Referat Auditarea Managementului Documentelor in Regim Electronic
Transcript of Referat Auditarea Managementului Documentelor in Regim Electronic
UNIVERSITATEA CREŞTINĂ „DIMITRIE CANTEMIR“ – BUCUREŞTI
FACULTATEA DE FINANŢE, BĂNCI ŞI CONTABILITATE
MASTERAT „GESTIUNE ŞI AUDIT FINANCIAR”
REFERAT AUDITAREA MANAGEMENTULUI DOCUMENTELOR ÎN
REGIM ELECTRONIC
ETAPELE AUDITULUI SISTEMELOR INFORMATICE
CONDUCĂTOR ŞTIINŢIFIC:Lector univ. dr. ISĂILĂ NARCISA
MASTERAND:TUDOR T. MARIA-ALEXANDRA
BUCUREŞTI 2012
1
C U P R I N S
1. ETAPELE AUDITULUI SISTEMELOR INFORMATICE.................3
1.1 Planificarea auditului....................................................................................3
1.2 Efectuarea auditului......................................................................................6
1.3 Raportarea auditului.....................................................................................7
1.4 Revizuirea auditului.......................................................................................8
2
1. ETAPELE AUDITULUI SISTEMELOR INFORMATICE
Misiunea de audit al sistemelor informatice se deschide în cadrul unei întâlniri cu
conducerea entităţii auditate, organizate la sediul acesteia, iniţiate de structura de specialitate a
Curţii de Conturi care desfăşoară auditul. Din partea Curţii de Conturi, la întâlnire pot să
participe şeful departamentului / directorul din cadrul departamentului sau directorul / directorul
adjunct al camerei de conturi, după caz, şi echipa de audit desemnată.
În cadrul întâlnirii de deschidere a auditului se prezintă echipa de audit, tema şi
obiectivele auditului, se stabilesc persoanele de contact, precum şi alte detalii necesare realizării
auditului şi se clarifică aspectele legate de asigurarea unor spaţii de lucru adecvate şi a suportului
logistic corespunzător.
Pentru a efectua auditul sistemelor informatice, auditorul public extern va trebui să aibă
suficiente cunoştinţe în domeniul tehnologiei informaţiei şi comunicaţiilor, care să-i permită
înţelegerea strategiilor, politicilor şi activităţilor care fac obiectul auditului.
Etapele auditului sistemelor informatice sunt:
planificarea auditului,
efectuarea auditului,
raportarea şi
revizuirea auditului.
1.1 Planificarea auditului
Planificarea este prima etapă din ciclul de viaţă al auditului, corectitudinea acesteia
asigurând eficienţa şi execuţia efectivă a tuturor celorlalte etape ale auditului. Planificarea
presupune obţinerea de informaţii privind entitatea auditată şi de informaţii despre sistemul de
control intern al acesteia. De asemenea, şi foarte important, planificarea trebuie să includă o
evaluare a riscurilor care decurg din funcţionarea acestor sisteme.
Planificarea auditului are la bază o strategie de audit, care se formulează pornind de la
definirea abordării auditului şi precizează elemente legate de coordonarea misiunii de audit,
echipa implicată în această misiune, atribuţiile în cadrul echipei, orizontul de timp şi direcţiile
principale de acţiune.
3
Scopul planificării auditului IT / IS este acela de a obţine o înţelegere a mediului în care
funcţionează sistemul informatic în cadrul entităţii auditate, de a evalua riscul de eroare sau de
fraudă, de a elabora o abordare eficientă a auditului prin care să se colecteze probe suficiente şi
de încredere în scopul formării unei opinii, şi de a aloca resursele necesare pentru realizarea
acestor activităţi. Planificarea activităţilor are în vedere minimizarea costurilor auditului.
În cazul auditării sistemelor informatice financiar-contabile, trebuie analizat impactul
acestor sisteme asupra planului misiunii de audit. Această analiză are la bază următoarele
activităţi:
cunoaşterea relaţiei dintre situaţiile financiare şi sistemele informatice care le
susţin;
evaluarea necesităţii implicării în audit a specialiştilor în audit IT / IS;
luarea în considerare a impactului implementării şi utilizării sistemului informatic
asupra riscului, atât la nivelul entităţii cât şi pentru domeniul financiar-contabil;
luarea în considerare a posibilităţilor de utilizare a tehnicilor de audit asistat de
calculator pentru susţinerea auditului, inclusiv identificarea celor mai adecvate
mijloace de accesare şi analiză a datelor aferente tranzacţiilor;
analiza modului de includere a evaluării controalelor IT în abordarea auditului;
identificarea sistemelor informatice financiar-contabile în curs de dezvoltare care
vor necesita implicarea auditului.
Pentru stabilirea unei strategii de audit, auditorul trebuie să obţină informaţii şi cunoştinţe
legate de entitatea auditată şi de mediul în care aceasta operează. Activitatea de documentare are
ca scop cunoaşterea obiectivelor entităţii cu privire la performanţa tehnologiei informaţiei,
precum şi a principalelor aspecte legate de coordonarea, structura şi funcţionalitatea sistemelor,
serviciilor şi aplicaţiilor care susţin obiectivele, în vederea alegerii celor mai adecvate metode,
tehnici şi proceduri de audit.
Metodele utilizate pentru colectarea informaţiilor în faza de documentare sunt:
prezentări în cadrul unor discuţii preliminare cu reprezentanţii managementului
entităţii auditate;
consultarea unor materiale documentare relevante privind activitatea entităţii;
consultarea legislaţiei aferente tematicii;
consultarea documentaţiilor tehnice;
4
documentare în domeniul standardelor şi bunelor practici;
interviuri cu persoanele implicate în coordonarea, monitorizarea, administrarea,
întreţinerea şi utilizarea sistemului informatic;
participarea la demonstraţii privind utilizarea sistemului;
studiul documentar realizat prin accesarea pe Internet a unor informaţii publicate
pe website-ul entităţii auditate.
După obţinerea unei înţelegeri asupra mediului informatizat al entităţii, auditorul va
evalua riscul inerent şi riscul de control, factori care se iau în considerare la determinarea riscului
de audit.
Riscul de audit, indus de utilizarea sistemului informatic, poate fi exprimat în termenii
următoarelor trei componente:
Riscul inerent, care decurge din susceptibilitatea asupra resurselor informatice
sau asupra resurselor controlate de sistemul informatic: furt material, distrugere,
dezvăluire, modificări neautorizate, incompatibilitate, în lipsa controalelor interne
asociate.
Riscul de control, care reprezintă riscul ca erorile materiale din datele entităţii să
nu fie prevenite sau detectate şi corectate în timp util de structura controlului
intern al entităţii.
Riscul de nedetectare, care reprezintă riscul ca auditorul să nu detecteze erorile
existente în sistem.
Planul de audit conţine următoarele secţiuni:
1. Informaţii despre entitatea auditată: obiective, structură, dotare hardware şi software,
volumul operaţiilor prelucrate automat;
2. Stabilirea obiectivelor auditului: abordarea auditului, aria de acoperire a auditului, rolul
auditorului IT;
3. Evidenţierea domeniilor critice care vor fi examinate: ariile cu riscul cel mai ridicat;
4. Criteriile de audit stabilite;
5. Etapele misiunii de audit şi tipurile de evaluări aferente: procedurile de audit prin care
se obţin probele de audit, metodele şi tehnicile de analiză, sinteză şi interpretare a probelor de
audit;
6. Resurse necesare: personal, timp, resurse tehnice şi financiare.
5
1.2 Efectuarea auditului
Probele de audit specifice sistemelor informatice pot fi încadrate în următoarele categorii:
a) Probe de audit fizice - rezultate din demonstraţii ale aplicaţiilor, documentaţii tehnice,
diagrame, scheme de arhitectură şi alte elemente echivalente acestora.
b) Probe de audit verbale – răspunsuri la interviuri, sondaje.
c) Probe de audit documentare – documente, documentaţii, manuale în formă scrisă sau
în format electronic.
d) Probe de audit analitice – rezultate obţinute în urma evaluărilor şi analizei fondului de
informaţii (indicatori, tendinţe).
Auditorii publici externi vor colecta probe de audit suficiente şi adecvate. În cazul în care
probele de audit nu sunt suficiente şi/sau adecvate, auditorii publici externi vor extinde
procedurile de colectare cu teste suplimentare, aprofundate asupra sistemului informatic.
Pentru obţinerea probelor de audit se vor utiliza, în principal, următoarele tehnici de
audit:
Realizarea de interviuri cu persoane cheie implicate în proiect (coordonatori, utilizatori,
administratori de sistem IT etc.);
Utilizarea chestionarelor şi machetelor;
Examinarea unor documentaţii tehnice, economice, de monitorizare şi de raportare:
grafice de implementare, corespondenţă, rapoarte interne, situaţii de raportare, rapoarte
de stadiu al proiectului, registre de evidenţă, documentaţii de monitorizare a utilizării,
contracte, sinteze statistice, metodologii, standarde;
Participarea la demonstraţii privind utilizarea sistemului;
Evaluarea portalului şi a serviciilor electronice;
Utilizarea tehnicilor şi instrumentelor de audit asistat de calculator (IDEA, TeamMate,
ACL sau alte aplicaţii utilizate);
Documentarea pe Internet în scopul informării asupra unor evenimente, comunicări,
evoluţii legate de sistemul IT sau pentru consultarea unor documentaţii tehnice.
6
1.3 Raportarea auditului
Raportarea are ca scop punerea în evidenţă a punctelor slabe ale controalelor, identificate
de auditor şi aducerea lor la cunoştinţa entităţii auditate prin intermediul raportului de audit şi al
unei scrisori care conţine sinteza principalelor constatări şi recomandări.
Raportul de audit identifică aria de cuprindere, obiectivele, perioada, planificarea în timp
şi aria de acoperire ale activităţii de auditare efectuate.
Raportul de audit este elaborat de auditorii publici externi pentru fiecare misiune de audit
şi va include cele mai semnificative constatări, recomandări şi concluzii care au rezultat în cadrul
misiunii de audit cu privire la stadiul şi evoluţia implementării şi utilizării sistemelor informatice
existente în entitatea auditată. Raportul va include, de asemenea, opinia auditorilor cu privire la
natura şi extinderea punctelor slabe ale controlului intern în cadrul entităţii auditate şi impactul
posibil al acestora asupra activităţii entităţii.
Raportul de audit al sistemelor informatice trebuie să fie obiectiv şi corect, să cuprindă
toate constatările relevante, inclusiv cele pozitive, să fie constructiv şi să prezinte concluziile şi
recomandările formulate de echipa de audit.
Entitatea auditată formulează punctul de vedere cu privire la constatările şi recomandările
conţinute în proiectul raportului de audit şi îl transmite, în termen de 10 zile, structurii care a
efectuat auditul.
În situaţia în care există diferenţe de opinii între auditorii publici externi şi conducerea
entităţii auditate cu privire la conţinutul proiectului raportului de audit al sistemelor informatice,
care nu pot fi soluţionate cu ocazia reconcilierii, echipa de audit prezintă în raportul de audit al
sistemelor informatice, punctul de vedere al entităţii auditate şi explică cu claritate motivele care
au stat la baza neînsuşirii acestora, dacă este cazul.
După discuţiile purtate cu entitatea auditată, auditorii publici externi pot modifica
proiectul raportului de audit al sistemelor informatice, dacă entitatea auditată aduce probe de noi
care să justifice modificarea constatărilor.
Raportul final de audit al sistemelor informatice este semnat de auditorii publici externi
care au efectuat auditul şi va fi înaintat entităţii auditate, însoţit de o adresă de înaintare, pentru a
fi înregistrat.
Raportul de audit al sistemelor informatice, înregistrat la entitatea auditată va fi evidenţiat
în registrul de intrări – ieşiri de la nivelul structurilor de specialitate respective, în Registrul
7
special privind evidenţa actelor întocmite şi modul de valorificare a constatărilor consemnate în
acestea şi în aplicaţia INFOPAC.
Sinteza principalelor constatări, concluzii şi recomandări ale auditului, însoţită de o
adresă semnată de şeful departamentului / directorul camerei de conturi se transmite entităţii
auditate însoţită de o adresă în care se specifică termenul la care entitatea auditată va transmite
Curţii de Conturi informaţii privind măsurile şi modul de implementare a recomandărilor
cuprinse în raportul de audit.
Raportul de audit al sistemului informatic sau o sinteză a principalelor constatări,
concluzii şi recomandări ale acestuia pot fi transmise, după caz, şi instituţiilor publice interesate,
Guvernului, comisiilor de specialitate din cadrul Parlamentului, prin intermediul departamentului
în a cărui competenţă de verificare intră domeniul respectiv.
1.4 Revizuirea auditului
Revizuirea auditului se realizează în cadrul unei noi misiuni de audit, care are ca obiectiv
evaluarea modului în care au fost implementate recomandările formulate în raportul de audit
anterior aferent misiunii de audit al sistemelor informatice. Rezultatele se consemnează într-un
nou raport de audit care conţine concluzii, constatări şi recomandări relative la stadiul
implementării recomandărilor formulate în raportul de audit iniţial.
8
BIBLIOGRAFIE
*AUDITUL SISTEMELOR INFORMATICE – MANUAL – 2012
*http://www.curteadeconturi.ro
9