CATEGORII DOCUMENTE |
Auditul sistemelor IT
Prezentam in continuare schema unui sistem de control intern pentru misiunea "Auditul sistemelor IT".
Misiunea compartimentului stabilita de conducerea generala este "Adoptarea unei politici preventive pentru evitarea oricarei incetari a activitatii".
In aceasta perspectiva, sistemul de control intern implementat va cuprinde urmatoarele elemente:
a). Obiective:
- numarul de interventii anuale cu incetarea totala a activitatii;
- numarul de interventii anuale fara incetarea totala a activitatii;
- media anuala a interventiilor.
b). Mijloace:
- specialisti pregatiti pentru depanarea sistemelor IT;
- existenta in magazie in totalitate a componentelor de schimb;
- bugete adecvate pentru achizitii directe de urgenta;
- buget pentru lucrarile de intretinere tehnice preventive anuale;
- pregatirea profesionala in domeniul securitatii informatiilor.
c). Sisteme de informare:
- informari tehnice periodice preventive de intretinere;
- informari statistice despre numarul interventiilor si duratele acestora;
- informatii financiare privind cheltuielile si incadrarea lor in bugete;
- informari calitative despre pregatirea profesionala acordata de specialisti in IT si in depanare;
- situatia statistica anuala privind evenimentele deosebite.
d). Organizare:
- compartimentul este format, spre exemplu, din n persoane, pentru fiecare dintre cele trei schimburi de lucru;
- situatia amplasarii sistemelor computerizate;
- fisa postului, cu echipamentele care trebuie monitorizate permanent;
- materiale de securitate aflate la dispozitie.
e). Proceduri:
- manual de operare;
- manual de utilizare;
- manul de securitate.
f). Supervizare:
- permanenta de catre seful de departamet;
- zilnica de catre seful de tura;
- dezbateri saptamanale cu tot colectivul.
Activitatile de control prevazute sub coordonarea managerului general pentru misiunea Auditul sistemelor IT se constituie intr-un sistem de control intern al departamentului functiei IT din cadrul entitatii si vor fi evaluate, conform metodologiei specifice, de auditori interni.
Controalele interne specifice fiecarei functii din sistem sunt de o mare diversitate si se caracterizeaza prin aceea ca pot fi grupate pe cele sase grupe de activitati generale de control intern, respectiv obiective, mijloace, sisteme de informare, organizare, procedee si supervizare.
Identificarea activitatilor de control intern specifice functiei (activitatii) se realizeaza parcurgand urmatoarele faze:
a) Divizarea functiei in subactivitati sau sarcini elementare pentru identificarea zonelor de risc si pentru a construi chestionarul de control intern (CCI). Responsabilul functiei va intocmi o lista cu subactivitatile sale, in mod secvential pe cat posibil. Gradul de detaliere ramane la alegerea responsabilului, dar cu cat diviziunea va fi mai adanca, cu atat activitatea de control intern implementata va fi mai riguroasa si mai eficace.
De exemplu, divizarea in subactivitati pentru activitatea "Plata salariilor la institutiile publice" cuprinde:
- 1. intocmirea documentelor pentru angajare;
- 2. stabilirea elementelor de natura salariala;
- 3. inscrierea in carnetele de munca a elementelor salariale;
- 4. actualizarea bazei de date a programului pentru salarii;
- 5. calculul salariilor, intocmirea statelor de plata si a centralizatoarelor drepturilor banesti;
- 6. intocmirea ordonantarii platii;
- 7. acordarea vizei de control financiar preventiv;
- 8. intocmirea notei privind retinerile;
- 9. intocmirea ordinului de plata prin trezorerie, pentru plata salariilor pe card;
- 10 intocmirea cecului de numerar pentru plata salariilor prin casierie;
- 11. intocmirea ordinului de plata prin trezorerie pentru retinerile din salarii si obligatii catre buget;
- 12. plata salariilor prin casierie;
- 13. inregistrarea in contabilitate.
Activitatea de plata a salariilor a fost vizata in 13 operatii sau subactivitati elementare, insa putea sa fie si in mai multe, dar si in mai putine, aceasta in functie de nivelul de rigurozitate dorit.
b) Identificarea riscurilor propriilor fiecarei subactivitati si evaluarea acestora nu reprezinta o activitate riguroasa, stiintifica ci o activitate aleatorie, cu un anumit grad de aproximatie. Astfel, in toate cazurile in care este posibila o cuantificare, aceasta este bine sa se produca, dar in majoritatea cazurilor identificarea si evaluarea riscurilor sunt o estimare de natura calitativa, care va conduce inevitabil la identificarea activitatii de control pentru estomparea efectului riscurilor.
Identificarea riscurilor propriilor subactivitati si evaluarea acestora se realizeaza in practica prin intrebarile pe care ni le punem referitor la ce s-ar intampla daca o anumita activitate (proces) s-ar efectua in mod defectuos sau nu s-ar efectua deloc. Raepunsurile obtinute la aceste intrebari pot fi tot atatea riscuri identificate. Aceasta faza este recomandat sa se efectueze in echipe de 2-3 persoane care cunosc bine functia (activitatea procesul).
In continuare pentru fiecare dintre riscurile identificate se va realiza si evaluarea lor, pentru a stabili nivelul riscului, respectiv: grav (G), mediu (M) sau slab (S).
Aceasta evaluare prezinta un grad de subiectivitate si de aproximare, cu exceptia situatiilor cand riscurile pot fi cuantificate.
Exemplu privind activitatea "Plata salariilor la institutiile publice":
- la subactivitatea Intocmirea documentelor pentru angajare stabilim urmatoarele riscuri:
- inscrierea eronata sau incompleta a datelor privind numele si prenumele, functia, baza legala, data numirii in functie (G);
- lipsa procedurilor scrise (G);
- la subactivitatea Calculul salariilor, intocmirea statelor de plata si a centralizatoarelor drepturilor banesti stabilim urmatoarele riscuri:
- inexistenta procedurilor pentru noii angajati (M);
- neactualizarea procedurilor si modificarilor legislative (G);
- actualizarea incorecta a programului pentru salarii cu modificarile cadrului legislativ (G);
- nedepistarea eventualelor erori privind sumele acordate salariatilor (M);
- la subactivitatea Inregistrarea in contabilitate am stabilit urmatoarele riscuri:
- lipsa procedurilor scrise pentru inregistrarea in contabilitate (M);
- neactualizarea procedurilor de inregistrare in contabilitate (G);
- nerespectarea ordinii cronologice la inregistrarea datelor privind salarizarea (S);
- nedepistarea eventualelor erori din cauza nerealizarii sau realizarii cu deficiente a controlului ierarhic (G).
Analizand aceasta faza, observam ca aprecierea riscurilor depinde de relativitatea controlului intern si in mod special de profesionalismul celui implicat.
c) Identificarea activitatilor de control consta in gasirea, pentru fiecare dintre riscurile prezentate mai sus, a activitatilor de control adecvate. Astfel se obtine lista teoretica a activitatilor de control necesare pentru realizarea controlului fiecarei sarcini elementare.
Din practica rezulta ca este important sa se aiba in vedere caracterul relativ al acestei proceduri, in sensul ca un risc nu poate fi niciodata eliminat complet, ci putem numai sa incercam sa-i reducem probabilitatea de aparitie, din urmatoarele motive:
- intotdeauna va exista riscul de control, adica acel risc inerent al insesi activitatii de control implementate, care va avea in mod normal imperfectiuni. In acelasi timp acest risc al controlului va creste o data cu evolutiile si modificarle din cadrul functiei (procesului) daca nu va fi constant actualizata;
- imbunatatirea sistemului de control al functiei (procesului) va fi realizata de functia de audit intern din cadrul entitatii, dar sa nu uitam ca si aceasta se confrunta cu riscul de audit.
In functe de evaluarea riscurilor, activitatile de control trebuie sa fie riguroase, precise suficiente, iar noi trebuie sa ne limitam la o bariera rezonabila, la un instrument simplu si chiar elementar pentru a evita manifestarile acestor riscuri.
Exemplu privind activitatea "Plata salariilor la institutiile publice", unde, pentru fiecare subactivitate si riscurile stabilite, mentionam activitatile de control adecvate astfel:
-intocmirea documentelor pentru angajare:
- inscrierea eronata sau incompleta a datelor;
- comparatie cu dosarul de concurs;
- modificarea tuturor documentelor intocmite eronat;
- lipsa procedurilor scrise:
- aprecierea procedurii practicate;
- verificarea pregatirii profesionale a contabilului;
- analiza fisei postului;
- calculul salariilor, intocmirea statului de plata si a centralizatoarelor drepturilor banesti:
- inexistenta procedurilor scrise pentru noii angajati:
- aprecierea procedurii practicate;
- analiza cauzelor inexistentei procedurilor;
- neactualizarea procedurilor cu modificarile legislative:
- analiza fisei postului;
- cunoasterea modificarii legislative;
- sondaje pentru a stabili la ce nivel trebuie actualizat fisierul;
In aceasta faza va fi intocmita lista subactivitatilor elementare, completata cu lista activitatilor de control necesare pentru evitarea riscurilor grave stabilite.
Dupa cum am precizat, riscurile nu pot eliminate complet, ci poate fi numai limitata posibilitatea de manifestare a acestora. Intotdeauna vor exista un risc inerent al controlului, ca si un risc al auditului intern, care pot sa evolueze daca, pe masura trecerii timpului, analiza riscurilor nu este actualizata in vederea adaptarii activitatilor de control.
d) Clasificarea activitatilor de control stabilite pentru limitarea riscurilor pe cele sase grupe din care fac parte, respectiv obiective, mijloace, sisteme de informare, organizare, proceduri si supervizare.
Exemplu privind activitatea "Plata salariilor in institutiile publice":
- obiective: analiza fisei postului;
- mijloace: verificarea pregatirii profesionale;
- sisteme de informare: analiza cauzelor inexistentei procedurilor;
- organizare: modificarea tuturor documentelor intocmite eronat dar si sondaje pentru stabilirea pana la ce nivel trebuie actualizat fisierul;
- proceduri: compartie cu dosarul de concurs si verificarea respectarii procedurii in practica;
- supervizare: cunoasterea modificarilor legislative.
Nr. crt. |
Subactivitati elementare |
Riscuri |
Evaluarea riscurilor |
Activitatile de control identificabile |
Gruparea activitatilor de control |
Intocmirea documentelor pentru angajare |
-inscrierea incompleta sau eronata a datelor; - lipsa procedurilor scrise |
G G |
-comparatie cu dosarul de concurs; -modificarea documentelor eronate; -aprecierea procedurii practicate; - verificarea pregatirii profesionale a contabilului; -analiza fisei postului |
-proceduri; -sisteme IT; -supervizare - mijloace - obiective |
|
Calculul salariilor, intocmirea statului de plata |
-inexistenta procedurilor scrise pentru noii angajati -neactualizarea procedurilor si modificarile legislative -actualizarea incorecta a programului pt. salarii -nedepistarea eventualelor erori pv sumele acordate |
M G G M |
-aprecierea procedurii practicate; -analiza cauzei inexistentei proceduril. - analiza fisei postului; -cunoasterea modificar. legislative; -sondaje pt actualizarea fisierului; ----- ----- ------------ |
-supervizare - proceduri -organizare -obiective -proceduri ----------- |
|
Inregistrarea in contabilitate |
-lipsa proceduri scrise pentru inregistrarea in contabilitate -neactualizarea procedurilor de inregistrare contabila -nerespectarea ordinii cronologice la inregistr. ctb. |
M G S |
----- ----- ------ ----- ----- ------------- ----- ----- -------- |
------------- -------- |
Retinand caracterul relativ al controlului intern, responsabilul functiei se va opri dupa doua-trei incercari, insa ulterior, in functie de modificarile intervenite, va actualiza analiza riscurilor si implicit procedura. Acest lucru il va face nu pentru a ajunge la un sistem de control intern perfect, ci pentru a reusi prin actualizari sa adapteze permanent activitatile de control specifice functiei.
Ulterior va interveni auditorul intern, care va evalua sistemul de control intern al responsabilului si ii va da o asigurare a functionalitatii acestuia. Si dupa trecerea auditorului intern ramane un risc, riscul de audit, care nu poate fi acoperit, tinand cont de aceeasi relativitate a controlului intern.
Totusi auditorii interni pot realiza o imbunatatire constanta a sistemului de control intern mai bine decat oricine altcineva, in cadrul misiunilor, datorita metodologiei exacte si riguroase pe care o desfasoara.
Literatura de specialitate remarca existenta unei legaturi directe intre mediul de control si sistemul contabil. Astfel, se pare ca cei mai multi auditori neaga posibilitatea existentei unui sistem contabil eficient daca estimeaza ca mediul de control este impropriu. Se considera ca atat sistemul contabil, cat si procedurile de control nu pot fi performante decat in conditiile in care exista un mediu de control adecvat.
Sistemul de contabilitate este format din ansamblul de metode si documente utilizate pentru a identifica, colecta, clasifica, analiza, inregistra si raporta tranzactiile unei entitati, precum si pentru a mentine controlul asupra activelor si pasivelor aferente.
Auditorul trebuie sa obtina o intelegere suficienta a sistemului de contabilitate pentru a putea identifica si intelege:
categoriile principale de tranzactii ale entitatii;
modalitatea de initiere a acestor tranzactii;
inregistrarile semnificative din contabilitate, documentele justificative si conturile din situatiile financiare;
fluxul contabil si raportarea financiara, de la initierea tranzactiilor pana la prezentarea lor in situatiile financiare.
Procedurile interne de control sunt intrinsec legate de sistemul contabil al entitatii si au obiective principale sa verifice daca:
tranzactiile sunt executate in concordanta cu autorizarea conducerii;
tranzactiile si alte evenimente care au incidenta asupra situatiilor financiare sunt inregistrate cu promptitudine si in suma corecta, in conturile si in perioada contabila adecvata, astfel incat sa permita intocmirea situatiilor financiare in concordanta cu un cadru general de raportare financiara identificat;
accesul la active si inregistrari este permis doar in conformitate cu autorizarea conducerii;
activele inregistrate sunt comparate cu activele existente la intervale rezonabile, iar in ceea ce priveste orice diferente identificate sunt luate masuri adecvate.
In urma intelegerii sistemului de contabilitate utilizat de client, auditorul poate sa aprecieze in ce masura acest sistem poate produce situatii financiare de incredere. Cu cat probabilitatea de atingere a acestui obiectiv scade, cu atat creste riscul de control asociat acestui sistem.
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 1846
Importanta:
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved