de probleme IT (fraudă informatică, erori ale utilizatorilor sistemului, incidente de securitate IT, greșeli de programare, atacuri informatice, etc)

◦ Sisteme IT în curs de dezvoltare

Chestionar

Metodologia de audit a sistemelor

informaţionale

Auditul sistemelor informaţionale reprezintă activitatea de colectare şi evaluare a unor probe pentru a determina dacă sistemul informatic este securizat, menţine integritatea datelor prelucrate şi stocate, permite atingerea obiectivelor strategice ale întreprinderii şi utilizează eficient resursele informaţionale.

Standarde și ghiduri pentru auditul sistemelor informaţionale

La nivel internațional, cele mai recunoscute referențiale asociate auditului sistemelor informatice sunt:

• Standardele internaționale de audit a sistemelor informaționale (IS Audit and Assurance

Standards) publicate de ISACA (Information System Audit and Control Association),

• COBIT (Control Objectives for Information and related Technology) publicat de ITGI (IT

Governance Institute)

• Standardele de audit publicate de INTOSAI (International Organization of Supreme Audit

Institutions) pentru instituțiile publice alături de care se regăsesc și o serie de ghiduri pentru

implementarea acestora, între care amintim și ghidul de audit IT(IT Audit Guidelines).

• Internal Control Integrated Framework publicat de COSO (Committee of Sponsoring

Organizations of the Treadway Commision) reprezintă un cadru de evaluare a controlului intern.

• Standardul ISO 27002 conţine un cadru de lucru pentru managementul securităţii

informaţiei.

• Risk Management Guide for Information Technology Systems publicat de NIST

(Nationale Institute of Standards and Technology U.S) este un ghid pentru evaluarea riscurilor IT.

• Standardele Internaționale de Audit ISA (International Standards on Auditing)

si IAPS (International Auditing Practice Statements) publicate de Asociația

Internațională a Contabililor Profesioniști (IFAC - International Federation of Certified

Accountants) .

• SAS nr. 94 „The Effect of Information Technology on the Auditor’s Consideration of

Internal Control in a Financial Statement Audit” publicat Institutul american AICPA

(American Institute of Certified Public Accountants).

Pe plan național, reglementările legislative privind protecția și securitatea informațiilor sunt:

• Legea nr. 365/2002 privind comertul electronic,

• Legea nr. 455/2001 privind semnatura electronică,

• Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice,

• Legea nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a prelucrării datelor cu caracter personal,

• Legea nr. 64/2004 pentru ratificarea Convenției Consiliului Europei privind criminalitatea informatică,

• “Manualul de audit al sistemelor informatice„ și „Ghidul de audit al sistemelor informatice” publicate de Curtea de Conturi a Romaniei pentru domeniul asociat la nivelul institutiilor publice.

Metodologia de audit a sistemelor informaţionale

Având în vedere recomandările standardelelor IFAC –ISA şi ghidul ISACA pentru auditul sistemului informaţional, etapele generale ale unei unei misiuni de audit IT pot fi:

◦ Planificarea misiunii de audit.

◦ Evaluarea riscurilor şi controlului intern.

◦ Elaborarea programului de audit.

◦ Proceduri de audit şi culegerea probelor. Evaluarea și testarea controalelor generale

Evaluarea și testarea controalelor aplicațiilor informatice

◦ Formularea concluziilor şi elaborarea raportului.

◦ Urmărirea (monitorizarea) implementării recomandărilor din raportul de audit.

Culegerea probelor Probele pe care auditorul IT le culege într-o misiune sunt diverse. În general

acestea pot fi:◦ documente privind politicile şi procedurile de securitate din sistemul informaţional al

clientului;

◦ documente privind procedurile de lucru din sistemul informatic;

◦ documente sau observaţii privind infrastructura fizică (hardware) şi logică (software) a sistemului auditat.

◦ interviurile şi chestionarele aplicate;

◦ flowchart-uri de sistem şi/sau de aplicaţii;

◦ observaţii personale în cadrul foilor de lucru;

◦ fişiere cu datele extrase din aria de auditat;

◦ fişiere cu tranzacţiile de date necesare auditului;

◦ fişiere jurnal pentru intrări, prelucrări, tranzacţii de date şi tratare a erorilor;

◦ situaţii listate din aplicaţiile sistemului;

◦ fişierele cu datele de test;

◦ fişiere cu erori;

◦ capturi de ecrane

◦ conţinutul şi rezultatul testelor controlului din sistem;

◦ liste cu surse ale programelor utilizate în procesele auditate;

◦ conţinutul şi rezultatul testelor securităţii sistemului.

Raportul de audit a sistemelor

informaţionale

În structura raportului de audit se vor regăsi elementele de bază:

• Paragraf introductiv care va include: scopul misiunii de audit, obiectivele, perioada auditată, natura și întinderea procedurilor de audit.

• Cuprinsul va detalia:

• slăbiciunile controalelor analizate, riscurile asociate și

• recomandările necesare pentru diminuarea riscurilor

• orice rezervă pe care auditorul o are asupra sistemului auditat

• opinia și concluziile misiunii

• referențialul de raportare reprezentat de standardele, normele și ghidurile asociate domeniului auditat.

• Paragraf final în care se înscriu data raportului, adresa și semnătura auditorului.

Tehnici de audit asistate de calculator

(CAATs) Instrumente pentru creşterea productivităţii muncii de audit.

◦ Planificarea şi urmărirea automată a misiunii de audit: aplicaţiile pentru managementul proiectelor (MS Project, Primavera Project Planner etc.); aplicaţiile pentru calcul tabelar (MS Excel, OpenOffice);

◦ Editarea şi managementul automat al foilor de lucru (electronic workingpapers): Microsoft Office, IDEA (produs de către CaseWare), TeamMate (produs de PriceWaterhouseCoopers), BCOMM Audit Manager ş.a.;

◦ Comunicarea şi transferul automat al datelor: aplicaţii pentru e-mail (Microsoft Outlook), instrumente groupware (Lotus Notes Domino Server); forumuri intranet ş.a.

Aplicaţii generale de audit (GAS - Generalized Audit Software).

Aplicaţii informatice (utilitare) pentru testarea şi verificarea sistemului.

Auditul sistemelor informatice financiar-

contabile

Auditul aplicaţiilor informatice pentru

gestiunea mijloacelor fixe

Auditul aplicaţiilor pentru evidenţa

salariilor

Studii de caz

Program general pentru auditarea aplicaţiilor informatice de evidenţa a mijloacelor fixe

◦ Scopul auditului

Auditarea aplicaţiilor de evidenţă a mijloacelor fixe

◦ Obiectivele auditului

Asigurarea acurateţii şi integrităţii aplicaţiilor de evidenţă a mijloacelor fixe

Evaluarea controalelor din cadrul aplicaţiilor de evidenţă a mijloacelor fixe

◦ Planificarea

Întâlnirea cu managementul întreprinderii pentru clarificarea întinderii misiunii de audit.

Revizuirea unor misiuni anterioare privind evidenţa mijloacelor fixe pentru a determina unele probleme.

Realizarea unei evaluări preliminare a riscurilor pentru identificarea şi cuantificarea ameninţărilor şi vulnerabilităţilor din sistemul de evidenţă a mijloacelor fixe.

Scrierea detaliată a programului de audit, respectiv a foilor de lucru.

Formarea echipei de audit în funcţie de complexitatea aplicaţiilor şi a sistemului.

Stabilirea bugetului misiunii.

Desfăşurarea

◦ Revizuirea legislaţiei la zi referitor la evidenţa mijloacelor fixe.

◦ Identificarea personalului şi aplicaţiilor implicate în evidenţa mijloacelor fixe.

◦ Analiza tuturor documentelor şi rapoartelor privind evidenţa mijloacelor fixe pentru a înţelege circuitul şi fluxul informaţional din această activitate.

◦ Intervievarea personalului implicat.

◦ Documentarea şi completarea foilor de lucru cu procedurile şi descrierea circuitelor din cadrul aplicaţiilor pentru evidenţa mijloacelor fixe.

◦ Pregătirea datelor de test pentru testarea intrărilor şi prelucrărilor aplicaţiilor.

◦ Introducerea datelor de test şi verificarea controalelor de intrare şi prelucrare.

◦ Evaluarea modului de prelucrare şi concordanţa cu legislaţia şi regulamentele interne.

◦ Identificarea şi analiza erorilor.

◦ Evaluarea şi testarea controalelor aplicaţiilor. Controale de acces, de raportare, de stocare şi de modificare a aplicaţiilor.

◦ Testarea integrităţii datelor din baza de date şi din cadrul listelor sau rapoartelor.

◦ Evaluarea sistemului de operare sub care lucraeză aplicaţia.

◦ Documentarea tuturor testelor şi evaluărilor în cadrul foilor de lucru.

Raportarea

◦ Formularea concluziilor privind controalele şi integritatea sistemului de evidenţă a mijloacelor fixe.

◦ Prezentarea şi discutarea rezultatelor obţinute cu managementul clientului.

◦ Stabilirea recomandărilor.

◦ Pregătirea şi scrierea raportului de audit.

◦ Stabilirea condiţiilor şi termenilor pentru urmărirea implementării recomandărilor.

MULŢUMESC PENTRU ATENŢIE!