1Auditarea controalelor de aplicaiiCurs 4

Facultatea de tiine Economice i Gestiunea AfacerilorDepartamentul de Contabilitate i Audit

www.econ.ubbcluj.ro/~vasile.cardos/asic.html

Controale de aplicaii

Scopul controalelor de aplicaii este de a preveni, detecta, i corecta erorile i nereguli n procesarea tranzaciilor.

Controalele de aplicaii sunt acele controale care sunt ncorporate n aplicaiile care susin procesele entitii. Structura controalelor de aplicaii:-Controlul intrrilor asigura validitatea, acurateea i caracterul complet (exhaustiv) al datelor introduse ntr-un SIC;-Controlul prelucrrilor vizeaz prelucrarea datelor contabile dup ce sunt introduse. Vizeaz n principal vizibilitatea pistei de audit;-Controlul ieirilor asigur validitatea, acurateea i caracterul complet (exhaustiv) al informaiilor obinute. Principalele forme ale controlului sunt:

- Validarea rezultatelor procesrii;- Gestionarea distribuirii i utilizrii informaiilor obinute.

2Controlul intrrilor

Se auditeaz cu prioritate deoarece afecteaz datele de intrare i toate procesele ulterioare. Printre motivele care susin auditarea controlului intrrilor sunt:1. Datele care sunt respinse n momentul introducerii sunt mai uor de corectat (de exemplu prin compararea cu documentul care conine datele de intrare);2. Datele care sunt transcrise/preluate corect nu sunt neaparat bune. Trebuie utilizate teste suplimentare asupra datelor;3. Verificarea continu a procesrii datelor nu este eficient. Dup preluarea acestora n SIC dobndesc un caracter valid i complet;4. Garbage-In Garbage-Out.

Categorii ale controalelor de intare:-observarea/captarea, nregistrarea i transcrierea/codificarea datelor;-validarea ntrrilor;-controale de intrare suplimentare.

Controlul intrrilor

Observare, captare, nregistrareDatele de intrare au ca surs documente care atest operaiuni efectuate;Acestea trebuie s conin toate datele necesare nregistrrii, precum i formele de control care s ateste realitatea, oportunitatea, economicitatea operaiunii. Exemple: implementarea de mecanisme de confirmare, autorizare (separarea sarcinilor); Dup colectarea documentelor de intrare acestea trebuie nregistrate. Metode de automatizare a intrrilor de date:..? Ce se ntmpl dac nu sunt proceduri automatizate? Proceduri manuale?Ferestre de preluare a datelor realizate similar cmpurilor din documente. Liste predefinite, cmpuri care pot fi editate doar dup introducerea anumitor date.

Validarea intrrilorTestele de valididate accept doar datele complete i resping (dac se poate prezint ntr-un fiier distinct) datele care nu ndeplinesc condiiile pentru a fi validate; Exemple

Controale suplimentare: (CNP 1900214120306 sau 1900214120307) (detalii)Ofer asigurri suplimentare pentru date, de regul complexe/lungi (IBAN, CNP, CIF). De ex introducem greit CNP. Introdus n aplicaie acesta trece testul de validare al intrrilor:

(1) test numeric (trece) (2) testarea caracterului rezonabil 10000000000000 69999999999999 (trece) (3) test pentru semn + (trece) (4) test de exhaustivitate (trece)

3Controlul prelucrrilor

Controlul prelucrrilorTrebuie s permit vizibilitatea pistei de audit: Document -> Jurnale/Fia cont -> Situaii financiare;Forme de manifestare:

Posibilitatea urmririi unei operaiuni (set de date) be baza unor coduri (nr. doc, cont, nr intern); Liste de verificare: (numerice, valorice); Confruntare numeric i valoric ntre fazele de prelucrare (RJ -> BV) (Fia Cont -> BV) (RJ JC/JV);

Obiective i proceduri de audit

1. Revizuii i evaluai controalele de aplicaii implementate n sisteme. 1. Verificai dac datele invalide/incomplete sunt respinse (minimizarea riscului privind integritatea datelor). ncercarea prelurii

de date pe o amplicaie de test sau alte forme de simulare pentru a nu afecta funcionarea sistemului entitii;1. Testarea logic (cmpuri numerice accept doar valori numerice);2. Cmpurile cu format predefinit (formatul datei) trebuie s resping data incorect scris sau sa

transpun n formatul impus;3. Testarea caracterului rezonabil (ore lucrate 25/zi?, locuri n avion 200, bilete vndute 250);4. Respingerea total a valorilor dublicat;5. Testarea cmpurilor minime de preluare pentru a valida o operaiune;

2. Determinai dac exist rapoarte privind erorile/refuzul de validare, sau dac angajaii consider util implementarea acestora (integritatea i exhaustivitatea datelor);

1. Stabilii dac aplicaia genereaz rapoarte (needitabile) privind erorile sau ncercrile de evitare a controalelor2. Dac da, documentai msurile luate de entitate pentru eliminarea acestora;3. Dac nu, discutai cu angajaii pentru a identifica principalele erorir/dificulti pe care le ntmpin i modul n care acetia le

gestioneaz/comunic;

3. Revizuii i evaluai controale asupra fluxurilor de date de intrare/ieire dintr-un sistem (acurateea datelor)

1. Identificai aplicaiile care sunt vizate de fluxurile de date de intrare/ieire. Realizai interviuri cu persoanele care au dezvoltat sistemul sau cerei informaii de la furnizorul sistemului pentru a nelege condiiile de prelucrare/difuzare a datelor;

2. Identificai i evaluai formele de control existente pentru aceste operaiuni. De ex. controlul totalului valoric sau numeric al operaiunilor transmise/primite;

3. Verificai modul n care aplicaia gestioneaz datele referitoare la operaiuni care nu au fost preluate/transmise;

4. Dac aceleai date sunt gestionate n mai multe baze de date, asigurai-v c acestea sunt sincronizate/corelate periodic.

4Obiective i proceduri de audit

5. Revizuii i evaluai vizibilitatea pistei de audit i a controalelor aferente;1.Revizuii aplicaia cu dezvoltatorul sau administratorul pentru a stabili dac aceasta capteaz orice modificri ale datelor-cheie (valorile iniiale i noi, cine?, cnd? unde?). Rapoartele care conin aceste informaii trebuie s aib accesul restricionat i s nu fie editabile;2.Dac aplicaia nu genereaz asemenea rapoarte..?6. Asigurai-v c aplicaia permite urmrirea unei operaiuni sau a datelor de la nceputul pn la sfritul prelucrrilor.

1. Revizuii aplicaia cu dezvoltatorul sau administratorul pentru a stabili dac aceasta permite acest lucru;

2. Identificai tranzaii relevante i refacei traseul acestora;7.Asigurai-v c aplicaia ofer mecanisme prin care se asigur autentificarea utilizatorilor

(separarea sarcinilor)1. Revizuii aplicaia cu dezvoltatorul sau administratorul pentru a stabili dac aceasta poate fi

accesat doar pe baza unor date de identificare alocate (fr cont de Guest);2. Revizuii procedurile de schimbare a parolei i de pstrare a confidenialitii.8. Revizuii i evaluai mecanismele de autorizare a accesului utilizatorilor n aplicaie

(separare)9. Asigurai-v c sistemul de securitate/autorizare este administrat i controlat;10 Determinai dac mecanismele de securitate/autorizare permit aplicarea politicilor de

autorizare/validare;11. Revizuii procesele interne pentru eliminarea drepturilor utilizatorilor atunci cnd acestea

nu mai sunt necesare/permise (transfer, plecare);12. Asigurai-v c utilizatorii sunt deconectai automat dup o anumit perioad de

inactivitate

Studii de caz

Identificai una sau mai multe proceduri de control (generale i/sau de aplicaii) care ardiminua riscurile generate de urmtoarele erori/probleme:

1. Dna Popescu, angajat ca i secretar la o primrie, a lucrat doar 40 de ore pesptmn. Fluturaul de salariu arat un salariu pentru 400 de ore pe sptmn;

2. Analiza vechimii creanelor fa de un client arat c de la acesta nu s-a ncasatnimic de foarte mult timp i a depit plafonul de creane impus de entitate. Directorulde resort decide s sisteze livrrile ctre client pn cnd creanele nu vor firecuperate. Dar, sptmna urmtoare, directorul observ c au avut loc trei livrrictre client dei nu au fost nregistrate ncasri ale creanelor mai vechi;

3. Dl. Popescu este angajat la o societate mic pentru urmrirea i ncasarea creanelordeoarece are 25 de ani experien n domeniu. Dl. Popescu se mbrac modest, esten permanen politicos i atent cu colegii de birou, tie zilele de natere a colegilorpe care i surprinde cu mici cadouri de fiecare dat. Dl. Popescu deturneaz o partedin creanele ncasate pentru a-i acoperi pierderile cauzate jocurilor de noroc.

4. O operaiune de ncasare prin virament bacar a fost nregistrat ca o plat;5. Data unei ncasri a fost 18.03.0204 n loc de 2014;6. Codul fiscal al unui client a fost trecut 1234566 n loc de 1234567;

5