CATEGORII DOCUMENTE |
Agricultura | Asigurari | Comert | Confectii | Contabilitate | Contracte | Economie |
Transporturi | Turism | Zootehnie |
CUM IMBUNATATESC TEHNOLOGIILE INFORMATIONALE CONTROLUL INTERN
OBIECTIVUL 1 Descrierea modului in care tehnologiile informationale ameloreaza controlul intern
Printre imbunatatirile controlului intern rzultand din integrarea tehnologiilor informationale in sistemele contabile se numera:
Mecanismele de control informatice inlocuiesc pe cele manuale.
Sunt disponibile informatii de calitate mai inalta.
EVALUAREA RISCURILOR LEGATE DE TEHNOLOGIILE INFORMATIONALE
OBIECTIVUL 2. Identificarea riscurilor care rezulta din utilizarea unui sistem contabil bazat pe tehnologii informationale.
Aceste riscuri maresc probabilitatea aparitiei unor prezentari semnificativ eronate in situatiile financiare, fapt ce ar trebui luat in considerare de management si de auditori. Iata care sunt riscurile-chie specifice mediilor bazate pe tehnologii informationale:
Dependenta de capacitatile de functionare ale echipamentelor si programelor informatice.
Vizibilitatea pistei de audit.
Reducerea implicarii factorului uman.
Erori sistematice versus erori incidentale
accesul neautorizat
pierderea datelor
reducerea separarii sarcinilor
Absenta autorizarii traditionale.
Nevoia de experienta in domeniul tehnologiilor informationale.
MECANISMELE DE CONTROL INTERN SPECIFICE TEHNOLOGIILOR INFORMATIONALE
OBIECTIVUL 3 Explicarea modului in care anumite tipuri de mecanisme de control generale si de aplicatie reduc riscurile asociate utilizarii sistemelor contabile bazate pe tehnologii informationale.
Standardele de audit descriu doua categorii mari de mecanisme de control vizand sistemele bazate pe tehnologii informationale si anume: controlalele generale si controalele de aplicatie.
Controalele generale se refera la toate aspectele functi TI, inclusiv administrarea sistemelor, achizitia si intretinerea programelor informatice, securitatea fizica si securitate aaccesului electronic (logic) la echipamente, programe si datele asociate acestora, planifiarea crearii copiilor de siguranta in cazul producerii unor evenimente neprevazute si conceperea de mecanisme de control integrate in echipamentele informatice.
Controalele de aplicatie se exercita asupra prelucrarii operationilor individuale, cum ar fi controlul prelucrarii vanzarilor sau incasarilor. Prin urmare, controalele de aplicatie sunt specifice anumitor programe informatice si, de regula, nu afecteaza toate functiile care folosesc tehnologii informationale. Din acest motiv, controalele prelucrarii trebuie evaluate pentru fiecre sfera a aduitului (cont sau categori de operatiuni) afectata de o aplicatie informatica, in care auditorul planifica sa redduca riscul de control estimat.
A. Controalele generale
1. Administrarea functiei de tehnologii informationale. Managementul trebuie sa repartizeze suficiente resurse pentru a sprijini tehnologiile.
2. Separarea sarcinilor legate de tehnologiile informationale.
a. Managementul TI.
b. Proiectarea sistemelor.
c. Operatiunile.
d. Controlul datelor.
3. Proiectarea sistemelor.
Indiferent daca programele sunt cumparate sau create in interiorul entitatii, este critica testarea lor detaliata prin utilizarea unor date realiste. Scopul este de a se determina daca echipamentele si aplicatiile existente si de a se determina daca echipamentele si plicatiile fac fata unor volume realiste de operatiuni. Doua strategii tipice de testare utilizate de companii sunt testele-pilot si testele paralele. Testele pilot constau in punera in apicare a unui sistem intr-o componenta a organzatiei, in timp ce celelalte componente continua sa utilizeze sistemul vechi. Testele paralele constau in utilizarea concomitenta a sistemului nou si a celui vechi in toate componentele unei organizatii.
4. Securitatea accesului electronic
a. controalele fizice.
b. controalele accesului in timp real.
5. Planificarea crearii copiilor de siguranta si a reactiei la evenimente neprevazute.
6. Controalele proprii echipamentelor fizice.
B. Controalele de aplicatie
1. Controalele vizand intrarile de date.
2. Controalele vizand prelucrarile de date.
3. Controalele iesirile de date.
IMAPCTUL TEHNOLOGIILOR INFORMATIONALE ASUPRA PROCESULUI DE AUDIT
OBIECTIVUL 11-4 Descrierea modului in care soliditatea controalelor generale afecteaza testarea controalelor de aplicatie de catre auditor
Impactul controalelor generale asupra riscului de control
Majoritatea auditorilor evalueaza eficacitatea controalelor generale inainte de a evalua controalele de aplicatie. In cazul in care controalele generale sunt ineficace, apare probabilitatea producerii unor erori seminificative in fiecare aplicatie informatica de contabilitate, indiferent de calitatea controalelor de aplicatie. De exemplu, daca sarcinile nu sunt adecvat separate, operatorii computerelor fiind si programatori si avand acces la programele si fiserele informatice, auditorul ar trebui sa fie preocupat de potentialele inregistrari de operatiuni fictive sau date neautorizate si de omisiunile din conturi precum vanzarile, cumpararile si salariile. In mod asemanator, daca observa ca fisierele de date nu sunt adecvat protejate, auditorul ar putea conchide ca exista un risc seminificativ de pierdere a datelor, deoarece controalele generale afecteaza fiecare aplicatie informatica. In asemenea situatii, testele de audit vizand confirmarea obiectivului de exhaustivitate ar trebui extinse in anumite sfere, cum ar fi incasarile, platile si vanzarile.
Dimpotriva, daca exista controale generale solide, creste si posibilitatea de a atribui un grad de fiabilitate mai mare controalelor de aplicatie. Astfel, auditorii pot testa eficacitatea operationala a anumitor controale de aplicatie si se pot baza pe rezultatele acestor teste pentru a reduce cantitatea de teste substantiale. Aceasta utilizare a controalelor generale si de aplicatie eficace poate avea drept o eficienta mai mare a auditului.
Cu toate acesrea, o provocare ramane in mediile de TI si aceasta se refera la efectul modificarilor operate in programele informatice asupra increderii pe care auditorul o poate avea in mecnismele de control. Cand clientul modifica aplicatiile, auditorul trebuie sa determine daca este nevoie de teste suplimentare. In cazul in care controalele generale sunt eficace, auditorul va putea identifica mai usor modificarile operate in programe. In mediile in care controalele generale sunt nesatisfacatoare, insa, creste probabilitatea aparitiei unor modificari neidentificate in programe. Drept rezultat, auditorii trebuie sa prevada efctuarea de testari periodice ale eficacitatii operationale ale controalelor de aplicatie de durata intregului an atunci cand controalele generale sunt slabe.
De regula, auditorii obtin informatii privind controalele generale si de aplicatie prin urmatoarele tehnici: chestionarea personalului si utilizatorilor - cheie si tehnologiilor informationale, examinarea documentatiei de sistem, cum ar fi diagramele secventiale, manualele de utilizator, cererile de modificare a programelor si rezultatele testarilor, precum si analiza chestionarelor detaliate completate de angajatii departamentului de tehnologii informationale. In cele mai multe cazuri este de dorit sa se utilizeze mai multe metode pentru inteleerea controlului intern, deoarece fiecare dintre ele ofera informatii diferite. Interviurile cu seful departamentului informational si cu analistii de sistem ofera informtii utile privind operarea intregii functii de tehnologii informationale, amploarea procesului de proiectare a aplicatiilor informatice si modificarile operate in aplicatiile contabile cheie, precum si o imagine generala asupra schimbarilor planificate. Analiza cererilor de modificare a programelor si a rezultatelor testelor de sistem este utila pentru identificarea modificarilor de programare operate in aplicatiile informatice. Chestionarele sunt utile pentru identificarea mecanismelor de control intern specifice.
Impactul controalelor TI asupra riscului de control si a testelor substantiale
In mod normal, auditorii nu coreleaza calitatile si neajunsurile controalelor generale cu obiectivitate specifice de audit legate de operatiuni. Ca si mediul controlului, discutat in capitolul 10, controalele generale afecteaza obiectivele de audit legate de operatiuni in mai multe cicluri. In cazul in care controalele generale sunt ineficace, posibilitatea auditorului de a se baza pe controalele de aplicatie pentru a diminua riscul de control este redusa. Dimpotriva, cand controalele generale sunt eficace, creste si capacitatea auditorului de a se baza pe controalele de aplicatie pentru a reduce riscul de control.
Auditorii identifica atat contoalele de aplicatie manuale, cat si cele executate de computere, precum si neajunsurile sistemului pentru fiecare obiectiv de audit legat de opertiuni, utilizand o matrice a riscului de control intr-un mod asemanator, in linii mari, cu cel discutat in capitolul precedent. De exemplu, compararea de catre computer a numerelor de identificare a angajatilor introduse manual cu datele din fisierulsistematic al angajatilor poate reduce riscul de cotnrol aferent obiectivului de existenta a cheltuielilor privind salariile, prin faptul ca impiedica efctuarea de plati catre angajati ficitivi.
Auditul in mediile de TI mai putin complexe
Programul informatic de contabilitate genereaza, de asemenea, versiuni imprimate ale jurnalelor si registrelor, care permit auditorului sa retraseze parcursul operatiunilor individuale prin toate evidentele contabile. In plus, mecanismele de control intern includ deseori compararea de catre client a evidentelor generate de computer cu documetnele justificative.
In aceste situatii, utilizarea tehnologii informationale nu are un impact semnificativ asupra pistei de audit.
Aceasta metoda de auditare este desori numita auditare in jurul computerului, deaorece auditorul nu utilizeaza controalele computerizate pentru a reduce riscul de control estimat. In schimb, auditorul foloseste mecanismele de control din afara functiei de tehnologii informationale pentru a justifica estimarea adecvata a riscului de control, intr-un mod similar cu cel prezentat in capitolul precedent.
Auditul in mediile de TI mai complexe
OBIECTIVUL 11-5 Utilizarea datelor-test, a simularilor paralele si a modului de audit integrat ca metode de audit compuerizat.
Aceasta metoda de auditare este deseori numita auditare prin computer.
1. Metoda datelor - test. Metoda datelor test presupune prelucrarea unui set de dare-test ale auditorului utilizand sistemul computerizat si aplictiile informatice ale clientului, in scopul de a determina daca procedurile de control executate de computer asigura prelucrarea corecta a datelor test.
Auditorul compara datele de iesire generate de sistem pornind de la datele-testintroduse cu rezultatele asteptate de el, in scopul de a evalua eficacitatea mecanismelor de control din aplicatia informatica. Figura 11-3 ilustreaza utilizarea metodei datelor-test.
Cand aplica metoda datelor-test, auditorul trebuie sa tina cont de trei aspecte fundamentale si anume:
1.1. Datele - test ar trebui sa cupinda toate conditiile relevante pe care auditorul doreste sa le testeze.
1.2. Programele informatice verificate prin datele-test ale auditorului trebuie sa fie identice cu cele utilizate de client pe parcursul exercitiului contabil.
1.3. Datele-test trebuie eliminate din evidentele clientului.
2. Metoda simularii paralele
Auditorul foloseste programe controlate de el pentru a executa operatiuni paralele cu aplicatiile clientului, utilizand aceleasi fisiere de date. Indiferent daca testeaza mecanismele de control sau soldurtile financiare ale conturilor, auditorul compara propriile date de iesire cu date generate de aplicatiile folosite de client, in scopul de a testa eficacitatea programelor informatice ale clientului. Absenta de diferente in datele rezultate indica o functionare corecta a programelor clientului, in timp ce existenta unor abateri indica potentiale neajunsuri alesistemului clientului. Deoarce aplicatiile auditorului sunt proiectate pentru a efectua in paralel (imita) o operatiune prelucrata de aplicatiile clientului, aceasta strategie de testare este numita simulare paralela.
Un instrument fercvent utilizat de auditori pentru a efectua testele de simulare paralela sunt aplicatiile generice de audit (AGA), adica aplicatii informatice proiectate anume pentru a fi utilizate de auditori. Aceste programe informatice pot fi cumparate de-a gata si sunt, de regula, compatibile cu sistemul Windows, putand fi instalate cu usurinta in computerul de birou sau portabil al unui auditor. Doua exemple sunt programele ACL si Interactive Data Extraction and Analysis (IDEA). Auditorul obtine copii ale bazelor de date sau ale fisierelor sistematice ale clientului in limbaj pe programe (cod masina) si utilizeaza aplicatiile generice de audit pentru a executa o serie de teste ale datelor electronice ale clientului. Unii auditori folosesc programe de calcul tabelar pentru a face testele de simulare paralela elementare. Altii asi creeaza propriile aplicatii de audit personalizate si adaptate. Figura 11-4 de mai jos ilustreaza o simulare paralela tipica.
Tabelul 11-5 ilustreaza alte utilizari tipice ale aplicatiilor generice de audit.
3. Metoda de audit integrat.
Cand se utilizraza metoda modulului de audit integrat, auditorul insereaza un modul de audit in aplicatiile de sistem ale clientului pentru a extrage operatiunile purtand trasaturi care il intereseaza pe auditor.
Cand utilizeaza metoda modului de audit integrat, auditorul este in masura sa auditeze de maniera permanenta operatiunile prin identificaarea operatiunilor reale prelucrate de client. Un avataj important este capacitatea auditorului de a testa in continuu operatiunile, spre deosebire de metoda simularilor paralele, care sunt aplicate numai la anumite momente din timp. Un alt avantaj al modulelor de audit integrate este posibilitatea de aidentifica toate operatiunile neobisnuite, care urmeaza a fi evaluate de auditor.
Auditorul poate folosi fie una dintre metode (a datelor test, a simularii paralele sau a modulelor de audit integrate) fie o combinatie a lor.
ASPECTE SPECIFICE DIFERITELOR MEDII BAZATE PE THNOLOGII INFORMATIONALE
Obiectivul 6 Identificarea problemelor specifice mediilor bazate pe microcomputere, retele, sisteme de gestiune a bazelor de date si centre de servicii informatice externe.
Specificul mediilor bazate pe microcomputere
Microcomputerele sunt larg utilizate in majoritatea intreprinderilor, indiferent de dimensiunile lor. De obicei, ele au chiar si in societatile mici un rol important in prelucrarea sau analiza datelor contabile prin utilizarea unor programe de contabilitate sau calculul tabelar cumparate de-a gata sau crete special pentru intreprindere.
Deseori, auditorii clientilor care folosesc microcomputere in medii cu contrale generale mai putin sofisticate fac cea mai mare parte a auditului lor "in jurul computerului". Aceste sisteme produc deseori suficiente piste de audit care ii permit auditorului sa coreleze documentele justificative ale intrarilor de date cu datele iesite din sistem.
De exemplu, programele informatice din microcomputere pot fi instalsate pe discul dur al computerului astfel incat sa nu se permita modificarea lor de catre personalul clientului. Riscul operarii unor modificari neautorizate in aplicatiile informatice este, in consecinta, scazut. Inainte de a face referinta la mecanismele de control integrate in aplicatiile in cauza, auditorul trebuie sa se convinga de reputatia vanzatorului programului informatic respectiv in ceea ce priveste calitatea.
O problema care apare in mediile bazate pe microcomputere este accesul unor persoane neautorizate la fisierele sistematice.
Un exemplu este majorarea limitei de creditare a unui cumparator suficient pentru a evita respingerea operatiunii de catre sistem. In asemenea situatii, este critica o separare adecvata a sarcinilor personalului care are acces la fisierele sistematice de responsabilitate prelucrarii datelor. In plus, o verificare periodica de catre proprietarul-gestionar a datelor de iesire legate de operatiuni consoideaza controlul intern.
Un alt risc legat de folosire de microcomputere este pierderea de date si programe din cauza unor virusi informatici, care pot infecta alte programe si chiar intregul sistem. Anumiti virusi pot deteriora fisierele de pe disc sau bloca o retea intreaga de computere. Existenta unor programe de protectie impotriva virusilor, care fie actualizate periodic si care sa scaneze in permanenta sistemul pentru a detecta virusii posibili amelioreaza controlul intern.
2. Specificul mediilor bazate pe retele
Retelele locale (LAN, Local Area Networks) conecteaza echipamentele dintr-o singura cladire sau dintr-un mic grup de cladiri si sunt utilizate numai pentru operatiunile din interiorul companiei. O utilizare tipica a LAN-urilor consta in transferul de date si programe de la un computer sau terminal la altul, utilizand programe de la un computer sau terminal la altul, utilizand programe pentru sisteme de retea care permit tuturor echipamentelor sa functioneze impreuna. Retelele extinse (WAN, Wide Area Networks) conecteaza echipamente din regiuni geografice mai largi, permitand inclusiv derularea de operatiuni la scara mondiala.
In mediile bazate pe retele, aplicatiile informatice si fisierele de date utilizate de date utilizate pentru a prelucra operatiunile sunt stocate pe servere, care sunt echipamente folosite pentru gestionarea datelor. Accesul la aplicatiile respective de la microcomputere sau terminale simple este gestionat de programele pentru sisteme de retea. Deseori, companiile au mai multe servere.
In alte companii, folosirea unui mediu de retea duce deseori la modificari ale mecanismelor de control, pe care auditorul trebuie sa le analizeze in cursul planificarii auditului. Numeroase organizatii isi descentralizeaza serverele de retea, fapt ce mareste deseori riscul legat de control, deoarece lipseste securitatea si supervizarea de ansamblu a operatiunilor in retea de catre management. De asemenea, numeroase medii de retea nu au echipamente si proceduri standardizate.
Cand clientii au aplicatii contabile care functioneaza intr-un mediu de retea, inntelegerea controlului intern de catre auditor ar trebui sa cuprinda acumularea de informatii privind configurarea retelei, inclusiv amplasarea serverelor, terminalelor si computerelor conectate intre ele, precum si acumularea unor informatii privind programul de retea utilizat pentru gestiunea sistemului. De asemenea, auditorii ar trebuie sa se informeze despre mecanismele de control vizand accesarea si modificarea aplicatiilor informatice si fisierelor de date stocate pe servere.
3. Specificul sistemelor de gestiune a bazelor de date
Sistemele de gestiune a bazelor de date le permit clientilor sa creeze baze de date cuinformatii care pot fi utilizate de mai multe aplicatii.
Clientii instaleaza sisteme de gestiune a bazelor de date in scopul de a reduce duplicarea datelor, a imbunatati controlul asupra datelor si a furniza informatii de mai buna calitate pentru procesul decizional prin integrarea informatiilor folosite in diferite functii si departamente. De exemplu, anumite date privind clientii, cum ar fi numele si adresele clientului, pot fi utilizate in comun de fucntiile legate de vanzari, creditare, contabilitate, marketing si livrari, rezultand reduceri semnificative de cheltuieli.
Totusi, sistemele de gestiune a bezelor de date pot crea si riscuri legate de controlul intern. De exemplu, exista riscuri legate de faptul ca numerosi utilizatori, printre care se numara si persoane din afara departamentului contabil, pot accesa si actualiza fisiere de date neautorizate, inexacte si incomplete. De asemenea, centralizarea datelor, care sa fie adecvata si creata la intervale regulate.
Auditorii clientilor care folosesc sisteme de gestiune a bazelor de daate ar trebui sa inteleaga planificarea, organizarea, politicile si procedurile clientului in scopul de a determina cat de bine sunt gestionate aceste sisteme.
4. Aspecte legate de clientii care apeleaza la servicii TI externe.
Pentru a acoperi o parte sau totalitatea nevoilor de tehnologii informationale, multi clienti prefera sa apelelze la centre de servicii informatice independente mai curand decat sa infiinteze un departament intern de tehnologii informationale.
Cand activitatile sunt subcontractate unui centru de servicii informatice, clientul remite datele de intrare, iar centrul de servicii le prelucreaza contra unui onorariu si remite apoi clientului datele deiesire convenite si datele de intrare originale.
Auditorului ii va veni greu sa inteleaga controlul intern al clientullui in asemenea situatii, deoarece o mare parte din mecanismele de control functioneaza la nivelul centrului de servicii si auditul nu poate porni de la ipoteza ca aceste mecanisme sunt adecvate numai pentru ca este vorba de un furnizor independnt de servicii. Standardele de audit ii cer auditorului sa analizeze nevoia de a intelege si testa mecanismele de control ale centrului de servicii in cazurile in care aplicatiileutilizate de centrul respectiv implica prelucrarea unor date financiare semnificative.
Decizia privind amploarea intelegerii si testarii mecanismelor de controlale centrului de servicii utilizat de client ar trebui sa se bazeze pe aceleasi criterii pe care auditorul le respecta in evaluarea mecanismelor de control intern ale unui client. Profunzimea intelegerii va depinde de complexitatea sistemului si de gradul in care auditorul intentioneazasa reduca riscul de control estimat in scopul de a diminua cantitatea de teste de audit substantiale. Daca auditorul ajunge la concluzia ca implicarea activa la nivelul centrului de servicii este singura maniera de efectuare a auditului, ar putea fi necesar sa se obtina o intelegere a controlului intern instituit in centrul de servicii si sa se testeze mecnismele de control utilizandu-se date-test si alte metode de testare.
In ultimii ani, a devenit din ce in ce mai frecventa practica prin care un auditor independent intelege si testeaza mecanismele de control intern ale centrului de servicii, in interesele tuturor clientilor centrului respectiv si al auditorilor independenti ai acestora din urma. Scopul acestei evaluari independente consta in a oferi clientilor centrelor de servicii un nivel rezonabil de asigurari privind caracterul adecvat al controalelor generale si de aplicatie folosite de centrul de servicii si a elimina nevoia auditelor redundante facute facute de auditorii clientilor centrului. Daca centrul de servicii are numerosi clienti si fiecare cere o intelegere a controlului intern al centrului de catre propriul sau auditor independent, perturbarea activitatilor si costurile suportate de centrul de servicii incheie intelegerea si testarea mecanismelor de control ale acestuia, se emite un raport special, indicand perimetrul lucrarilor auditului si concluziile auditorului. Apoi, este de raspunderea auditorului clientului sa decida asupra masurii in care este sdispus sa se bazeze pe raportul de audit al centrului de servicii. DSA/SAS 70 (AU 324) contine recomandari atat pentru auditorii clientilor, cat si pentru auditorii centrelor de servicii informatice.
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 1882
Importanta:
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved