1

Auditul sistemelor informaţionale contabile

Curs 2

Facultatea de Ştiinţe Economice şi Gestiunea Afacerilor

Departamentul de Contabilitate şi Audit

www.econ.ubbcluj.ro/~vasile.cardos/asic.html

Specifica ţia practic ă IEPS 2 “Tehnologia informaţiei pentru profesioniştii contabili” identifică următoarele competenţe IT pentru rolul de auditor:

Competen ţe IT ale profesioni ştilor contabili

Nr. Competen ţe

Evaluarea mediulul de control IT al entit ăţii1 Identificarea, analiza şi evaluarea efectelor IT asupra entităţii auditate2 Cunoaşterea/Înţelegerea complexităţii mediului IT

3Analiza riscurilor şi a controalelor IT la nivelul entităţii pentru a stabili dacă strategia IT este aliniată cu strategia entităţii

Planificarea evalu ării sistemului contabil şi de raportare1 Identificarea proceselor şi a fluxurilor de operaţiuni relevante

2Identificarea riscurilor semnificative şi a controalelor relevante asupra utilizatorilor şi aplicaţiilor

3 Identificarea infrastructurii IT şi a controalelor generale

4Stabilirea pragului de semnificaţie în funcţie de nivelul/frecvenţa erorilor sau deficienţelor sistemului

5Stabilirea testelor asupra controlului aplicaţiilor/utilizatorilor şi a controalelor generale

2

Competen ţe IT ale profesioni ştilor contabili

Mai multe detalii g ăsi ţi la adresa:http://web.ifac.org/media/publications/d/handbook-of-international-e/ieps-2-information-techno.pdf

Nr. Competen ţe

Evaluarea sistemului contabil şi de raportare1 Realizarea procedurilor/testelor planificate2 Evaluarea controalelor generale IT şi a controalelor aplicaţiilor

3Evaluarea relaţiilor dintre controalele generale şi controalele utilizatorilor/aplicaţiilor

4 Ajustarea procedurilor planificate în funcţie de modificarea circumstanţelor5 Documentarea procedurilor şi a rezultatelor acestora6 Analiza şi evaluarea procedurilor

Comunicarea rezultatelor evalu ării1 Identificarea formelor cele mai eficiente metode de comunicare a rezultatelor2 Stabilirea strategiei finale

4

Aspecte privind no ţiunea sistem

Aspecte generale

Defini ţii:� un sistem reprezintă orice instanţă din viaţa reală pentru care se identifică un

ansamblu de componente (fenomene, obiecte, procese, noţiuni, concepte, entităţi sau colectivităţi) aflate atât în relaţii reciproce, cât şi cu mediul înconjurător şi care acţionează în comun pentru atingerea unor obiective bine stabilite.

� într-o altă abordare sistemul este „... un set de elemente diferenţiate conectatesau interrelaţionate încât să îndeplinească o funcţie unică care nu poate fi realizată de elementele privite în mod individual” (Rechtin, 1991: 7)

3

Aspecte privind no ţiunea sistem

Entitatea economică – abordare sistemică

Având în vedere particularităţile constructive ale unei entităţi economice putem afirmaca aceasta se circumscrie caracteristicilor unui sistem, deoarece:

�prezintă o structură proprie constând dintr-o mulţime de elemente (departamente, secţii, servicii, activităţi etc);

�între elementele constitutive există o serie de fluxuri (materiale, financiare, informaţionale, umane etc.) care implică resursele entităţii;

�elementele disponibile şi fluxurile existente urmăresc realizarea unui anumit obiectiv.

Aspecte privind no ţiunea sistem

Entitatea economică – sistem cibernetic

Lucrările în domeniul sistemicii au condus la definirea unui model care promoveazăviziunea sistemică asupra entităţii pe care o consideră formată din următoarele treisubsisteme:� subsistemul managerial sau decizional este sediul activităţii decizionale a entităţii. � subsistemul informaţional transmite datele şi informaţiile din sistem;� subsistemul condus sau operaţional are loc culegerea datelor care apoi sunt transmise subsistemului informaţional;

4

Aspecte privind no ţiunea sistem

Entitatea economică – sistem cibernetic

2

Mediul economic

Sistem informaţional

Legiuitor Acţionari Competitori

Furnizori Clienţi

Entitatea economică

Intrări Prelucrări Ieşiri

Feedback (conexiune inversă)

Funcţionarea tipică a unui sistem / sistem informaţional

Dacă sistemul informaţional se bazează pe o structură IT (folosirea calculatorului) atunci în etapa de prelucrare se interpun încă două elemente: procedurile şi Bazele/colecţiile de date.

Sistemul informa ţional contabil

Intrări Prelucrări Ieşiri

Feedback (conexiune inversă)

Intrări Prelucrări Ieşiri

Feedback (conexiune inversă)

Proceduri Baze/ Colecţii de date

5

Exemplificarea funcţionării sistemului informaţional contabil pentru achiziţii de stocuri:

Sistemul informa ţional contabil

Intrări Prelucrări Ieşiri

Feedback (conexiune inversă)

Proceduri Colecţii de date

Contract

Factura

% = 401.0x CA + TVA3XX CA4426 CA x %TVA

Situaţia stoc. (3XX)

Jcump şi D300 (4426)

Situaţia furniz. (401.XX)

RJ şi Balanţă

Bilanţ

Decizia de a cumpăra sau nu în perioada următoare

Într-o abordare generală pentru toate tipurile de operațiuni…

Sistemul informa ţional contabil3

Documente (surse de date)

Intrări Prelucrări Ieşiri

Fișiere aferente

Jurnale

Situații/Fișa cont

Balanța de verificare

Situa ții financiare șiRapoarte

6

Auditul sistemelor informa ționale

In God we trust. Everyone else we audit!’ (Baczko, 2007: 787)

Bagranoff et al. (2009)

Auditul sistemelor informa ționale

In God we trust. Everyone else we audit!’ (Baczko, 2007: 787)

Hall (2010:10)

7

Standarde relevante.

Preambul

Proliferarea tehnologiilor

Globalizarea economic ă

Standardizarea

Limbaj comun şi competen ţe specifice

pentru certificarea, evaluarea sau auditarea sistemelor

informa ţionale

1. ISACA2. ISO 2700X3. ITIL

8

Structura referen ţialelor ISACA

ISACA

RISK IT

IDENTIFICAREAEVALUAREA

GESTIONAREA RISCURILOR

Standarde

ASIAUDIT FINANCIAR

AUDIT INTERN

VAL IT

EFICIENTIZAREAINVESTIŢIILOR IT

CoBIT

GUVERNANŢĂ IT

Standardele ISACA

ASI Audit financiar

Auditintern

Standardele ISACA pot fi folosite ca referen ţiale pentru diverse tipuri de activit ăţi, printre care:

ISACA

Alte servicii

Audit securitate

9

Standardele ISACA

Standarde de audit Standarde de audit şi asigurareşi asigurare

17 Standarde care definesc cerinţele obligatorii pentru realizarea unei misiuni de audit şi asigurare IT.

18 de Ghiduri oferă informaţii suplimentare pentru implementarea şi respectarea standardelor

Proceduri care oferă diverse metode prin care auditorul unui

sistem informaţional le poate utiliza în

activitatea de audit.

Standarde

Ghiduri Proceduri

Information Systems Audit and Control Association [ISACA]

Lista completă a standardelor se găseşte aici :

Standardele ISACA

Exemplu de aplicare a standardelor ISACA

Standarde de audit Standarde de audit şi asigurareşi asigurare

1202 Evaluarea riscurilor. Auditorul trebuie să adopte o metod ă de evaluare a riscurilor în faza de planificare pentru determinarea priorităţilor şi realizarea eficientă a activităţilor.

2202 Evaluarea riscurilor în planificarea misiunii. Metoda de evaluare poate fi cantitativă sau calitativă

P1 Metode de evaluare a riscurilor exemplifică patru

metode de evaluare a riscurilor cu avantaje şi dezavantaje.

Standarde

Ghiduri Proceduri

10

Controalele generale

� Controalele generale sunt acele controale care vizează mediul în care sistemele informaţionale sunt dezvoltate, gestionate şi utilizate şi ca atare sunt aplicabile tuturor zonelor entităţii.

� Identificarea exhaustivă a controalelor generale este o misiune dificil de realizat deoarece entităţile pot stabili politici proprii, relevante din perspectiva funcţionării şi securităţii sistemelor informaţionale care sunt incluse în strategia entităţii.

� IEPS 2 emis de IFAC prescrie competenţele IT pe care profesioniștii contabili trebuie să le deţină. Activităţile legate de tehnologia informaţiei pe care auditorii trebuie să le întreprindă în faza de planificare constă în:� Identificarea, analiza şi evaluarea efectelor IT asupra entităţii

auditate;

� Cunoaşterea/Înţelegerea complexităţii mediului IT;

� Alocarea sarcinilor membrilor misiunii sau specialiştilor care deţin cunoştinţe IT specializate pentru a analiza controalele IT la nivelul entităţii;

� Analiza riscurilor şi a controalelor IT la nivelul entităţii pentru a stabili dacă strategia IT este aliniată cu strategia entităţii (IFAC IEPS 2, 2009:62)

11

� Identificarea, analiza şi evaluarea efectelor IT asupra entităţii;

� Vizează tendinţele existente în acest domeniu; aceasta activitate fiind o componentă esenţială pentru realizarea unui audit adecvat;

� Această activitate completează informaţiile obţinute de auditor despre specificul activităţii entităţii şi a sectorului de activitate; influenţând în acelaşi timp complexitatea IT şi riscurile generate de acesta la care entitatea se expune.

� Cunoaşterea/Înţelegerea complexităţii mediului IT şi analiza riscurilor;• auditorul poate apela şi la arhitectura sistemului informaţional, dacă

aceasta există;

• arhitectura sistemului informaţional al entităţii are ca punct de pornire obiectivele şi strategia entităţii, ceea ce presupune că entitatea a depus eforturi în vederea alinierii strategiei IT cu strategia entităţii;

• o asemenea aliniere facilitează şi implementarea unui mediu de control intern „sănătos” ca urmare a faptului că în elaborarea arhitecturii s-a ţinut cont de toate activităţile şi procesele importante, favorizând astfel identificarea riscurilor la care entitatea a fost expusă şi luarea unor măsuri pentru gestionarea acestora.

12

� ISACA (2009:25) propune o abordare a controalelor IT din perspectiva ariei de aplicare al acestora asupra achiziţiei, implementării, utilizării şi susţinerii sistemelor şi serviciilor informaţionale, astfel:

� Controalele generale – sunt acele controale care asigură minimizarea riscurilor asupra funcţionării sistemelor, aplicaţiilor şi a infrastructurii informaţionale în ansamblul lor. În cadrul acestor controale se diferenţiază:

• controalele universale – sunt acele controale generale proiectate pentru a gestiona şi monitoriza mediul IT, şi ca urmare, afectează toate activităţile dependente de tehnologia informaţiei;

• controalele detaliate – cuprind controalele de aplicaţii şi acele controale generale care nu au un caracter universal;

� În cadrul controalelor generale pot fi incluse:� Dezvoltarea şi implementarea unei strategii privind

sistemele informaţionale şi a unei politici de securitate corespunzătoare;

� Administrarea funcţiei IT;� Separarea sarcinilor şi responsabilităţilor legate de IT;� Proiectarea/achiziţia sistemelor;� Planul privind continuarea activităţii;� Politica de securitate şi accesul fizic.

13

� Dezvoltarea şi implementarea unei strategii privind SI şi a politicii de securitate

� Are ca punct de pornire şi finalitate arhitectura entităţii. Pp. încadrarea sistemului informaţional în strategia entităţii şi alinierea cu aceasta;

� Alinierea SI se realizează prin evaluarea importanţei fiecărei activităţi şi proces desfăşurat. Evaluarea permite şi identificarea măsurilor de securitate care trebuie implementate pentru a asigura faptul că SI susţine realizarea activităţilor entităţii.

� Administrarea funcţiei IT/SI

� …ca o componentă distinctă a fost determinată de recunoaşterea impactului pe care informaţiile şi SI o au asupra obiectivelor entităţii;

� Vizează întreaga activitate a entităţii => trebuie să se subordoneze managementului superior;

14

� Separarea sarcinilor şi responsabilităţilor legate de IT

� Vizează eliminarea riscurilor generate de combinarea unor atribuţii privind gestionarea activelor IT, autorizarea şi înregistrarea operaţiunilor;

� Ex. cei implicaţi în proiectarea, implementarea şi gestionarea SI nu trebuie să aibă atribuţii pe linia înregistrării sau controlării operaţiunilor.

� Separarea sarcinilor în cadrul funcției IT/SI: � Dezvoltarea sistemului existent;

� Migrarea/transferul pe un alt sistem

� Mentenanță/Întreținere;

� Planul privind continuarea activităţii (refacere în caz de dezastru)

� Vizează eliminarea, gestionarea riscurilor generate de întreruperile care pot apărea astfel încât să asigure funcţionarea sau refacerea într-un timp cât mai scurt a activităţilor sau proceselor esenţiale;

� Ptr. acest plan se impune o analiză a riscurilor care ar duce la întreruperea funcţionării activităţilor entităţii şi evaluarea impactului atât cantitativ (pierderi generate de indisponibilitatea paginii web) cât şi calitativ (afectarea imaginii entităţii în raport cu partenerii de afaceri).

15

� Politica de securitate şi accesul fizic.

� Entitatea trebuie să formalizeze şi să implementeze politici eficiente privind securitatea informaţiei şi accesul la echipamentele şi locaţiile care conţin activele/bunurile sistemului informaţional;

� Politica de securitate trebuie să specifice regulile de bază ce trebuie respectate de către toţi angajaţii în vederea protejării activelor informaţionale.

� Controalele de securitate care pot fi implementate în acest sens ar putea fi:� Controale fizice – asigură protecţia mediului IT (camere video, alarme);

� Controale tehnice – au în vedere în special controlul accesului (autorizarea şi monitorizarea accesului la bunuri informaţionale);

� Controale administrative – sunt implementate în baza planului sau a politicii de securitate.

Controalele de aplica ţii

Acestea sunt proiectate şi implementate în cadrul fiecărei aplicaţii şi contribuie la îmbunătăţirea controlului intern. De asemenea, aceste controale ajută entitatea să răspundă celor şase obiective de audit referitoare la operaţiuni: �realitatea sau existenţa, �exhaustivitatea, �acurateţea sau exactitatea, �înregistrarea în perioada corectă,�imputarea sau clasificarea corectă, �sistematizarea şi sintetizarea corectă

Standardele ISACA (2009) definesc controalele de aplicaţii ca fiind activităţi manuale sau automate menite să asigure exhaustivitatea şi acurateţea înregistrărilor şi validitatea datelor introduse.

Standardele de audit (IFAC, 2009) consideră controalele de aplicaţii ca fiind forme alecontroalelor detective şi preventive şi vizează integritatea înregistrărilor contabile.

16

Controalele de aplica ţii

Din această perspectivă acestea sunt considerate proceduri utilizate pentru a iniţia, înregistra,procesa şi raporta tranzacţiile sau alte date financiare. IIA GTAG 8 (2007) considerăcontroalele de aplicaţii ca fiind acele controale care se referă la obiectivele proceselor şiaplicaţiilor individuale, inclusiv editarea datelor, separarea sarcinilor, înregistrarea tranzacţiilorefectuate şi raportarea erorilor.

Controalele de aplicaţii asigură faptul că:�datele introduse sunt exacte, complete, autorizate şi corecte;�datele sunt procesate conform cerinţelor într-o perioadă de timp rezonabilă;�informaţiile obţinute şi păstrate sunt exacte şi complete;�se poate urmări şi reconstitui traseul urmat de date din momentul intrării, prelucrării şi obţinerii informaţiilor din sistem.

Controalele de aplica ţii

Principalele categorii ale controalelor de aplicaţii sunt:�controlul intr ărilor – acele controale sunt utilizate în special pentru a verifica integritatea datelor introduse în aplicaţii;�controlul prelucr ărilor – acestea oferă mijloace automate pentru a oferi o asigurare asupra faptului că prelucrările sunt complete, exacte şi autorizate;�controlul ie şirilor – acestea vizează rezultatul procesărilor şi presupune verificarea concordanţei cu datele de intrare;

Controlul intrărilor este componenta cea mai importantă din cadrul controalelor de aplicaţiideoarece acestea trebuie să asigure faptul că sunt introduse în sistem doar date care reflectăoperaţiuni reale, evaluate în mod corect, de către personal autorizat.

Pentru un auditor aceste controale sunt importante deoarece: �în majoritatea sistemelor controalele de aplicaţii sunt cele mai frecvente; �activităţile realizate de personal/utilizatori sunt caracterizate de repetitivitate şi chiarmonotonie ceea ce poate fi o premisă a prelucrării eronate a datelor; �majoritatea tentativelor de fraudare a sistemelor informaţionale au loc în această fază deoarece nu necesită cunoştinţe specializate în informatică

17

Controalele de aplica ţii

Controalele vizând datele de intrare pot fi atât manuale şi automate.

Controalele manuale pot fi sub forma:�autorizării operaţiunilor, �întocmirii şi sistematizării documentelor justificative, angajarea de personal competent,�recalcularea manuală a totalurilor pe categorii de operaţiuni, �urmărirea traseului unei operaţiuni în documentele de sinteză (Jurnalul de cumpărări sau devânzări, Registrul de casă, Jurnalul de bancă).

Controalele automate sunt fie :�specifice mediului în care operează aplicaţiile informatice: domenii de utilizatori sau conturi de utilizatori şi parole pentru sistemele de operare, programe antivirus şi firewall), �controale implementate în cadrul aplicaţiilor care prelucrează date provenind din activităţile şiprocesele entităţii (atât cele financiare cât şi cele nefinanciare)

Controalele de aplica ţii

O categorie importantă de controale de aplicaţii automate vizează asigurarea acurateței, a completitudinii şi integrităţii datelor.

Printre acestea se numără:� ferestre de lucru cu câmpuri predefinite (de exemplu lista furnizorilor) care pot fi modificate

doar de către personalul cu atribuţii în acest sens;� corelarea câmpurilor de preluare (asocierea dintre codul unui terţ şi contul analitic);� limitarea tipului de date introduse prin definirea unor câmpuri care permit doar introducerea

de date numerice sau caractere sau alfanumerice;� validarea calculelor şi a operaţiunilor (pornind de la parametri predefiniţi, cotele de TVA sau

cursurile valutare);� Fixarea unor limite minime sau maxime privind valorile unor câmpuri (de exemplu plafonul

plăţii în numerar către o persoana juridică);� mesajele de confirmare a preluării şi validării datelor introduse (în condiţiile în care

câmpurile esenţiale identificării şi urmăririi datelor au fost introduse);� mesaje de eroare sau de atenţionare privind lipsa sau caracterul incomplet al datelor prin

care se reflectă o operaţiune.

18

Controalele de aplica ţii

Controalele prelucrărilor sunt de regulă automate şi au menirea de a asigura faptul că datele procesate sunt complete, exacte şi au fost autorizate facilitând în acelaşi timp preîntâmpinarea şi detectarea erorilor produse în timpul prelucrării acestora.

Prin natura lor, aceste controale contribuie la asigurarea integrităţii datelor care reflectă operaţiunile entităţii. Din perspectivă informatică, operaţiunea se identifică cu noţiunea de tranzacţie şi are patru proprietăţi:�atomicitate: o tranzacţie trebuie acceptată la procesare sau respinsă în totalitate şi fără ambiguitate. În eventualitatea eşecului oricărei operaţii, datele trebuie aduse la starea lor iniţială;�consistenţă: tranzacţia trebuie să-şi păstreze toate proprietăţile invariabile;�izolare: fiecare tranzacţie trebuie să se execute independent de alte tranzacţii ce se pot executa în mod concurent, în acelaşi mediu;�durabilitatea: efectele rezultate în urma execuţiei unei tranzacţii trebuie să fie persistente.

Controalele de aplica ţii

Controalele asupra ieşirilor din sistem (controlul informaţiilor obţinute) trebuie să ofere siguranţa că datele oferite sunt corecte, şi distribuite numai persoanelor autorizate, în condiţii de siguranţă.

Printre modalităţile de asigurare a corectitudinii şi acurateței informaţiilor obţinute este compararea acestora cu datele de intrare.

Al doilea aspect vizat de controalele asupra ieşirilor, distribuirea informaţiilor doar către persoanele autorizate. Din această perspectivă se are în vedere clasificarea informaţiilor înfuncţie de:�importanţa acestora privind securitatea informaţiei �natura utilizatorilor vizaţi.

Astfel informaţiile pot fi secrete/confidenţiale, disponibile, sau publice. Măsurile de control se vor concentra în special pentru limitarea divulgării informaţiilor confidenţiale şi a celor disponibile.

19

ASI şi misiunile de audit financiar

În cadrul standardelor internaţionale de audit emise de IFAC se fac referiri lasituaţiile în care auditorul financiar apelează la cunoştinţele şi abilităţile unor experţipentru atingerea obiectivelor misiunii de audit:

"Auditorul poate răspunde riscurilor identificate de denaturări semnificativedatorate fraudei, spre exemplu, prin desemnarea unor persoane suplimentare cuaptitudini şi cunoştinţe de specialitate, cum ar fi exper ţi specializa ţi în domeniulIT, sau prin desemnarea unor persoane cu mai multă experienţă care să participe lamisiune."

2

ASI şi misiunile de audit financiar

Un alt organism profesional care a emis standarde de audit care tratează impactultehnologiei sistemelor informaţionale asupra situaţiilor financiare este AmericanInstitute of Certified Public Accountants [AICPA] prin documentul de lucru AUSection 319 (2006) "Considerarea controlului intern într-un audit al situaţiilorfinanciare":

"Auditorul trebuie să determine dac ă sunt necesare cuno ştin ţe specializate îndeterminarea riscurilor IT asupra auditului , să înţeleagă controalele IT sau săstabilească şi să aplice teste ale controalelor IT sau teste substantive/dedetaliu . Un expert care să aibă abilităţi în domeniul IT poate fi fie un membru alechipei sau un profesionist extern.

2

20

ASI şi misiunile de audit financiar

Pentru a stabili dacă e nevoie de un asemenea profesionist în echipa de audit, auditorul (financiar n.a.) ia în considerare următorii factori:�complexitatea sistemelor utilizate de entitate şi a controalelor IT precum şi maniera în care acestea sunt utilizate în activitatea entităţii;�schimbările semnificative aduse sistemelor existente sau implementarea noilor sisteme;�măsura în care datele sunt utilizate în comun de mai multe sisteme;�măsura în care entitatea este implicată în comerţul electronic;�utilizarea tehnologiilor emergente;�importanţa probelor de audit care sunt disponibile numai în format electronic.

2

ASI şi misiunile de audit financiar

Procedurile pe care auditorul (financiar n.a.) le realizează sau le pune în sarcinaprofesionistului care deţine cunoştinţe IT includ:�interogarea personalului IT asupra modului în care tranzacţiile sunt iniţiate,înregistrate, procesate şi raportate;�analiza controalelor IT descrise de entitate;�inspectarea documentaţiei de sistem;�observarea controalelor IT;�planificarea şi realizarea testelor de control IT.

Dacă se ia în calcul apelarea la un profesionist auditorul trebuie s ă aibăsuficiente cuno ştin ţe în domeniul IT pentru a:�comunica profesionistului obiectivele auditului;�pentru a putea stabili dacă procedurile specificate vor duce la atingereaobiectivelor;�pentru a evalua rezultatul procedurilor IT în corelaţie cu natura şi durata altorproceduri planificate.

2

21

ASI şi misiunile de audit financiar

În procesul de identificare şi de evaluare a riscurilor un loc important îl ocupăsistemul informaţional în calitatea sa de componentă a controlului intern.“Auditorul va obţine o înţelegere a sistemului informaţional, inclusiv a proceseloraferente ale întreprinderii, relevante pentru raportarea financiară, inclusivurmătoarele domenii:�clasele de tranzac ţii din operaţiunile entităţii care sunt semnificative pentru situaţiile financiare;�procedurile , atât cele din domeniul tehnologiei informaţionale (IT), cât şi sistemele manuale prin care sunt iniţiat, înregistrate, procesate, corectate, dacă este necesar, transferate în registrul general şi raportate în situaţiile financiare.�înregistr ările contabile aferente, informaţiile de susţinere şi conturile specifice din situaţiile financiare care sunt folosite pentru a iniţia, înregistra, procesa şi raporta tranzacţiile; aceasta include corectarea informaţiilor incorecte şi modul în care sunt transferate informaţiile în rapoarte. Înregistrările se pot face fie manual, fie în formă electronică;

2

ASI şi misiunile de audit financiar

...continuare

�modul în care sistemul capteaz ă evenimentele şi condi ţiile , altele decât tranzacţiile, care sunt semnificative pentru situaţiile financiare;�procesul de raportare financiar ă folosit pentru întocmirea situaţiilor financiare ale entităţii, inclusiv estimările şi evidenţierile contabile semnificative;�controalele care sunt în jurul înregistrărilor în jurnale, inclusiv înregistrările din jurnale care nu sunt standard şi care sunt folosite pentru a înregistra tranzacţiile care nu apar în mod frecvent, cele neobişnuite sau ajustările.”(ISA 315, 2007:par.18)

2

22

Tipologia proceselor/opera ţiunilor

Din perspectiva controlului intern (Vaasen et al., 2009)şi a auditului (Arens & Loebbecke, 2003), literatura de specialitate indică următoarele procese sau fluxuri de operaţiuni principale:�Achizi ţii şi plăţi;�Stocare;�Produc ţie;�Vânzări şi încas ări;�Resurse umane;�Investi ţii (imobiliz ări);�Încasări, pl ăţi şi gestionarea lichidit ăţilor;�Contabilitate;

Procese principale

Procese secundare

Legătura dintre procese/fluxuri

Achiz. de servicii

Achiziţii de bunuri

Resurse umane Achiz. de stocuri şi imobilizări

Salarii datorate

Datorii şi credite

Creanţe

Plăţi

Producţie Vânzări

ÎncasăriLichidităţi (casa şi bancă)

Înregistrare

Stocarea bunurilor şi gestionarea lichidităţilor Vânzări

Imobilizări, mat. prime, materiale

Produse finite

Contabilitate

++ +

+

+

+

-/-

-/-

-/-

-/--/-

-/-+

Relaţia dintre procesele entităţii

Sursa: Vaasen et al., 2009: 146

23