| Date post: | 17-Dec-2015 |
| Category: | Documents |
| View: | 22 times |
| Download: | 2 times |
ISA 620: Utilizarea activitii unui expert din partea
auditorului
Utilizarea unui expert IT n
auditul sistemelor informatice
Claudiu BRANDAS, conf. univ. dr.
Facultatea de Economie si de Administrare a Afacerilor
Universitatea de Vest din Timisoara
Cuprins
1. ISA 620 Utilizarea activitii unui expert din partea auditorului
2. Impactul utilizrii sistemelor informatice n cadrul proceselor financiar-contabile i de gestiune
3. Determinarea necesitii utilizrii serviciilor unuiauditor de sisteme informaionale
4. Metodologia de audit a sistemelor informaionale
5. Tehnici de audit asistate de calculator (CAATs)
6. Studii de caz
ISA 620 Utilizarea activitii unui expert din partea auditorului
confer auditorului financiar dreptul de a apela la serviciile unui specialist atunci cnd: expertiza ntr-un domeniu, altul dect contabilitatea sau auditul, este necesar n vederea obinerii de probe de audit suficiente i adecvate, auditorul trebuie s stabileasc dac va utiliza activitatea unui expert din partea auditorului.
ISA 620 prevede c este posibil s fie necesar un expert din partea auditorului n vederea
asistrii auditorului n urmtoarele situaii [Mirela G.] :
Obinerea unei nelegeri a entitii i a mediului su, inclusiv a controlului su intern.
n acest sens, standardul ISA 315 Identificarea i evaluarea riscurilor de denaturare semnificativ prin nelegerea entitii i a mediului su recomand auditorului s neleag sistemul informaional, riscurile care decurg din utilizarea tehnologiilor informaionale pentru a putea realiza o evaluare a sistemului de control intern al entitii.
Identificarea i evaluarea riscurilor de denaturare semnificativ.
Acelai standard ISA 315 prevede ntre condiiile i evenimentele care pot indica riscuri de denaturare semnificativ urmtoarele: inconsecvenele dintre strategia informatic a entitii i strategiile sale de afaceri, modificri ale mediului informatic, instalarea de noi sisteme informatice semnificative aferente raportrii financiare etc.
Stabilirea i implementarea rspunsurilor generale la riscurile evaluate la
nivelul situaiilor financiare.
Conceperea i efectuarea de proceduri de audit ulterioare pentru a
rspunde riscurilor evaluate la nivelul afirmaiei, cuprinznd teste ale
controalelor sau proceduri de fond.
Evaluarea caracterului suficient i a gradului de adecvare probelor de audit
obinute prin formarea unei opinii asupra situaiilor financiare.
Impactul utilizrii sistemelor informatice n cadrul proceselor financiar-contabile i de gestiune
Sisteme Informatice de Gestiune (S.I.G.)
-Politici i proceduri de lucru
-Proceduri de control
Sistemul informaional
al organizaiei
Mediu informaional
externSistemul informatic
al organizaiei
Date i informaii
Date i
informaii
Date i
informaii
Aplicaii (programe) informatice
economice Aplicaii informatice pentru:
financiar-contabilitate
gestiunea stocurilor
gestiunea mijloacelor fixe
personal-salarizare
producie
calculaia costurilor
distribuie i logistic
analiza economico-financiar .a.
Sisteme informatice economice integrate (ERP Enterprise Resource Planning)
Pachete de aplicaii informatice pentru birou: MS Office, Lotus Smart Suite, Star Office .a.
Tehnologii i sisteme informatice
E-Business (E-Commerce, E-Banking)
Cloud Computing (SaaS, PaaS, IaaS, BPaaS)
Mobile Computing
IoT (Internet of Things)
S.I. sunt expuse unor vulnerabiliti i riscuri, care afecteaz negativ obiectivele sistemului, respectiv obinerea situaiilor financiare.
Sisteme i tehnologii informatice - Riscuri de denaturare semnificativ a raportrilor financiare
Riscurile i controlul sistemelor
informatice
Riscul sistemului informaional. Reprezint
probabilitatea de apariie a unor erori sau
fraude datorit utilizrii inadecvate a sistemului
informaional. Riscul sistemului informaional
cuprinde:
Riscurile la nivelul aplicaiilor i operaiilor din sistemul informatic.
Riscul de continuare a activitii sistemului informatic.
Riscurile i controlul sistemelor informatice Riscurile la nivelul aplicaiilor i operaiilor din sistemul
informatic. Acestea pot fi:
securitatea sczut a aplicaiilor;
accesul neautorizat la datele sistemului;
introducerea unor date inadecvate sau false;
procesarea incomplet a datelor;
dublarea datelor tranzacionate;
procesarea cu ntrziere a datelor;
nefuncionarea corect a transmisiei datelor;
segregarea inadecvat sau inexistent a funciilor i responsabilitilor;
analiza i proiectarea defectuoas a aplicaiilor;
incompatibilitatea dintre aplicaiile informatice;
infectarea aplicaiilor cu virui electronici;
instruirea inadecvat a utilizatorilor;
suportul i mentenana inadecvat a aplicaiilor.
Riscul de continuare a activitii sistemului informatic.
Riscul disponibilitii sistemului - reprezint probabilitatea ca sistemul s devin indisponibil utilizatorilor datorit securitii sale (de exemplu atacul de tip DoS al hacker-ilor).
Riscul recuperrii sistemului reprezint probabilitatea ca datele i operaiile sistemului s nu mai poat fi recuperate n vederea continurii activitii ntreprinderii (de exemplu inexistena unor copii de siguran i a procedurilor de recuperare i continuare a activitii conduc la creterea nivelului acestui risc).
Controale IT
Standardul ISA 315 prevede c din perspectiva auditorului, controalelesistemelor informatice sunt eficiente i eficace atunci cnd pstreaz integritateainformaiilor i securitatea datelor pe care aceste sisteme le proceseaz, iinclud controale generale ale sistemelor informatice i controale ale aplicaiilor.
Controalele generale ale sistemelor informatice, n conformitate cuISA 315, sunt politici i proceduri aferente numeroaselor aplicaii i susinfunctionarea eficient a controalelor aplicaiilor. Controalele generale se vorevalua din dou perspective, pe de o parte din punct de vedere procedural(politica de securitate i procedurile aferente) i din punct de vedereoperaional (practic, cum opereaz procedura).
Controalele aplicaiilor sunt proceduri manuale sau automate carefuncioneaz, de obicei, la nivel de proces de afaceri al entitii i se aplicprocesrii tranzaciilor de ctre aplicaiile individuale (conform ISA 315).Altfel spus, sunt controale automate implementate la nivelul aplicaiilorinformatice din sistem, ct i controale manuale realizate de utilizatoriiacestora, care vor asigura autorizarea, completitudinea, integritatea,acurateea i disponibilitatea tranzaciilor, ct i ncrederea n activitatea deprocesare a informaiilor.
Controale IT
Determinarea necesitii utilizrii serviciilor unui auditor de sisteme informaionale
Calitatea informaiei contabile
conform OMFP 3055/2009, exist patru caracteristici calitative ale situaiilor financiare:
inteligibilitatea (s fie uor de neles),
relevana (sunt influenate deciziile economice luate de ctre utilizatori),
credibilitatea (s nu conin erori semnificative)
comparabilitatea (s se poat compara n timp poziia i performana entitii).
Procesarea tranzaciilor prin
sistemele informatice poate s
conduc la manifestarea unor riscuri
de denaturare semnificativ a
informaiei contabile
n etapa de planificare, auditorul financiar trebuies obin informaii suficiente i relevante care s-iconfere o nelegere adecvat a mediului de lucru aentitii auditate. [Mirela G.]
Implicit va realiza o analiz a riscurilor i amediului de control IT, respectiv a tuturorsistemelor care au impact semnificativ asupraobinerii situaiile financiare. Concluziile acesteietape, referitoare la arhitectura i complexitateasistemului informational, i vor permite auditoruluifinanciar s stabileasc dac este necesar sau nuutilizarea experilor IT n cadrul misiunii de auditfinanciar. [Mirela G.]
Factorii care vor determina aceast decizie (prelucrare dupa SAS 94 si Ghid de audit al sistemelor informatice) pot include [Mirela G.] : Abilitile i experiena IT a auditorului financiar Arhitectura reelei IT i complexitatea tehnic a
echipamentelor utilizate
Generarea automat a tranzaciilor, comunicaia cu alte aplicaii sau sisteme informatice
Natura tranzaciilor entitii auditate (tranzacii de comer electronic)
Sisteme informatice complexe de tip ERP, SAP, Oracle, etc. Modificri ale sistemelor informatice existente sau
implementarea unor noi sisteme
Antecedente de probleme IT (fraud informatic, erori ale utilizatorilor sistemului, incidente de securitate IT, greeli de programare, atacuri informatice, etc)
Sisteme IT n curs de dezvoltare
Chestionar
Metodologia de audit a sistemelor
informaionale
Auditul sistemelor informaionale reprezint activitatea de colectare i evaluare a unor probe pentru a determina dac sistemul informatic este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informaionale.
Standarde i ghiduri pentru auditul sistemelor informaionale
La nivel internaional, cele mai recunoscute refereniale asociate auditului sistemelor informatice sunt:
Standardele internaionale de audit a sistemelor informaionale (IS Audit and Assurance
Standards) publicate de ISACA (Information System Aud
Click here to load reader
