Home >Documents >Isa 620 Cafr 2014 Brandas Final

Isa 620 Cafr 2014 Brandas Final

Date post:17-Dec-2015
Category:
View:22 times
Download:2 times
Share this document with a friend
Description:
ISA 620: Utilizarea activității unui expert din partea auditoruluiUtilizarea unui expert IT în auditul sistemelor informatice
Transcript:
  • ISA 620: Utilizarea activitii unui expert din partea

    auditorului

    Utilizarea unui expert IT n

    auditul sistemelor informatice

    Claudiu BRANDAS, conf. univ. dr.

    Facultatea de Economie si de Administrare a Afacerilor

    Universitatea de Vest din Timisoara

    [email protected]

  • Cuprins

    1. ISA 620 Utilizarea activitii unui expert din partea auditorului

    2. Impactul utilizrii sistemelor informatice n cadrul proceselor financiar-contabile i de gestiune

    3. Determinarea necesitii utilizrii serviciilor unuiauditor de sisteme informaionale

    4. Metodologia de audit a sistemelor informaionale

    5. Tehnici de audit asistate de calculator (CAATs)

    6. Studii de caz

  • ISA 620 Utilizarea activitii unui expert din partea auditorului

    confer auditorului financiar dreptul de a apela la serviciile unui specialist atunci cnd: expertiza ntr-un domeniu, altul dect contabilitatea sau auditul, este necesar n vederea obinerii de probe de audit suficiente i adecvate, auditorul trebuie s stabileasc dac va utiliza activitatea unui expert din partea auditorului.

  • ISA 620 prevede c este posibil s fie necesar un expert din partea auditorului n vederea

    asistrii auditorului n urmtoarele situaii [Mirela G.] :

    Obinerea unei nelegeri a entitii i a mediului su, inclusiv a controlului su intern.

    n acest sens, standardul ISA 315 Identificarea i evaluarea riscurilor de denaturare semnificativ prin nelegerea entitii i a mediului su recomand auditorului s neleag sistemul informaional, riscurile care decurg din utilizarea tehnologiilor informaionale pentru a putea realiza o evaluare a sistemului de control intern al entitii.

    Identificarea i evaluarea riscurilor de denaturare semnificativ.

    Acelai standard ISA 315 prevede ntre condiiile i evenimentele care pot indica riscuri de denaturare semnificativ urmtoarele: inconsecvenele dintre strategia informatic a entitii i strategiile sale de afaceri, modificri ale mediului informatic, instalarea de noi sisteme informatice semnificative aferente raportrii financiare etc.

    Stabilirea i implementarea rspunsurilor generale la riscurile evaluate la

    nivelul situaiilor financiare.

    Conceperea i efectuarea de proceduri de audit ulterioare pentru a

    rspunde riscurilor evaluate la nivelul afirmaiei, cuprinznd teste ale

    controalelor sau proceduri de fond.

    Evaluarea caracterului suficient i a gradului de adecvare probelor de audit

    obinute prin formarea unei opinii asupra situaiilor financiare.

  • Impactul utilizrii sistemelor informatice n cadrul proceselor financiar-contabile i de gestiune

  • Sisteme Informatice de Gestiune (S.I.G.)

    -Politici i proceduri de lucru

    -Proceduri de control

    Sistemul informaional

    al organizaiei

    Mediu informaional

    externSistemul informatic

    al organizaiei

    Date i informaii

    Date i

    informaii

    Date i

    informaii

  • Aplicaii (programe) informatice

    economice Aplicaii informatice pentru:

    financiar-contabilitate

    gestiunea stocurilor

    gestiunea mijloacelor fixe

    personal-salarizare

    producie

    calculaia costurilor

    distribuie i logistic

    analiza economico-financiar .a.

    Sisteme informatice economice integrate (ERP Enterprise Resource Planning)

    Pachete de aplicaii informatice pentru birou: MS Office, Lotus Smart Suite, Star Office .a.

  • Tehnologii i sisteme informatice

    E-Business (E-Commerce, E-Banking)

    Cloud Computing (SaaS, PaaS, IaaS, BPaaS)

    Mobile Computing

    IoT (Internet of Things)

  • S.I. sunt expuse unor vulnerabiliti i riscuri, care afecteaz negativ obiectivele sistemului, respectiv obinerea situaiilor financiare.

    Sisteme i tehnologii informatice - Riscuri de denaturare semnificativ a raportrilor financiare

  • Riscurile i controlul sistemelor

    informatice

    Riscul sistemului informaional. Reprezint

    probabilitatea de apariie a unor erori sau

    fraude datorit utilizrii inadecvate a sistemului

    informaional. Riscul sistemului informaional

    cuprinde:

    Riscurile la nivelul aplicaiilor i operaiilor din sistemul informatic.

    Riscul de continuare a activitii sistemului informatic.

  • Riscurile i controlul sistemelor informatice Riscurile la nivelul aplicaiilor i operaiilor din sistemul

    informatic. Acestea pot fi:

    securitatea sczut a aplicaiilor;

    accesul neautorizat la datele sistemului;

    introducerea unor date inadecvate sau false;

    procesarea incomplet a datelor;

    dublarea datelor tranzacionate;

    procesarea cu ntrziere a datelor;

    nefuncionarea corect a transmisiei datelor;

    segregarea inadecvat sau inexistent a funciilor i responsabilitilor;

    analiza i proiectarea defectuoas a aplicaiilor;

    incompatibilitatea dintre aplicaiile informatice;

    infectarea aplicaiilor cu virui electronici;

    instruirea inadecvat a utilizatorilor;

    suportul i mentenana inadecvat a aplicaiilor.

  • Riscul de continuare a activitii sistemului informatic.

    Riscul disponibilitii sistemului - reprezint probabilitatea ca sistemul s devin indisponibil utilizatorilor datorit securitii sale (de exemplu atacul de tip DoS al hacker-ilor).

    Riscul recuperrii sistemului reprezint probabilitatea ca datele i operaiile sistemului s nu mai poat fi recuperate n vederea continurii activitii ntreprinderii (de exemplu inexistena unor copii de siguran i a procedurilor de recuperare i continuare a activitii conduc la creterea nivelului acestui risc).

  • Controale IT

    Standardul ISA 315 prevede c din perspectiva auditorului, controalelesistemelor informatice sunt eficiente i eficace atunci cnd pstreaz integritateainformaiilor i securitatea datelor pe care aceste sisteme le proceseaz, iinclud controale generale ale sistemelor informatice i controale ale aplicaiilor.

    Controalele generale ale sistemelor informatice, n conformitate cuISA 315, sunt politici i proceduri aferente numeroaselor aplicaii i susinfunctionarea eficient a controalelor aplicaiilor. Controalele generale se vorevalua din dou perspective, pe de o parte din punct de vedere procedural(politica de securitate i procedurile aferente) i din punct de vedereoperaional (practic, cum opereaz procedura).

    Controalele aplicaiilor sunt proceduri manuale sau automate carefuncioneaz, de obicei, la nivel de proces de afaceri al entitii i se aplicprocesrii tranzaciilor de ctre aplicaiile individuale (conform ISA 315).Altfel spus, sunt controale automate implementate la nivelul aplicaiilorinformatice din sistem, ct i controale manuale realizate de utilizatoriiacestora, care vor asigura autorizarea, completitudinea, integritatea,acurateea i disponibilitatea tranzaciilor, ct i ncrederea n activitatea deprocesare a informaiilor.

  • Controale IT

  • Determinarea necesitii utilizrii serviciilor unui auditor de sisteme informaionale

    Calitatea informaiei contabile

    conform OMFP 3055/2009, exist patru caracteristici calitative ale situaiilor financiare:

    inteligibilitatea (s fie uor de neles),

    relevana (sunt influenate deciziile economice luate de ctre utilizatori),

    credibilitatea (s nu conin erori semnificative)

    comparabilitatea (s se poat compara n timp poziia i performana entitii).

  • Procesarea tranzaciilor prin

    sistemele informatice poate s

    conduc la manifestarea unor riscuri

    de denaturare semnificativ a

    informaiei contabile

  • n etapa de planificare, auditorul financiar trebuies obin informaii suficiente i relevante care s-iconfere o nelegere adecvat a mediului de lucru aentitii auditate. [Mirela G.]

    Implicit va realiza o analiz a riscurilor i amediului de control IT, respectiv a tuturorsistemelor care au impact semnificativ asupraobinerii situaiile financiare. Concluziile acesteietape, referitoare la arhitectura i complexitateasistemului informational, i vor permite auditoruluifinanciar s stabileasc dac este necesar sau nuutilizarea experilor IT n cadrul misiunii de auditfinanciar. [Mirela G.]

  • Factorii care vor determina aceast decizie (prelucrare dupa SAS 94 si Ghid de audit al sistemelor informatice) pot include [Mirela G.] : Abilitile i experiena IT a auditorului financiar Arhitectura reelei IT i complexitatea tehnic a

    echipamentelor utilizate

    Generarea automat a tranzaciilor, comunicaia cu alte aplicaii sau sisteme informatice

    Natura tranzaciilor entitii auditate (tranzacii de comer electronic)

    Sisteme informatice complexe de tip ERP, SAP, Oracle, etc. Modificri ale sistemelor informatice existente sau

    implementarea unor noi sisteme

    Antecedente de probleme IT (fraud informatic, erori ale utilizatorilor sistemului, incidente de securitate IT, greeli de programare, atacuri informatice, etc)

    Sisteme IT n curs de dezvoltare

  • Chestionar

  • Metodologia de audit a sistemelor

    informaionale

    Auditul sistemelor informaionale reprezint activitatea de colectare i evaluare a unor probe pentru a determina dac sistemul informatic este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informaionale.

  • Standarde i ghiduri pentru auditul sistemelor informaionale

    La nivel internaional, cele mai recunoscute refereniale asociate auditului sistemelor informatice sunt:

    Standardele internaionale de audit a sistemelor informaionale (IS Audit and Assurance

    Standards) publicate de ISACA (Information System Aud

Click here to load reader

Reader Image
Embed Size (px)
Recommended