10. RAPORTUL DE AUDITARE Procesul de auditare se finalizeaz cu ntocmirea unui raport care

conine propuneri de msuri de reducere i de meninere sub control a riscurilor importante ale noii aplicaii. Raportul de auditare este o lucrare de sintez care are la baz o analiz a rezultatelor obinute din parcurgerea textelor surs, din lansarea n execuie a programelor i din interpretarea rezultatelor finale, mai ales prin interpretarea rezultatelor intermediare i a celor de urmrire a programului.

Raportul de audit este o lucrare cuprinztoare care ofer o imagine privind sigurana pe care o d produsul. Raportul de audit are un rol esenial n angajamentele de audit i asigurare, deoarece comunic verdictul auditorului. Utilizatorii sistemului informatic se ateapt ca raportul auditorului s ofere ncredere n utilizarea sistemului informatic.

Raportul de audit este un element fundamental al auditrii prin intermediul cruia se prezint situaia sistemului auditat aa cum a fost evaluat de auditori. Prin raportul de audit sunt communicate, prii auditate, aprecierile i concluziile auditorilor. Obiectivele raportului de audit sunt [AVRA01]:

- redarea ncrederii managerilor n sistemul informatic, imediat dup terminarea misiunii de audit;

- s ofere redomandri utile referitor la perfecionarea procedurilor de control i eficiena activitii operative;

- s asigure o nregistrare oficial a activitii de audit i a rspunsului managerilor.

n practic, nainte de a prezenta un raport formal, n scris, auditorul are obligaia de a prezenta un raport verbal celor care rspund de activitatea analizat. Cu excepia cazurilor de fraud, cnd este necesar uneori ca lucrurile s rmn secrete pn la prezentarea raportului oficial, n majoritatea cazurilor auditorul discut, n prealabil, cu managerul coninutul raportului de audit. n acest fel se reduce riscul ca rezultatele auditului s nu fie acceptate de ctre manager.

Raportul de auditare este un text structurat care conine: - prezentarea contextului; - rezultatul procesului de auditare; - evalurile finale; - nregistrrile din fiecare etap a procesului de auditare. Raportul de auditare conine detalii privind: - descrierea produsului; - stabilirea condiiilor de utilizare normal; - operaiile interzise a fi efectuate folosind produsul; - funciunile pe care le dezvolt n condiii normale, indicnd

intrrile, respectiv output-urile; - efectele secundare care apar atunci cnd intrrile sunt complete i

corecte; - riscurile care apar atunci cnd intrrile sunt incomplete i

incorecte; - modaliti de reluare a procedurilor de utilizare. Raportul de auditare arat c produsul este utilizabil sau produsul

devine utilizabil dac se execut o serie de mbuntiri. Raportul de auditare trebuie astfel ntocmit astfel nct s fie o

imagine fidel a programului de auditare, a resurselor, a input-urilor, a output-urilor i a metodelor utilizate.

Calitatea raportului este dat de modul n care se construiesc componentele. Textul structurat se alctuiete pas cu pas prin rspunsuri scurte i clare la ntrebrile: cine? ce? cum? de ce? Este obligatoriu ca raporul s includ seciuni care abordeaz gradat problematica de audit pentru un sistem informatic.

Prima seciune include elemente de identificare pentru: - sistemul informatic ce face obiectul auditrii; - baza n care se deruleaz procesul de auditare; - prezentarea echipei de auditori; - prezentarea elaboratorilor sistemului informatic; - prezentarea beneficiarului procesului de auditare. A doua seciune include elemente pentru: - definirea obiectivului urmrit; - stabilirea metodelor i tehnicilor stabilite i acceptate; - structurarea procesului de auditare.

A treia seciune definete planul de auditare i conine descrieri pentru:

- etapele care trebuie parcurse; - resursele alocate fiecrei etape: - fluxurile care se genereaz; - nivelul de exigen i moduri de meninere constant a nivelului; - comunicarea ntre membrii echipei de auditori, comunicarea

auditorilor cu realizatorii sistemului informatic, cumunicarea cu beneficiarii procesului de auditare.

A patra seciune conine detalierea tuturor surselor utilizate ca ntrebri pentru procesul de auditare:

- contracte; - specificaii; - proiectul sistemului informatic; - textele surs; - bazele de date; - rezultatele testrii efectuate de echipa care a elaborat sistemul informatic; - documentaii de proces; - instrumente utilizate de ctre echipa care a dezvoltat sistemul

informatic. Sunt descrise listele elementelor utilizate cu comentarii privind

calitatea textelor ntrebuinate de auditori. Raportul de audit trebuie s fie clar, concis, constructiv i ntocmit la

timp. Raportul de auditare reprezint o prob important n orice aciune

declanat de beneficiarul unui sistem informatic atunci cnd sunt nregistrate diferene semnificative ntre ceea ce trebuia s execute sistemul informatic i ceea ce execut n realitate. Raportul de auditare trebuie s fie clar, concis, s nu lase loc la interpretri.

Cnd se utilizeaz sintagma nseamn c pentru cele n noduri terminale ale unei structuri arborescente au fost construite n seturi de date test, atingndu-se cele n noduri terminale.

Pentru a nu lsa loc interpretrilor, din enunul raportului lipsesc sintagme precum , , , , ,

probabil s>>, i toate celelalte construcii care conduc la concluzii vagi.

Raportul de auditare: - enumer toate componentele; - analizeaz toate variantele; - include toate rezultatele; - enumer situaiile pe categorii de stri, fr a lsa unele situaii

neclarificate; - trateaz cu aceeai msur toate componentele; - pentru fiecare situaie creat se enumer componentele

identificate; - utilizeaz pentru componentele aceluiai nivel, aceleai

instrumente; - este o construcie consistent; - include ipoteze, constatri, msurtori care, prin

profesionalismul cu care se realizeaz, nu au fundamente pentru a fi contestate.

Transparena procesului de auditare, rigurozitatea cu care sunt aplicate cerinele standardelor i claritatea cu care se prezint rezultatul auditrii d o singur direcie destinaiei raportului i anume acceptarea concluziilor, indiferent care sunt acestea, de ctre cel care a solicitat auditul sistemului informatic. Raportul de auditare trebuie s fie convingtor pentru a nu face obiectul comentariilor. Trebuie s conin descrierea unor aspecte evidente care nu fac obiectul comentariilor sau negocierilor. Structura anunat trebuie respectat, iar textul trebuie s fie consistent. O afirmaie fcut trebuie cel mult susinut. Ea nu trebuie nici nuanat, cu att mai mult nu trebuie contrazis.

Este determinant pentru un raport de auditare s fie calitativ peste nivelul documentaiei, specificaiilor sau oricrui alt text care provine de la elaboratorii sistemului informatic.

n anexele 5-8 sunt prezentate modele i exemple de program i raport de audit, model de not de nonconformitate, model de list de verificare.

Capitolul 10. RAPORTUL DE AUDITARE