UNIVERSITATEA CREŞTINĂ „DIMITRIE CANTEMIR“ – BUCUREŞTI

FACULTATEA DE FINANŢE, BĂNCI ŞI CONTABILITATE

MASTERAT „GESTIUNE ŞI AUDIT FINANCIAR”

REFERAT AUDITAREA MANAGEMENTULUI DOCUMENTELOR ÎN

REGIM ELECTRONIC

ETAPELE AUDITULUI SISTEMELOR INFORMATICE

CONDUCĂTOR ŞTIINŢIFIC:Lector univ. dr. ISĂILĂ NARCISA

MASTERAND:TUDOR T. MARIA-ALEXANDRA

BUCUREŞTI 2012

1

C U P R I N S

1. ETAPELE AUDITULUI SISTEMELOR INFORMATICE.................3

1.1 Planificarea auditului....................................................................................3

1.2 Efectuarea auditului......................................................................................6

1.3 Raportarea auditului.....................................................................................7

1.4 Revizuirea auditului.......................................................................................8

2

1. ETAPELE AUDITULUI SISTEMELOR INFORMATICE

Misiunea de audit al sistemelor informatice se deschide în cadrul unei întâlniri cu

conducerea entităţii auditate, organizate la sediul acesteia, iniţiate de structura de specialitate a

Curţii de Conturi care desfăşoară auditul. Din partea Curţii de Conturi, la întâlnire pot să

participe şeful departamentului / directorul din cadrul departamentului sau directorul / directorul

adjunct al camerei de conturi, după caz, şi echipa de audit desemnată.

În cadrul întâlnirii de deschidere a auditului se prezintă echipa de audit, tema şi

obiectivele auditului, se stabilesc persoanele de contact, precum şi alte detalii necesare realizării

auditului şi se clarifică aspectele legate de asigurarea unor spaţii de lucru adecvate şi a suportului

logistic corespunzător.

Pentru a efectua auditul sistemelor informatice, auditorul public extern va trebui să aibă

suficiente cunoştinţe în domeniul tehnologiei informaţiei şi comunicaţiilor, care să-i permită

înţelegerea strategiilor, politicilor şi activităţilor care fac obiectul auditului.

Etapele auditului sistemelor informatice sunt:

planificarea auditului,

efectuarea auditului,

raportarea şi

revizuirea auditului.

1.1 Planificarea auditului

Planificarea este prima etapă din ciclul de viaţă al auditului, corectitudinea acesteia

asigurând eficienţa şi execuţia efectivă a tuturor celorlalte etape ale auditului. Planificarea

presupune obţinerea de informaţii privind entitatea auditată şi de informaţii despre sistemul de

control intern al acesteia. De asemenea, şi foarte important, planificarea trebuie să includă o

evaluare a riscurilor care decurg din funcţionarea acestor sisteme.

Planificarea auditului are la bază o strategie de audit, care se formulează pornind de la

definirea abordării auditului şi precizează elemente legate de coordonarea misiunii de audit,

echipa implicată în această misiune, atribuţiile în cadrul echipei, orizontul de timp şi direcţiile

principale de acţiune.

3

Scopul planificării auditului IT / IS este acela de a obţine o înţelegere a mediului în care

funcţionează sistemul informatic în cadrul entităţii auditate, de a evalua riscul de eroare sau de

fraudă, de a elabora o abordare eficientă a auditului prin care să se colecteze probe suficiente şi

de încredere în scopul formării unei opinii, şi de a aloca resursele necesare pentru realizarea

acestor activităţi. Planificarea activităţilor are în vedere minimizarea costurilor auditului.

În cazul auditării sistemelor informatice financiar-contabile, trebuie analizat impactul

acestor sisteme asupra planului misiunii de audit. Această analiză are la bază următoarele

activităţi:

cunoaşterea relaţiei dintre situaţiile financiare şi sistemele informatice care le

susţin;

evaluarea necesităţii implicării în audit a specialiştilor în audit IT / IS;

luarea în considerare a impactului implementării şi utilizării sistemului informatic

asupra riscului, atât la nivelul entităţii cât şi pentru domeniul financiar-contabil;

luarea în considerare a posibilităţilor de utilizare a tehnicilor de audit asistat de

calculator pentru susţinerea auditului, inclusiv identificarea celor mai adecvate

mijloace de accesare şi analiză a datelor aferente tranzacţiilor;

analiza modului de includere a evaluării controalelor IT în abordarea auditului;

identificarea sistemelor informatice financiar-contabile în curs de dezvoltare care

vor necesita implicarea auditului.

Pentru stabilirea unei strategii de audit, auditorul trebuie să obţină informaţii şi cunoştinţe

legate de entitatea auditată şi de mediul în care aceasta operează. Activitatea de documentare are

ca scop cunoaşterea obiectivelor entităţii cu privire la performanţa tehnologiei informaţiei,

precum şi a principalelor aspecte legate de coordonarea, structura şi funcţionalitatea sistemelor,

serviciilor şi aplicaţiilor care susţin obiectivele, în vederea alegerii celor mai adecvate metode,

tehnici şi proceduri de audit.

Metodele utilizate pentru colectarea informaţiilor în faza de documentare sunt:

prezentări în cadrul unor discuţii preliminare cu reprezentanţii managementului

entităţii auditate;

consultarea unor materiale documentare relevante privind activitatea entităţii;

consultarea legislaţiei aferente tematicii;

consultarea documentaţiilor tehnice;

4

documentare în domeniul standardelor şi bunelor practici;

interviuri cu persoanele implicate în coordonarea, monitorizarea, administrarea,

întreţinerea şi utilizarea sistemului informatic;

participarea la demonstraţii privind utilizarea sistemului;

studiul documentar realizat prin accesarea pe Internet a unor informaţii publicate

pe website-ul entităţii auditate.

După obţinerea unei înţelegeri asupra mediului informatizat al entităţii, auditorul va

evalua riscul inerent şi riscul de control, factori care se iau în considerare la determinarea riscului

de audit.

Riscul de audit, indus de utilizarea sistemului informatic, poate fi exprimat în termenii

următoarelor trei componente:

Riscul inerent, care decurge din susceptibilitatea asupra resurselor informatice

sau asupra resurselor controlate de sistemul informatic: furt material, distrugere,

dezvăluire, modificări neautorizate, incompatibilitate, în lipsa controalelor interne

asociate.

Riscul de control, care reprezintă riscul ca erorile materiale din datele entităţii să

nu fie prevenite sau detectate şi corectate în timp util de structura controlului

intern al entităţii.

Riscul de nedetectare, care reprezintă riscul ca auditorul să nu detecteze erorile

existente în sistem.

Planul de audit conţine următoarele secţiuni:

1. Informaţii despre entitatea auditată: obiective, structură, dotare hardware şi software,

volumul operaţiilor prelucrate automat;

2. Stabilirea obiectivelor auditului: abordarea auditului, aria de acoperire a auditului, rolul

auditorului IT;

3. Evidenţierea domeniilor critice care vor fi examinate: ariile cu riscul cel mai ridicat;

4. Criteriile de audit stabilite;

5. Etapele misiunii de audit şi tipurile de evaluări aferente: procedurile de audit prin care

se obţin probele de audit, metodele şi tehnicile de analiză, sinteză şi interpretare a probelor de

audit;

6. Resurse necesare: personal, timp, resurse tehnice şi financiare.

5

1.2 Efectuarea auditului

Probele de audit specifice sistemelor informatice pot fi încadrate în următoarele categorii:

a) Probe de audit fizice - rezultate din demonstraţii ale aplicaţiilor, documentaţii tehnice,

diagrame, scheme de arhitectură şi alte elemente echivalente acestora.

b) Probe de audit verbale – răspunsuri la interviuri, sondaje.

c) Probe de audit documentare – documente, documentaţii, manuale în formă scrisă sau

în format electronic.

d) Probe de audit analitice – rezultate obţinute în urma evaluărilor şi analizei fondului de

informaţii (indicatori, tendinţe).

Auditorii publici externi vor colecta probe de audit suficiente şi adecvate. În cazul în care

probele de audit nu sunt suficiente şi/sau adecvate, auditorii publici externi vor extinde

procedurile de colectare cu teste suplimentare, aprofundate asupra sistemului informatic.

Pentru obţinerea probelor de audit se vor utiliza, în principal, următoarele tehnici de

audit:

Realizarea de interviuri cu persoane cheie implicate în proiect (coordonatori, utilizatori,

administratori de sistem IT etc.);

Utilizarea chestionarelor şi machetelor;

Examinarea unor documentaţii tehnice, economice, de monitorizare şi de raportare:

grafice de implementare, corespondenţă, rapoarte interne, situaţii de raportare, rapoarte

de stadiu al proiectului, registre de evidenţă, documentaţii de monitorizare a utilizării,

contracte, sinteze statistice, metodologii, standarde;

Participarea la demonstraţii privind utilizarea sistemului;

Evaluarea portalului şi a serviciilor electronice;

Utilizarea tehnicilor şi instrumentelor de audit asistat de calculator (IDEA, TeamMate,

ACL sau alte aplicaţii utilizate);

Documentarea pe Internet în scopul informării asupra unor evenimente, comunicări,

evoluţii legate de sistemul IT sau pentru consultarea unor documentaţii tehnice.

6

1.3 Raportarea auditului

Raportarea are ca scop punerea în evidenţă a punctelor slabe ale controalelor, identificate

de auditor şi aducerea lor la cunoştinţa entităţii auditate prin intermediul raportului de audit şi al

unei scrisori care conţine sinteza principalelor constatări şi recomandări.

Raportul de audit identifică aria de cuprindere, obiectivele, perioada, planificarea în timp

şi aria de acoperire ale activităţii de auditare efectuate.

Raportul de audit este elaborat de auditorii publici externi pentru fiecare misiune de audit

şi va include cele mai semnificative constatări, recomandări şi concluzii care au rezultat în cadrul

misiunii de audit cu privire la stadiul şi evoluţia implementării şi utilizării sistemelor informatice

existente în entitatea auditată. Raportul va include, de asemenea, opinia auditorilor cu privire la

natura şi extinderea punctelor slabe ale controlului intern în cadrul entităţii auditate şi impactul

posibil al acestora asupra activităţii entităţii.

Raportul de audit al sistemelor informatice trebuie să fie obiectiv şi corect, să cuprindă

toate constatările relevante, inclusiv cele pozitive, să fie constructiv şi să prezinte concluziile şi

recomandările formulate de echipa de audit.

Entitatea auditată formulează punctul de vedere cu privire la constatările şi recomandările

conţinute în proiectul raportului de audit şi îl transmite, în termen de 10 zile, structurii care a

efectuat auditul.

În situaţia în care există diferenţe de opinii între auditorii publici externi şi conducerea

entităţii auditate cu privire la conţinutul proiectului raportului de audit al sistemelor informatice,

care nu pot fi soluţionate cu ocazia reconcilierii, echipa de audit prezintă în raportul de audit al

sistemelor informatice, punctul de vedere al entităţii auditate şi explică cu claritate motivele care

au stat la baza neînsuşirii acestora, dacă este cazul.

După discuţiile purtate cu entitatea auditată, auditorii publici externi pot modifica

proiectul raportului de audit al sistemelor informatice, dacă entitatea auditată aduce probe de noi

care să justifice modificarea constatărilor.

Raportul final de audit al sistemelor informatice este semnat de auditorii publici externi

care au efectuat auditul şi va fi înaintat entităţii auditate, însoţit de o adresă de înaintare, pentru a

fi înregistrat.

Raportul de audit al sistemelor informatice, înregistrat la entitatea auditată va fi evidenţiat

în registrul de intrări – ieşiri de la nivelul structurilor de specialitate respective, în Registrul

7

special privind evidenţa actelor întocmite şi modul de valorificare a constatărilor consemnate în

acestea şi în aplicaţia INFOPAC.

Sinteza principalelor constatări, concluzii şi recomandări ale auditului, însoţită de o

adresă semnată de şeful departamentului / directorul camerei de conturi se transmite entităţii

auditate însoţită de o adresă în care se specifică termenul la care entitatea auditată va transmite

Curţii de Conturi informaţii privind măsurile şi modul de implementare a recomandărilor

cuprinse în raportul de audit.

Raportul de audit al sistemului informatic sau o sinteză a principalelor constatări,

concluzii şi recomandări ale acestuia pot fi transmise, după caz, şi instituţiilor publice interesate,

Guvernului, comisiilor de specialitate din cadrul Parlamentului, prin intermediul departamentului

în a cărui competenţă de verificare intră domeniul respectiv.

1.4 Revizuirea auditului

Revizuirea auditului se realizează în cadrul unei noi misiuni de audit, care are ca obiectiv

evaluarea modului în care au fost implementate recomandările formulate în raportul de audit

anterior aferent misiunii de audit al sistemelor informatice. Rezultatele se consemnează într-un

nou raport de audit care conţine concluzii, constatări şi recomandări relative la stadiul

implementării recomandărilor formulate în raportul de audit iniţial.

8

BIBLIOGRAFIE

*AUDITUL SISTEMELOR INFORMATICE – MANUAL – 2012

*http://www.curteadeconturi.ro

9