Upload
claudiu-brandas
View
29
Download
2
Embed Size (px)
DESCRIPTION
ISA 620: Utilizarea activității unui expert din partea auditoruluiUtilizarea unui expert IT în auditul sistemelor informatice
Citation preview
ISA 620: Utilizarea activitii unui expert din partea
auditorului
Utilizarea unui expert IT n
auditul sistemelor informatice
Claudiu BRANDAS, conf. univ. dr.
Facultatea de Economie si de Administrare a Afacerilor
Universitatea de Vest din Timisoara
Cuprins
1. ISA 620 Utilizarea activitii unui expert din partea auditorului
2. Impactul utilizrii sistemelor informatice n cadrul proceselor financiar-contabile i de gestiune
3. Determinarea necesitii utilizrii serviciilor unuiauditor de sisteme informaionale
4. Metodologia de audit a sistemelor informaionale
5. Tehnici de audit asistate de calculator (CAATs)
6. Studii de caz
ISA 620 Utilizarea activitii unui expert din partea auditorului
confer auditorului financiar dreptul de a apela la serviciile unui specialist atunci cnd: expertiza ntr-un domeniu, altul dect contabilitatea sau auditul, este necesar n vederea obinerii de probe de audit suficiente i adecvate, auditorul trebuie s stabileasc dac va utiliza activitatea unui expert din partea auditorului.
ISA 620 prevede c este posibil s fie necesar un expert din partea auditorului n vederea
asistrii auditorului n urmtoarele situaii [Mirela G.] :
Obinerea unei nelegeri a entitii i a mediului su, inclusiv a controlului su intern.
n acest sens, standardul ISA 315 Identificarea i evaluarea riscurilor de denaturare semnificativ prin nelegerea entitii i a mediului su recomand auditorului s neleag sistemul informaional, riscurile care decurg din utilizarea tehnologiilor informaionale pentru a putea realiza o evaluare a sistemului de control intern al entitii.
Identificarea i evaluarea riscurilor de denaturare semnificativ.
Acelai standard ISA 315 prevede ntre condiiile i evenimentele care pot indica riscuri de denaturare semnificativ urmtoarele: inconsecvenele dintre strategia informatic a entitii i strategiile sale de afaceri, modificri ale mediului informatic, instalarea de noi sisteme informatice semnificative aferente raportrii financiare etc.
Stabilirea i implementarea rspunsurilor generale la riscurile evaluate la
nivelul situaiilor financiare.
Conceperea i efectuarea de proceduri de audit ulterioare pentru a
rspunde riscurilor evaluate la nivelul afirmaiei, cuprinznd teste ale
controalelor sau proceduri de fond.
Evaluarea caracterului suficient i a gradului de adecvare probelor de audit
obinute prin formarea unei opinii asupra situaiilor financiare.
Impactul utilizrii sistemelor informatice n cadrul proceselor financiar-contabile i de gestiune
Sisteme Informatice de Gestiune (S.I.G.)
-Politici i proceduri de lucru
-Proceduri de control
Sistemul informaional
al organizaiei
Mediu informaional
externSistemul informatic
al organizaiei
Date i informaii
Date i
informaii
Date i
informaii
Aplicaii (programe) informatice
economice Aplicaii informatice pentru:
financiar-contabilitate
gestiunea stocurilor
gestiunea mijloacelor fixe
personal-salarizare
producie
calculaia costurilor
distribuie i logistic
analiza economico-financiar .a.
Sisteme informatice economice integrate (ERP Enterprise Resource Planning)
Pachete de aplicaii informatice pentru birou: MS Office, Lotus Smart Suite, Star Office .a.
Tehnologii i sisteme informatice
E-Business (E-Commerce, E-Banking)
Cloud Computing (SaaS, PaaS, IaaS, BPaaS)
Mobile Computing
IoT (Internet of Things)
S.I. sunt expuse unor vulnerabiliti i riscuri, care afecteaz negativ obiectivele sistemului, respectiv obinerea situaiilor financiare.
Sisteme i tehnologii informatice - Riscuri de denaturare semnificativ a raportrilor financiare
Riscurile i controlul sistemelor
informatice
Riscul sistemului informaional. Reprezint
probabilitatea de apariie a unor erori sau
fraude datorit utilizrii inadecvate a sistemului
informaional. Riscul sistemului informaional
cuprinde:
Riscurile la nivelul aplicaiilor i operaiilor din sistemul informatic.
Riscul de continuare a activitii sistemului informatic.
Riscurile i controlul sistemelor informatice Riscurile la nivelul aplicaiilor i operaiilor din sistemul
informatic. Acestea pot fi:
securitatea sczut a aplicaiilor;
accesul neautorizat la datele sistemului;
introducerea unor date inadecvate sau false;
procesarea incomplet a datelor;
dublarea datelor tranzacionate;
procesarea cu ntrziere a datelor;
nefuncionarea corect a transmisiei datelor;
segregarea inadecvat sau inexistent a funciilor i responsabilitilor;
analiza i proiectarea defectuoas a aplicaiilor;
incompatibilitatea dintre aplicaiile informatice;
infectarea aplicaiilor cu virui electronici;
instruirea inadecvat a utilizatorilor;
suportul i mentenana inadecvat a aplicaiilor.
Riscul de continuare a activitii sistemului informatic.
Riscul disponibilitii sistemului - reprezint probabilitatea ca sistemul s devin indisponibil utilizatorilor datorit securitii sale (de exemplu atacul de tip DoS al hacker-ilor).
Riscul recuperrii sistemului reprezint probabilitatea ca datele i operaiile sistemului s nu mai poat fi recuperate n vederea continurii activitii ntreprinderii (de exemplu inexistena unor copii de siguran i a procedurilor de recuperare i continuare a activitii conduc la creterea nivelului acestui risc).
Controale IT
Standardul ISA 315 prevede c din perspectiva auditorului, controalelesistemelor informatice sunt eficiente i eficace atunci cnd pstreaz integritateainformaiilor i securitatea datelor pe care aceste sisteme le proceseaz, iinclud controale generale ale sistemelor informatice i controale ale aplicaiilor.
Controalele generale ale sistemelor informatice, n conformitate cuISA 315, sunt politici i proceduri aferente numeroaselor aplicaii i susinfunctionarea eficient a controalelor aplicaiilor. Controalele generale se vorevalua din dou perspective, pe de o parte din punct de vedere procedural(politica de securitate i procedurile aferente) i din punct de vedereoperaional (practic, cum opereaz procedura).
Controalele aplicaiilor sunt proceduri manuale sau automate carefuncioneaz, de obicei, la nivel de proces de afaceri al entitii i se aplicprocesrii tranzaciilor de ctre aplicaiile individuale (conform ISA 315).Altfel spus, sunt controale automate implementate la nivelul aplicaiilorinformatice din sistem, ct i controale manuale realizate de utilizatoriiacestora, care vor asigura autorizarea, completitudinea, integritatea,acurateea i disponibilitatea tranzaciilor, ct i ncrederea n activitatea deprocesare a informaiilor.
Controale IT
Determinarea necesitii utilizrii serviciilor unui auditor de sisteme informaionale
Calitatea informaiei contabile
conform OMFP 3055/2009, exist patru caracteristici calitative ale situaiilor financiare:
inteligibilitatea (s fie uor de neles),
relevana (sunt influenate deciziile economice luate de ctre utilizatori),
credibilitatea (s nu conin erori semnificative)
comparabilitatea (s se poat compara n timp poziia i performana entitii).
Procesarea tranzaciilor prin
sistemele informatice poate s
conduc la manifestarea unor riscuri
de denaturare semnificativ a
informaiei contabile
n etapa de planificare, auditorul financiar trebuies obin informaii suficiente i relevante care s-iconfere o nelegere adecvat a mediului de lucru aentitii auditate. [Mirela G.]
Implicit va realiza o analiz a riscurilor i amediului de control IT, respectiv a tuturorsistemelor care au impact semnificativ asupraobinerii situaiile financiare. Concluziile acesteietape, referitoare la arhitectura i complexitateasistemului informational, i vor permite auditoruluifinanciar s stabileasc dac este necesar sau nuutilizarea experilor IT n cadrul misiunii de auditfinanciar. [Mirela G.]
Factorii care vor determina aceast decizie (prelucrare dupa SAS 94 si Ghid de audit al sistemelor informatice) pot include [Mirela G.] : Abilitile i experiena IT a auditorului financiar Arhitectura reelei IT i complexitatea tehnic a
echipamentelor utilizate
Generarea automat a tranzaciilor, comunicaia cu alte aplicaii sau sisteme informatice
Natura tranzaciilor entitii auditate (tranzacii de comer electronic)
Sisteme informatice complexe de tip ERP, SAP, Oracle, etc. Modificri ale sistemelor informatice existente sau
implementarea unor noi sisteme
Antecedente de probleme IT (fraud informatic, erori ale utilizatorilor sistemului, incidente de securitate IT, greeli de programare, atacuri informatice, etc)
Sisteme IT n curs de dezvoltare
Chestionar
Metodologia de audit a sistemelor
informaionale
Auditul sistemelor informaionale reprezint activitatea de colectare i evaluare a unor probe pentru a determina dac sistemul informatic este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informaionale.
Standarde i ghiduri pentru auditul sistemelor informaionale
La nivel internaional, cele mai recunoscute refereniale asociate auditului sistemelor informatice sunt:
Standardele internaionale de audit a sistemelor informaionale (IS Audit and Assurance
Standards) publicate de ISACA (Information System Audit and Control Association),
COBIT (Control Objectives for Information and related Technology) publicat de ITGI (IT
Governance Institute)
Standardele de audit publicate de INTOSAI (International Organization of Supreme Audit
Institutions) pentru instituiile publice alturi de care se regsesc i o serie de ghiduri pentru
implementarea acestora, ntre care amintim i ghidul de audit IT(IT Audit Guidelines).
Internal Control Integrated Framework publicat de COSO (Committee of Sponsoring
Organizations of the Treadway Commision) reprezint un cadru de evaluare a controlului intern.
Standardul ISO 27002 conine un cadru de lucru pentru managementul securitii
informaiei.
Risk Management Guide for Information Technology Systems publicat de NIST
(Nationale Institute of Standards and Technology U.S) este un ghid pentru evaluarea riscurilor IT.
Standardele Internaionale de Audit ISA (International Standards on Auditing)
si IAPS (International Auditing Practice Statements) publicate de Asociaia
Internaional a Contabililor Profesioniti (IFAC - International Federation of Certified
Accountants) .
SAS nr. 94 The Effect of Information Technology on the Auditors Consideration of
Internal Control in a Financial Statement Audit publicat Institutul american AICPA
(American Institute of Certified Public Accountants).
Pe plan naional, reglementrile legislative privind protecia i securitatea informaiilor sunt:
Legea nr. 365/2002 privind comertul electronic,
Legea nr. 455/2001 privind semnatura electronic,
Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal i protecia vieii private n sectorul comunicaiilor electronice,
Legea nr. 102/2005 privind nfiinarea, organizarea i funcionarea Autoritii Naionale de Supraveghere a prelucrrii datelor cu caracter personal,
Legea nr. 64/2004 pentru ratificarea Conveniei Consiliului Europei privind criminalitatea informatic,
Manualul de audit al sistemelor informatice i Ghidul de audit al sistemelor informatice publicate de Curtea de Conturi a Romaniei pentru domeniul asociat la nivelul institutiilor publice.
Metodologia de audit a sistemelor informaionale
Avnd n vedere recomandrile standardelelor IFAC ISA i ghidul ISACA pentru auditul sistemului informaional, etapele generale ale unei unei misiuni de audit IT pot fi:
Planificarea misiunii de audit. Evaluarea riscurilor i controlului intern. Elaborarea programului de audit. Proceduri de audit i culegerea probelor.
Evaluarea i testarea controalelor generale Evaluarea i testarea controalelor aplicaiilor informatice
Formularea concluziilor i elaborarea raportului. Urmrirea (monitorizarea) implementrii
recomandrilor din raportul de audit.
Culegerea probelor Probele pe care auditorul IT le culege ntr-o misiune sunt diverse. n general
acestea pot fi: documente privind politicile i procedurile de securitate din sistemul informaional al
clientului;
documente privind procedurile de lucru din sistemul informatic; documente sau observaii privind infrastructura fizic (hardware) i logic (software) a
sistemului auditat.
interviurile i chestionarele aplicate; flowchart-uri de sistem i/sau de aplicaii; observaii personale n cadrul foilor de lucru; fiiere cu datele extrase din aria de auditat; fiiere cu tranzaciile de date necesare auditului; fiiere jurnal pentru intrri, prelucrri, tranzacii de date i tratare a erorilor; situaii listate din aplicaiile sistemului; fiierele cu datele de test; fiiere cu erori; capturi de ecrane coninutul i rezultatul testelor controlului din sistem; liste cu surse ale programelor utilizate n procesele auditate; coninutul i rezultatul testelor securitii sistemului.
Raportul de audit a sistemelor
informaionale
n structura raportului de audit se vor regsi elementele de baz:
Paragraf introductiv care va include: scopul misiunii de audit, obiectivele, perioada auditat, natura i ntinderea procedurilor de audit.
Cuprinsul va detalia:
slbiciunile controalelor analizate, riscurile asociate i
recomandrile necesare pentru diminuarea riscurilor
orice rezerv pe care auditorul o are asupra sistemului auditat
opinia i concluziile misiunii
referenialul de raportare reprezentat de standardele, normele i ghidurile asociate domeniului auditat.
Paragraf final n care se nscriu data raportului, adresa i semntura auditorului.
Tehnici de audit asistate de calculator
(CAATs) Instrumente pentru creterea productivitii muncii de audit.
Planificarea i urmrirea automat a misiunii de audit: aplicaiile pentru managementul proiectelor (MS Project, Primavera Project Planner etc.); aplicaiile pentru calcul tabelar (MS Excel, OpenOffice);
Editarea i managementul automat al foilor de lucru (electronic workingpapers): Microsoft Office, IDEA (produs de ctre CaseWare), TeamMate (produs de PriceWaterhouseCoopers), BCOMM Audit Manager .a.;
Comunicarea i transferul automat al datelor: aplicaii pentru e-mail (Microsoft Outlook), instrumente groupware (Lotus Notes Domino Server); forumuri intranet .a.
Aplicaii generale de audit (GAS - Generalized Audit Software).
Aplicaii informatice (utilitare) pentru testarea i verificarea sistemului.
Auditul sistemelor informatice financiar-
contabile
Auditul aplicaiilor informatice pentru
gestiunea mijloacelor fixe
Auditul aplicaiilor pentru evidena
salariilor
Studii de caz
Program general pentru auditarea aplicaiilor informatice de evidena a mijloacelor fixe
Scopul auditului Auditarea aplicaiilor de eviden a mijloacelor fixe
Obiectivele auditului Asigurarea acurateii i integritii aplicaiilor de eviden a mijloacelor
fixe
Evaluarea controalelor din cadrul aplicaiilor de eviden a mijloacelor fixe
Planificarea ntlnirea cu managementul ntreprinderii pentru clarificarea ntinderii
misiunii de audit.
Revizuirea unor misiuni anterioare privind evidena mijloacelor fixe pentru a determina unele probleme.
Realizarea unei evaluri preliminare a riscurilor pentru identificarea i cuantificarea ameninrilor i vulnerabilitilor din sistemul de eviden a mijloacelor fixe.
Scrierea detaliat a programului de audit, respectiv a foilor de lucru. Formarea echipei de audit n funcie de complexitatea aplicaiilor i a
sistemului.
Stabilirea bugetului misiunii.
Desfurarea
Revizuirea legislaiei la zi referitor la evidena mijloacelor fixe.
Identificarea personalului i aplicaiilor implicate n evidena mijloacelor fixe.
Analiza tuturor documentelor i rapoartelor privind evidena mijloacelor fixe pentru a nelege circuitul i fluxul informaional din aceast activitate.
Intervievarea personalului implicat.
Documentarea i completarea foilor de lucru cu procedurile i descrierea circuitelor din cadrul aplicaiilor pentru evidena mijloacelor fixe.
Pregtirea datelor de test pentru testarea intrrilor i prelucrrilor aplicaiilor.
Introducerea datelor de test i verificarea controalelor de intrare i prelucrare.
Evaluarea modului de prelucrare i concordana cu legislaia i regulamentele interne.
Identificarea i analiza erorilor.
Evaluarea i testarea controalelor aplicaiilor. Controale de acces, de raportare, de stocare i de modificare a aplicaiilor.
Testarea integritii datelor din baza de date i din cadrul listelor sau rapoartelor.
Evaluarea sistemului de operare sub care lucraez aplicaia.
Documentarea tuturor testelor i evalurilor n cadrul foilor de lucru.
Raportarea
Formularea concluziilor privind controalele i integritatea sistemului de eviden a mijloacelor fixe.
Prezentarea i discutarea rezultatelor obinute cu managementul clientului.
Stabilirea recomandrilor.
Pregtirea i scrierea raportului de audit.
Stabilirea condiiilor i termenilor pentru urmrirea implementrii recomandrilor.
MULUMESC PENTRU ATENIE!