Disertatie audit

CONCEPTUL DE AUDIT FINANCIAR SI COMPLETITUDINE

INTRE CATEGORIILE DE AUDIT

CUPRINS

CAPITOLUL 1

1. Conceptul general si categoriile de audit

1.1. Conceptul de audit

1.2. Dimensiunile auditului

1.3. Categoriile de audit

1.3.1. Auditul conformitatii sau legalitatii

1.3.2. Auditul de atestare financiara - audit finaniar

1.3.3. Auditul performantelor sau al rezultaletelor

1.3.4. Auditul operational

1.3.5. Auditul de gestiune

1.3.6. Cadrul legislativ si standardele nationale si intenationale privind auditul

CAPITOLUL 2

2. Teorie si dimensiuni practice ale strategiei generale referitoare la o misiune de audit

2.1. Cadrul general al misiunii de audit

2.1.1. Acceptarea misiunii

2.1.2. Planificarea

2.1.3.Studiu de caz al unei entitati

CAPITOLUL 3

3. Sistemul informatizat

3.1. Analiza mediului de control intr-un sistem informatizat

3.2. Analiza riscului intr-un mediu informatizat

3.3. Metode cantitative si calitative de evaluare a riscului IT

3.4. Controlul general

CAPITOLUL 4

4. Concluzii

CAPITOLUL 5

5. Bibliografie

CAPITOLUL 1

1. Conceptul general si categoriile de audit

1.1. Conceptul de audit

In sens etimologic, cuvantul 'audit' isi are originea in latinescul 'audire', care insemna 'a asculta, a audia'. Acest termen si-a extins, in timp, aria semantica preluand sensuri precum 'a examina, a verifica, a revizui conturi'.

Se observa ca, in timp, obiectivul primordial al auditului a evoluat de la detectarea fraudelor si erorilor la certificarea situatiilor financiare, la verificarea conformitatii acestora anumite criterii prestabilite. Schimbarea obiectivului auditului a necesitat evolutia

tehnicilor de audit. In conditiile globalizarii economiilor si internationalizarii pietelor financiare, metodele traditionale de verificare, care implicau un control exhaustiv al tranzactiilor s-au dovedit mult prea costisitoare si de durata. Din acest motiv, ele au fost inlocuite cu tehnici de esantionare si sondaj statistic, tehnici asistate de calculator, auditorul punand, in acelasi timp, un accent deosebit pe eficienta si eficacitatea controlului intern.

In plus, pentru a veni in intampinarea complexitatii informatiilor solicitate de utilizatori, auditorul nu trebuie sa asigure numai o ameliorare a credibilitatii situatiilor financiare ci si servicii care sa aduca un plus de valoare, precum raportarea iregularitatilor, identificarea riscurilor afacerii si oferirea unei consultante in ceea ce priveste punctele nevralgice ale controlului intern. In auditul modern, evaluarea situatiilor financiare este, adesea, completata cu constatari rezultate din auditul fluxurilor financiare, ceea ce asigura un supliment de informatii financiare fiabile.

Prin audit se intelege:

1. Examinarea/cercetarea, profesionala si obiectiva, de catre o persoana competenta si independenta a: - unei informatii, -activitati sau operatiune; - probitatii si credibilitatii tranzactiilor economice; fidelitatii reprezentarilor financiare si contabile, cu scopul de a: - aprecia fiabilitatea si eficienta sistemelor si

procedurilor unei entitati economice; - produce o judecata motivata si independenta, cu referinta la normele de evaluare; - obtine o concluzie si de a exprima o opinie responsabila si independenta, prin raportarea la un criteriu sau standard.

2. Procesul desfasurat de auditori-persoane fizice sau juridice legal autorizate prin care se analizeaza si evalueaza, profesionist, informatii privind o entitate, prin tehnici si procedee specifice, in vederea obtinerii de dovezi, numite probe de audit.

Pe baza probelor de audit, auditorii emit in raportul de audit o opinie responsabila si independenta prin apelarea la criterii de evaluare care rezulta din reglementarile legale sau din buna practica recunoscuta unanim in domeniul in care isi desfasoara activitatea unitatea auditata.

3. Procesul de audit numit si misiune de audit se deruleaza pe baza de standarde nationale sau internationale.

Standard national de audit : un set de standarde privind activitatea de audit definite sau a serviciilor conexe prin lege sau alte reglementari, sau de catre o autoritate competenta la nivel national, a caror aplicare si satisfacere este obligatorie pentru efectuarea unui audit.

4. Obiect al auditului pot fi:

- entitatile economice;

- programe; activitati,

- tranzactii, operatiuni

5. Evaluarea si interpretarea rezultatelor obtinute se efectueaza in conditiile existente prin luarea in considerare a criteriilor de evaluare care au la baza referinte contabile identificate, norme contabile nationale sau internationale sau recunoscute unanim in domeniu principiile sanatoase de management, respectiv buna practica manageriala recunoscuta de specialisti in domeniu.

1.2 Dimensiunile auditului

Intr-un cadru restrans, auditul poate fi clasificat, in conformitate cu obiectivul functiei pe care o realizeaza, in:

Audit de conformitate

Audit al performantei

Auditul de atestare a situatiilor financiare (audit financiar)

O sinteza grafica a acestei clasificari se regaseste in figura 1.1:

Figura nr.1.1 Clasificarea auditului in functie de obicetivul urmarit

Din punct de vedere al modului de afiliere al auditorilor in realizarea misiunii, auditul poate fi:

Audit extern

Audit intern

Audit guvernamental

Figura nr.1.2. Clasificarea auditului in functie de afilierea auditorilor[1]

1. Domeniul de aplicare a auditului extern inglobeaza tot ceea ce participa la elaborarea situatiilor financiare, dar nu presupune investigatii si observatii doar asupra domeniului contabil. Domeniul Auditului Intern este mult mai vast, el incluzand toate functiile unei intreprinderi.

2. Auditul Extern se preocupa de orice frauda, daca aceasta are o influenta asupra rezultatelor financiare.

3. Independenta celor doua activitati este recunoscuta, dar ea nu este de acelasi tip; astfel independenta Auditului Extern este una juridica si statutara, in timp ce a Auditului Intern are restrictii.

4. Periodicitatea auditului. Auditul Extern isi efectueaza misiunile intermitent si la anumite momente adecvate certificarii conturilor: sfarsit de an, sfarsit de semestru, sfarsit de trimestru. Auditul Intern se desfasoara in mod permanent.

5. Tehnicile si procedurile de audit adoptate sunt, adesea, diferite.

1.3. Categorii de audit

In raport cu obiectivul si aria de aplicabilitate, auditul poate fi: de conformitate sau legalitate, de atestare financiara, al performantelor sau rezultatelor, operational, de gestiune etc.

1.3.1. Auditul conformitatii sau legalitatii

- Inseamna examinarea evidentelor financiare ale entitatii economice pentru a determina daca se respecta anumite proceduri, reguli sau norme definite de o entitate superioara

- Cuprinde atestarea responsabilitatii financiare a entitatilor economice

- Presupune examinarea si evaluarea inregistrarilor financiare si exprimarea opiniilor asupra situatiilor financiare

- Consta in auditul: sistemelor si tranzactiilor financiare, respectiv evaluarea conformitatii cu statutele si reglementarile in vigoare; controlului intern si al functiilor acestuia; controlului intern si al functiilor acestuia; onestitatii si al caracterului adecvat in legatura cu deciziile administrative luate in cadrul entitatii economice auditate.

- Are ca scop de a determina daca entitatea examinata respecta anumite proceduri, reguli sau reglementari definite de o autoritate supraordonata

- Auditul conformitatii are si scopul de a determina daca: personalul contabil respecta procedurile contabile; se respecta clauzele juridice prevazute in acordurile contractuale cu bancile si cu alti creditori

- Rezultatele auditului conformitatii se raporteaza cu prioritate managementului entitatii auditate, dar si utilizatorilor externi

- Spre deosebire de utilizatorii externi, managerii entitatii auditate sunt prioritar interesati de gradul de conformitate cu anumite proceduri si norme prestabilite

- Pentru acest considerent, auditul conformitatii se efectueaza atat de auditori interni angajati ai entitatii economice cat si de auditori externi independenti

De exemplu: Pentru auditorul conformitatii privind determinarea respectarii conditiilor impuse de banca in vederea continuarii contractului de imprumut se au in vedere urmatoarele:

- criterii predefinite: clauzele contractului de imprumut;

- informatii: evidentele contabile ale entitatii economice;

- probe disponibile: situatiile financiare si calcule efectuate de auditor.

Auditul conformitatii se concepe astfel incat sa ofere o asigurare rezonabila privind detectarea prezentarilor semnificativ eronate care rezulta din nerespectarea prevederilor contractuale sau acordurilor de subventionare cu impact semnificativ si direct asupra situatiilor financiare.

Auditorul efectueaza proceduri suplimentare daca ii sunt puse la dispozitie informatii care ar putea indica o posibila nerespectare a unor asemenea prevederi, cu impact indirect dar semnificativ asupra situatiilor financiare.

1.3.2. Auditul de atestare financiara – audit financiar

Auditul conformitatii se deruleaza concomitent cu auditul de atestare financiara sub denumirea generica de AUDIT FINANCIAR.

Auditul de atestare financiara consta in exprimarea opiniei asupra rapoartelor financiare si in furnizarea de credibilitate asupra situatiilor financiare. Se atesta sau nu se atesta, daca declaratiile financiare prezinta corect situatia financiara si tranzactiile entitatii economice.

Auditul financiar este:

- O examinare independenta (o expresie de opinie) a situatiilor financiare efectuata de un auditor, in conformitate cu orice obligatie statutara relevanta

- Un aport de credibilitate asupra informatiilor contabile publicate de entitatea economica pentru persoane exterioare agentului economic, avizul sau opinia unui profesionist contabil independent (auditor financiar) asupra documentelor financiare ale entitatii economice constituie cea mai buna indicatie privind gradul de incredere pe care poate sa-l acorde acestor documente. Avizul presupune o evaluare completa a documentelor financiar-contabile si a actelor justificative si are scopul de a arata daca documentele respective prezinta corect sau nu situatia financiara a entitatii economice si rezultatul operatiunilor privind perioada specificata. Fara aceasta atestare a unui auditor independent, documentele financiar-contabile pot fi puse la indoiala sub aspect real si juridic.

- O revedere critica pentru evaluarea unei situatii financiar-contabile determinate

- O examinare efectuata de un profesionist competent si independent, in vederea exprimarii unei opinii motivate asupra: validitatii si corectei aplicari da prevederilor interne stabilite de managementul entitatii economice; imaginii fidele, clare si complete a activelor, datoriilor, pozitiei financiare, profitului sau pierderii entitatii economice

In exprimarea opiniei de audit cu privire la imaginea fidela se are in vedere ca pozitia financiara: reprezinta relatia dintre activele, datoriile si capitalurile proprii ale unei entitati, asa cum sunt raportate in bilant, este influentata de: informatiile despre resursele economice controlate de entitate si capacitatea sa din trecut de a modifica aceste resurse sunt utile pentru a anticipa capacitatea entitatii de a genera numerar sau echivalente ale numerarului in viitor, informatiile despre structura financiara sunt utile pentru anticiparea; nevoilor viitoare de creditare; modului in care profiturile si fluxurile de trezorerie vor fi repartizate intre cei care au un interes fata de entitate, sanselor entitatii de da primi finantare in viitor. Informatiile despre lichiditate si solvabilitate sunt utile pentru a anticipa capacitatea entitatii de a-si onora

angajamentele financiare scadente; capacitatea entitatii de a se adapta schimbarilor mediului in care isi desfasoara activitatea.

In esenta, auditul financiar reprezinta activitatea de examinare in vederea exprimarii de catre auditorii financiari, a unei opinii asupra situatiilor financiare, in conformitate cu standardele de audit, armonizate cu standardele internationale de audit financiar ale Federatiei Internationale a Contabililor (IFAC).

Auditul financiar are ca obiective:

- reflectarea imaginii fidele a activelor, datoriilor, pozitiei financiare, profitului sau pierderii in situatiile financiare anuale

- exprimarea unei opinii masura in care situatiile financiare prezinta o imagine fidela a afacerilor entitatii economice si a rezultatelor pentru exercitiul incheiat, cu respectarea legilor in vigoare si a practicilor din tara in care entitatea economica isi are sediul

- mentinerea coerentei si calitatii sistemului contabil, astfel incat sa asigure certitudinea reflectarii in situatiile financiare, sincer si complet, a situatiei financiare si rezultatelor exercitiului

- imbunatatirea utilizarii informatiei contabile.

1.3.3. Auditul performantei sau al rezultatelor

- este sinonim cu sintagma „valoare pentru bani”

- consta in economicitate, eficienta si eficacitate si acopera: activitatile economice si administrative, urmarind principii si practici de management; eficienta utilizarii resurselor umane, financiare inclusiv examinarea sistemelor de informare asupra indicatorilor de performanta si procedurilor urmate; eficienta si performanta in legatura cu atingerea obiectivelor entitatii economice auditate; impactul efectiv al activitatilor comparativ cu impactul dorit

- este o examinare obiectiva si sistematica a realitatii pentru evaluarea performantei unui program sau unei activitati in scopul de a obtine informatii referitoare la utilizarea fondurilor si facilitatea luarii deciziilor de catre management in legatura cu supravegherea si initierea masurilor corective care se impun.

- urmareste daca banii publici au fost bine cheltuiti, examineaza masurile intreprinse de entitatea economica auditata pe linia respectarii economicitatii, eficientei si eficacitatii, precum si rezultatele obtinute in atingerea indicatorilor de performanta

- urmareste daca activitatea a condus la rezultatele programate

- combina rigoarea auditului conformitatii si auditului de atestare financiara cu principiul de baza al auditului, acela de adaugare de valoare si credibilitate, in conditii de independenta si obiectivitate ale auditorului

1.3.4. Auditul operational

- reprezinta examinarea oricarei portiuni da procedurilor si metodelor operationale ale entitatii economice

- se incheie cu recomandari pentru ameliorarea activitatilor operationale

- poate cuprinde, exemplificativ, evaluarea: eficientei si acuratetei prelucrarii operatiunilor legate de salarii in cadrul unui sistem electronic nou instalat; eficientei fluxului informational privind vanzarile

- nu se limiteaza la contabilitate

Din cauza numarului mare si diversitatii domeniilor, a caror eficacitate operationala poate fi evaluata, este foarte redusa posibilitatea definirii unui proces de audit operational tipic. „Eficienta si eficacitatea operatiunilor sunt cu mult mai complicat de evaluat de maniera obiectiva decat conformitatea sau prezentarea situatiilor financiare in acord cu principiile contabile generale acceptate. Mai mult decat atat, definirea criteriilor de evaluare a informatiilor din cadrul unui audit operational este o problema extrem de subiectiva. In acest sens, activitatea de audit operational se apropie mai curand de consultanta manageriala decat de ceea ce se intelege in mod normal prin audit”[2].

Desi se refera la eficienta si eficacitate, pentru evaluarea acestora, in locul notiunii de audit operational se utilizeaza si termenii audit managerial sau audit de gestiune.

In sens mai larg, auditul operational include evaluarea mecanismelor de control intern si chiar testarea eficacitatii acestor mecanisme ca parte a auditului.

1.3.5. Auditul de gestiune (auditul economicitatii si eficientei si auditul de program)

Include:

- Auditul economicitatii si eficientei are ca scop sa determine: daca entitatea isi atrage, protejeaza si foloseste resursele de maniera economica si eficienta, cauzele practicilor ineficiente sau neeconomicoase, daca entitatea a respectat legile si normele vizand economicitatea si eficienta.

- Auditul de program are ca scop sa determine: gradul in care sunt obtinute rezultatele, sau avantajele dorite/fixate de organele legislative sau alte organisme de autoritate, eficacitatea entitatii, programului, activitatilor, sau functiilor, daca entitatea a respectat legile si normele aplicabile programului.

1.3.6. Cadrul legislativ si standardele nationale si internationale privind auditul

- LEGEA Nr. 672 din 19 decembrie 2002 privind auditul public intern ,emitent: PARLAMENTUL , publicata: MONITORUL OFICIAL NR. 953 din 24 decembrie 2002

- Standardele Internationale de Audit (ISA) urmeaza sa fie aplicate in auditul informatiilor financiare istorice.

- Standardele Internationale cu privire la Misiunile de Revizuire (ISRE) urmeaza sa fie aplicate in revizuirea informatiilor financiare istorice.

- Standardele Internationale cu privire la Misiunile de Asigurare (ISAE) urmeaza sa fie

aplicate in misiunile de asigurare care se refera la alte subiecte decat informatiile financiare

istorice.

- Standardele Internationale cu privire la Serviciile Conexe (ISRS) urmeaza sa fie aplicate in misiunile de compilare, misiunile privind aplicarea unor proceduri convenite pentru informare si misiunile privind serviciile conexe, asa cum se specifica de catre IAASB.

- Standardele Internationale de Audit, Standardele Internationale cu privire la Misiunile de Revizuire (ISRE), Standardele Internationale cu privire la Misiunile de Asigurare (ISAE) si Standardele Internationale cu privire la Serviciile Conexe (ISRS) sunt denumite in mod colectiv Standarde pentru Misiuni, elaborate de Consiliul pentru Standarde Internationale de Audit si Asigurare (IAASB).

- Standardele Internationale pentru Controlul Calitatii (ISCQ) urmeaza sa fie aplicate pentru toate serviciile care cad sub incidenta Standardelor pentru Misiuni, elaborate de IAASB.

- Standardele Internationale de Audit (ISA) 240, se refera la responsabilitatile auditorului referitoare la frauda intr-un audit al situatiilor financiare. In special, el porneste de la modul in care urmeaza sa fie aplicate ISA 315 (Reformulat) „identificarea si evaluarea riscurilor de denaturari semnificative prin intelegerea entitatii si a mediului in care isi desfasoara activitatea si ISA 330 „Raspunsurile auditorului la Riscurile evaluate” in legatura cu riscurile de denaturari semnificative datorate fraudei .

- Standardele Internationale de Audit (ISA) 300 , se refera la responsabilitatea auditorilor de a planifica un audit al situatiilor financiare. Acest Standard international de audit se incadreaza in contextul unor audituri recurente

- Standardele Internationale de Audit (ISA) 240, se refera la responsabilitatea

auditorului de a identifica si de a evalua riscurile unor denaturari semnificative in situatiile financiare, prin intelegerea entitatii si a mediului in care isi desfasoara activitatea, inclusiv a controlului intern al entitatii.

- Ordonanta de urgenta nr. 90/2008 din 24/06/2008, Publicat in Monitorul Oficial, Partea I nr. 481 din 30/06/2008 privind auditul statutar al situatiilor financiare anuale si al situatiilor financiare anuale consolidate. Avand in vedere ca, in calitatea sa de stat membru cu drepturi depline al Uniunii Europene, Romaniei ii revine sarcina de a transpune si implementa directivele emise de Uniunea Europeana, in scopul transpunerii Directivei 2006/43/CE din 17 mai 2006 a Parlamentului European si a Consiliului privind auditul statutar al conturilor anuale si al conturilor consolidate, de modificare a directivelor Consiliului 78/660/CEE si 83/349/CEE si de abrogare a Directivei 84/253/CEE a Consiliului, publicata in Jurnalul Oficial al Uniunii Europene nr. L 157 din 9 iunie 2006, in vederea realizarii unei abordari armonizate a auditului statutar la nivelul Uniunii Europene, pentru asigurarea conformitatii auditului statutar din Romania cu cerintele directivelor europene, prin revizuirea permanenta a legislatiei in domeniu, precum si pentru crearea unui sistem de supraveghere publica pentru auditorii statutari si firmele de audit in baza principiilor europene, pentru a preveni consecintele negative ale nepromovarii in regim de urgenta a prezentului act normativ, avand in vedere dispozitiile art. 53 'Transpunerea' din Directiva 2006/43/CE din 17 mai 2006 a Parlamentului European si a Consiliului privind auditul statutar al conturilor anuale si al conturilor consolidate si de modificare a directivelor Consiliului 78/660/CEE si 83/349/CEE, care prevad ca statele membre adopta si publica dispozitiile necesare pentru a se conforma directivei inainte de 29 iunie 2008, statele membre trebuie sa informeze Comisia Europeana cu privire la aceasta si sa transmita Comisiei Europene textele principalelor dispozitii de drept intern pe care le adopta in domeniul reglementat de Directiva 2006/43/CE. In temeiul art. 115 alin. (4) din Constitutia Romaniei, republicata.

CAPITOLUL 2

2. TEORIE SI DIMENSIUNI PRACTICE ALE STRATEGIEI GENERALE REFERITOARE LA O MISIUNE DE AUDIT

2.1 Cadrul general al unei misiuni de audit

Definirea unei imagini de ansamblu asociata procesului de audit impune prezentarea succinta a etapelor de desfasurare a acestei misiuni:

Acceptarea misiunii - prin care se realizeaza colectarea si evaluarea initiala a informatiilor despre organizatie, a riscurilor sectorului de activitate din care aceasta face parte (domeniul de activitate, marimea, reglementarile specifice, date despre polititica entitatii).

Planificarea misiunii de audit – care are drept finalitate realizarea unui plan de audit detaliat pe obiective, termene, responsabili si realizarea unui program de audit ce include bugetul financiar, fondul de timp necesar realizarii misiunii, precum si ansamblul procedurilor, tehnicilor ce vor fi implementate pe parcursul acesteia.

Evaluarea sistemului de control intern si contabilitate, etapa ce include si o evaluare a sistemului informatic, analizat ca instrument care confera incredere informatiilor ce urmeaza a fi auditate.

Aplicarea testelor de detaliu asupra conturilor clientului– concretizata in ansamblul tehnicilor si procedeelor aplicate de auditor in vederea colectarii probelor necesare justificarii opiniei formulate de acesta (teste de detaliu, proceduri analitice), redactarea concluziilor initiale, in conformitate cu planul initial.

Formularea opiniei si intocmirea raportului de audit – recunoscuta ca etapa finala a unei misiuni de audit, se rezuma la analiza concluziilor si formularea opiniei auditorului.

Urmarirea implementarii recomandarilor raportului de audit (follow-up) - o activitate ulterioara misiunii, in care auditorul solicita si evalueaza concluziile anterioare relevante si recomandarile pentru a stabili daca actiunile necesare au fost implemenate la timp.

Etapele unei misiuni de audit sunt sintetizate in figura 2.1:

Figura nr.2.1 Etapele unei misiuni de audit

2.1.1 Acceptarea misiunii

O etapa preliminara in orice misiune de audit, indiferent de obiectivul acesteia, o reprezinta „acceptarea misiunii”, in care auditorul realizeaza o documentare referitoare la client, pentru o evaluare globala a riscurilor inerente si de control, o analiza a mediului de afaceri si a particularitatilor sectorului de activitate in care acesta isi desfasoara activitatea.

In cadrul acestei etape, auditorul isi va concentra atentia asupra unor elemente majore cum ar fi:

1. Identificarea particularitatilor societatii, a specificului activitatii si a sectorului de activitate, a marimii acesteia si a modului de organizare.

2. Stabilirea riscurilor pe care auditorul si le-ar asuma acceptand misiunea. Auditorul cauta sa obtina elemente care ii vor permite aprecierea celor mai importante riscuri, retinand observatii referitoare la: un control intern insuficient sau carente notabile, contabilitate netinuta corect si la timp, personal incompetent si rotatia mare a cadrelor din compartimentele finanaciar-contabilitate, dezechilibre financiare, scaderea cifrei de afaceri, credite restante, pierderi mari, activitati in declin, ceea ce compromite viitorul exploatarii, riscuri fiscale, conflicte sociale, riscuri juridice, nerespectarea independentei exercitiilor.

3. Evaluarea integritatii managamentului poate releva carente importante, fapt ce poate induce o mare

probabilitate ca erori semnificative si alte iregularitati sa afecteze procesul contabil care se reflecta in

situatiile financiare. Pentru un client nou, auditorii pot obtine informatii despre integritatea managementului

prin comunicarea cu fostii auditori sau prin efectuarea de investigatii la terti, cum ar fi banca unde clientul

are deschise conturi sau linii de finantare.

4. Aprecieri ce vizeaza asigurarea independentei auditorului si evaluarea competentei acestuia in indeplinirea misiunii.

5. Analiza cost – beneficiu.

6. Cerintele clientului: constrangeri de timp, calificarea auditorilor, raportari suplimentare.

2.1.2 Planificarea

Dupa o cunoastere globala a entitatii, auditorul are posibilitatea sa-si formuleze o strategie generala de audit, concretizata intr-un plan orientativ al activitatii sale, care la randul sau, reprezinta baza elaborarii programului de audit.

In acest sens, demersul metodologic impune parcurgerea urmatorilor pasi:

1. Analiza si documentarea modelului de audit – etapa in care auditorul va urmari realizarea urmatoarelor proceduri:

Figura nr. 2.2 Procedeele specifice etapei de planificare

Cunoasterea activitatii entitatii reprezinta un proces continuu, cumulativ, de culegere si evaluare a informatiilor, care presupune atat o analiza a factorilor economici generali cat si a conditiilor specifice sectorului economic

Desfasurarea preliminara a procedeelor analitice este identificata ca o procedura fundamentala a oricarui proces de audit. Auditorului i se solicita ca, in paralel cu cunoasterea activitatii entitatii, sa realizeze o analiza preliminara a bilantului, a indicatorilor de risc, lichiditate, activitate, profitabilitate si rezultate, informatii care il vor determina sa patrunda in asa-zisele „secrete ale situatiilor financiare”.

Evaluarea preliminara a principiului continuitatii activitatii. Abordarea auditului depinde, in mare masura de evaluarea preliminara a continuitatii activitatii. In cazul in care continuitatea activitatii nu mai este sigura, auditorul va analiza toate domeniile asupra carora aceast lucru ar avea un impact (standardul de audit 570 „Principiul continuitatii activitatii”).

Calculul pragului de semnificatie. Relevanta informatiei este influentata, in egala masura, de natura si de pragul de semnificatie a informatiei respective.

Analiza posibilelor fraude si erori

Evaluarea estimarilor contabile realizate de management. Multe elemente ale situatiilor financiare nu pot fi masurate cu precizie, ci doar estimate. „Estimarile contabile” reprezinta o aproximare a valorii unui element in absenta unor mijloace de estimare precise.

Evaluarea riscului de audit si a componentelor sale

Aprecierea nivelului de esantionare si a selectiei acestora. Pe baza datelor culese de catre auditor in cadrul acestei etape, se vor determina natura si aria de intindere a lucrarilor ce urmeaza a fi desfasurate de catre auditor pe parcursul misiunii si se vor stabili masurile organizatorice necesare pentru executarea lor in conditii de eficienta maxima.

2. Alegerea membrilor echipei se va realiza in functie de experienta si specializarea lor in sectorul de activitate al entitatii respective

3. Repartizarea lucrarilor pe oameni, in timp si spatiu: (stabilirea bugetului de timp) 4. Aprobarea planului de audit din partea partenerului si informarea in detaliu a membrilor echipei de audit.

2.1.3. Studiu de caz al unei entitati

- Modelul unui program de lucru privind lucrarile de audit pe anul…..

Client…….

Contract Nr.………..

Personalul afectat

Nume si Prenume

Functia Cod

Gheorghe Ion Sef Misiune M1

Radu Stefan Auditor A1

Iancu Alina Auditor junior AA1

Cod Ref. EA12

Nr

crt

Cod L. LUCRAREA Data prevazuta

Buget ore estimate

M1 A1 AA1 Total

I PA1 Orientarea si planificarea auditului 2004 7 15 8 30

1 Cunoasterea societatii Feb. 4 3 3 10

1.1 Identificarea domeniilor semnificative Feb. 3 6 6 15

3 Redactarea planului de audit Feb. 3 2 - 5

II PA1. Contractarea lucrarilor Feb. 6 - - 6

III PA1/EB. Aprecierea auditului intern Mart. 9 13 18 40

3.1 Descrierea procedurilor, testelor de “urmarire”, evaluarea preliminara

Mart. 4 10 16 30

3.2 Teste de control asupra domeniilor semnificative, evaluarea finala

Mart. 5 3 2 10

IV PC1/EB1 Controlul conturilor Apr. 25 25 10 60

4.1 Imobilizari necorporale

4.2 Imobilizari corporale

Imobilizari financiare

Stocuri si produse in curs

…..

V. EA1. Verificarea bilantului Apr. 15 15 - 30

VI. EA1 Evenimente posterioare inchiderii exercitiului financiar

Apr. 8 2 - 10

VII EA1 Chestionar al sfarsitului lucrarilor Apr. 10 5 - 15

VIII EA1 Scrisoare de afirmare Apr. 10 - - 10

IX. EA1 Nota de sinteza Apr. 5 10 - 15

X. EA1 Raport de audit Apr. 8 12 - 20

10.1 Raport “scurt” Apr. 2 - - 2

10.2 Raport “lung” Apr. 6 12 - 18

Total buget ore 236

Tabelul nr. 2.1 Modelul unui program de audit[3]

- Pragul de semnificatie. Practica a demonstrat, in general, ca nu exista timp suficient pentru a realiza un audit detaliat. Acesta este si motivul pentru care auditorul accepta inca de la inceputul misiunii sale ca va lucra cu o anumita marja de eroare. El trebuie sa stabileasca insa care este marimea erorii pe care o poate accepta, in cadrul fiecarei misiuni individuale.

Printre categoriile de risc cu care se confrunta auditorul, se poate aminti si riscul de importanta relativa, caracterizat in documentatia grupului francez de expertiza si audit „Guerard –Viala”[4] astfel: „Importanta relativa nu este un risc in sine, ci un factor important care permite auditorului sa aprecieze amploarea altor riscuri (riscul economic, riscuri legate de sisteme). Ea se refera, in principal, la valoarea operatiilor prelucrate sau susceptibile de a fi prelucrate, dar trebuie sa tina cont, de asemenea, de anumite elemente calitative (natura rezultatului: profit sau pierdere, inversarea tendintelor)”.

In abordarea sa, este necesar ca auditorul sa tina cont de acest concept, pentru a determina:

sistemele semnificative. In majoritatea societatilor, sistemele semnificative sunt: „vanzari-clienti”, „cumparari-furnizori”, „salarizare-personal”, „productie-stocuri”, „trezorerie”.

conturile semnificative, pe care va trebui sa le verifice cu o rigoare mai mare. (ex: provizioane, amortizarea imobilizarilor, etc.)

pragul de semnificatie, care ii va permite sa aprecieze daca erorile dezvaluite trebuie sa fie corectate sau nu, pentru a emite o opinie fara rezerve.

Normele Minimale de Audit propun alegerea unuia din referentiale, ca o valoare cuprinsa in intervalul:

1% - 2%* Active totale

0.5% - 1% * Cifra de afaceri

5% - 10% * Profit inainte de impozitare.

In practica, statistica arata ca auditorii aleg ca element de referinta marimea profitului, deoarece acesta pare sa reflecte cel mai bine performantele unei societati. Daca, de exemplu, nivelul pragului de semnificatie este stabilit la 10% din marimea profitului, orice eroare care egaleaza sau depaseste acest prag, fie individual, fie cumulat este considerata eroare semnificativa.

Pentru societatile cu profituri care difera semnificativ de la un an la altul, profitul curent nu poate fi considerat ca baza in calculul pragului de semnificatie. O metoda frecvent utilizata consta in divizarea valorii pragului global in functie de ponderea soldului fiecarui cont in totalul conturilor analizate. Spre exemplu, considerand valoarea de 100.000 u.m., considerata a fi pragul de semnificatie global, cat este necesar sa se distribuie contului „ Clienti”, in conditiile in care acesta detine o pondere de 20% din totalul analizat ?:

100.000 u.m. * 20 % = 20.000 u.m

In cazul in care semnificatia contului analizat este mai mare decat ponderea lui in totalul conturilor, auditorul poate opta pentru o crestere a pragului de semnificatie individual. De asemenea, folosindu-si experienta si rationamentul profesional, auditorul poate aprecia daca anumite conturi sunt mai susceptibile de a prezenta erori, fapt ce-l va determina la o corectie similara.

Pragul de semnificatie se analizeaza in doua etape: in primul rand, la planificarea ariei de cuprindere a testelor de audit si, in al doilea rand, la exprimarea opiniei asupra conturilor anuale.

- Analiza riscului. Orice entitate este supusa riscurilor: riscuri legate de propria functionare a organizatiei si riscuri specifice fiecarei activitati. In scopul evitarii riscurilor inacceptabile, organizatia isi creeaza propriile masuri de securitate si control, tolerand riscurile acceptabile.

Intr-un cadrul general, la nivelul unei organizatii, auditorul se confrunta cu urmatoarele categorii de riscuri:

riscuri legate de situatia economica a entitatii

riscuri legate de organizarea generala a entitatii

ricuri legate de conceperea si functionarea sistemelor precum:

o riscuri legate de complexitatea metodelor (contabile, tehnice,..)

o riscuri legate de auditul intern (ex: riscuri asociate sistemului informational)

o riscuri legate de atitudinea managerilor.

- Riscul de audit. Riscul de audit, in concordanta cu standardul de audit 400 'Evaluarea riscurilor si controlul intern', reprezinta „riscul pe care auditorul il atribuie unei opinii de audit neadecvate, atunci cand situatiile financiare contin informatii eronate semnificative.” Riscul de audit se manifesta prin componentele sale de baza: risc inerent, risc de control si risc de nedetectare si poate fi stabilit atat in termeni cantitativi (in procente) cat si in termeni calitativi (risc scazut, moderat, ridicat sau foarte ridicat). Chiar daca experienta practica evidentiaza o alegere frecventa a termenilor calitativi, standardele de audit propun modelul matematic de determinare a riscului de audit, elaborat de AICPA ('Accounting Principles and Auditing Standards') in 1988, de forma:

RA = RI * RC * RND

in care:

RA - riscul de audit;

RI - riscul inerent;

RC - riscul de control;

RND -riscul de nedetectare.

Riscul inerent, reprezinta susceptibilitatea ca soldul unui cont sau al unei categorii de tranzactii sa contina erori semnificative, fie individual, fie cumulate cu erorile altor solduri, iar riscul inerent general, pe baza unui set de intrebari ce vizeaza 4 domenii: management, contabilitate, afaceri si audit. Astfel, riscul inerent general poate fi sporit sau diminuat de o serie de factori, atat la nivelul situatiilor financiare , cat si la nivelul conturilor, al balantei de verificare.

- Esantionarea

In general, din consideratii de timp si de cost, auditorul nu examineaza totalitatea informatiilor la care are acces pentru a-si colecta elementele probante cu privire la sistemul contabil si de control intern, ci aplica o metoda traditionala de selectare a datelor numita esantionare.

Standardul de audit 530 „Esantionare in audit si alte proceduri selective de testare” defineste procesul de esantionare ca fiind „ aplicarea procedurilor de audit pentru mai putin de 100% din elementele din cadrul soldului unui cont sau a unei clase de tranzactii astfel incat toate elementele sa aiba posibilitatea de a fi selectate”. Scopul final al acestei activitati va fi formularea unei concluzii referitoare la populatia din cadrul careia a fost extras esantionul, in urma analizei si evaluarii acestuia. In audit, esantionarea poate folosi atat o abordare statistica, cat si una non-statistica.

Esantionarea statistica are in vedere, intotdeauna, intreaga populatie si este o baza „ mai stiintifica” pentru exercitarea rationamentului profesional al auditorului, obiectivul metodei fiind determinarea marimii esantionului si a criteriului de selectare.

Esantionarea prin metode nestatistice implica o doza de subiectivism, bazandu-se pe o selectie pe baza de hazard – auditorul folosindu-si rationamentul profesional atat in determinarea marimii esantionului si a criteriului de selectie, cat si in interpretarea rezultatelor. Ambele metodele implica o serie de incertitudini concretizate intr-un risc de esantionare. In esenta, esantionul, desi corect realizat, nu este reprezentativ pentru populatia analizata; in acest sens, statistica ofera o regula de verificare a reprezentativitatii unui esantion intr-o

populatie , unde - este media populatiei, - este media esantionului.

In cadrul misiunii sale, auditorul poate aplica aceasta tehnica – atat asupra testelor de control, cand auditorul cauta sa demonstreze ca elementele care constituie populatia prezinta o caracteristica comuna (spre exemplu avizarea contractelor de leasing incheiate, sau autorizarea datelor de intrare intr-un sistem de procesare automata) - cat si asupra procedurilor de fond, cand auditorul urmareste verificarea unei anumite valori din situatiile financiare (de exemplu existenta creantelor).

Riscul de esantionare =1- Coeficientul de incredere.

Adeseori aceste marimi pot fi determinate plecand de la ecuatia riscului de audit,

RA = RC * RI * RND, in care RND=RE * RNE

si avand ca premise cunoscute, spre exemplu:

Risc inerent (RI)= 70%

Risc de control(RC)= 100%

Risc de neesantionare(RNE)=70%

Risc de audit (RA)=5%, de obicei se considera o constanta.

RE = = = 10% si, implicit,

Coeficientul de incredere = 90%

Marja de eroare reprezinta o estimare a erorilor care ar putea exista (marja de eroare asteptata)

Marja de eroare efectiva reprezinta dimensiunea abaterii descoperite efectiv in urma aplicarii testelor de audit asupra esantionului.

Marja de eroare tolerabila reprezinta marja de eroare maxima pe care auditorul este dispus sa o accepte.

Deviatia standard a populatiei (abaterea medie patratica)

In acceptiunea unei selectii aleatoare simple, deviatia standard se calculeaza astfel:

= , unde =

- elementele populatiei

N – marimea populatiei

- media populatiei

Marimea esantionului (n), poate fi determinata pe baza relatiei[5]:

n =

unde: - marja de eroare tolerabila, care implementata in procesul de audit nu este altceva decat pragul de semnificatie individual, stabilit de auditor.

N – populatia

- reprezinta argumentul functiei Gauss-Laplace pentru probabilitatea cu care se garanteaza rezultatele.

Intervalul de incredere al mediei:

Literatura de specialitate[6], propune si alta metoda de determinare a esantionului, mult utilizata in practica cabinetelor de audit.

Marime esantion =

in care factorul de incredere este furnizat de tabelulul 2.2 si depinde de cei doi parametri: gradul de incredere si numarul de erori estimate.

Numarul de erori

Gradul de incredere asociat esantionarii70% 80% 90% 95% 99%

0 1.21 1.61 2.31 3.00 4.611 2.44 3.00 3.89 4.75 6.642 3.62 4.28 5.33 6.30 8.413 4.77 5.52 6.69 7.76 10.05

Tabelul 2.2 Valorile asociate factorului de incredere[7]

Precizia este, teoretic, eroarea tolerabila, apreciata adeseori ca 75% sau 50% din pragul de semnificatie individual.

In acest context, un exemplu de determinare a marimii unui esantion, plecand de la premisele cunoscute:

Eroarea tolerabila = 5%.

Factor de incredere = 3

Ccoeficientul de incredere =95%

Nr. erori asteptate =0

conduc la urmatorul rezultat - Marimea esantionului = 3 / 5% = 60 elemente

O analiza a variatiei acestor elemente, transpusa in tabelul 2.3 genereaza urmatoarele concluzii:

Eroare tolerabila

Grad de incredere Numar de erori asteptate

Marime esantion

5% 95% 0 607% 95% 0 435% 90% 0 465% 95% 1 95

Tabelul nr. 2.3 Variatia factorilor ce determina marimea esantionului

o crestere a erorii tolerabile, pe care auditorul o poate accepta, determina o micsorare a dimensiunii esantionului;

o reducere a nivelului de incredere conduce la o micsorare a dimensiunii esantionului;

o crestere a numarului de erori, la care auditorul se asteapta, determina o crestere a marimii esantionului.

In termeni valorici, formula devine:

Marime Esantion =

si

Intervalul esantionului = =

In acest caz, considerandu-se cunoscute datele de intrare:

Valoarea populatiei = 5.000.000 u.m.

Factor de incredere = 3

Eroarea tolerabila = 200.000 u.m.

Coeficientul de incredere =95%

Nr. erori asteptate =0

Rezultatul final va fi:

Marime esantion = 3 * 5.000.000 / 200.000 = 75 elemente

Interval esantion = 5.000.000 / 75 = 66.666 u.m.

Determinarea marimii esantionului se realizeaza in functie de anumiti factori care difera atunci cand este vorba de aplicarea esantionarii in cazul testelor de control sau procedurilor de fond, factori ce pot fi identificati in tabelele 2.4 si 2.5.

Factor Efectul asupra dimensiunii esantionuluiMicsorare Crestere

Increderea declarata de auditor in sistemul Cresterea evaluarii preliminare a Reducerea Riscului de control (o

contabil si de control intern si, de aici, evaluarea ricului de control

Riscului de control crestere a increderii in sistemul de control intern)

Eroarea tolerabila Cresterea ratei de deviatie pe care o poate accepta

Reducerea ratei de deviatie pe care o poate accepta

Eroarea asteptata Reducerea numarului de erori, la care auditorul se asteapta

Cresterea numarului de erori, la care auditorul se asteapta

Nivelul de incredere necesar auditorului Nivel redus de incredere Nivel crescut de incredereNumarul de elemente in populatie Efect neglijabil

Tabelul nr. 2.4 Factori care influenteaza dimensiunea esantionului in cazul testelor de control

Factor Efectul asupra dimensiunii esantionuluiMicsorare Crestere

Evaluarea Riscului Inerent Reducerea Riscului Inerent Cresterea Riscului InerentEvaluarea Riscului de Control Reducerea Riscului de control Cresterea Riscului de controlUtilizarea altor proceduri de fond pentru aceeasi asertiune din situatiile financiare

Cresterea utilizarii altor procedee de fond

Reducerea utilizarii altor procedee de fond

Eroarea tolerabila Cresterea ratei de deviatie, pe care auditorul o poate accepta

Reducerea ratei de deviatie, pe care auditorul o poate accepta

Eroarea asteptata Reducerea numarului de erori, la care auditorul se asteapta

Cresterea numarului de erori, la care auditorul se asteapta

Nivelul de incredere necesar auditorului Nivel redus de incredere Nivel crescut de incredereNumarul de elemente in populatie Efect neglijabilStratificarea Stratificarea in populatie,

daca este cazulNu se aplica stratificarea

Factori care influenteaza dimensiunea esantionului in cazul procedurilor de fond

- Selectarea esantionului

Principiul care guverneaza procesul de selectare a elementelor dintr-o populatie, in vederea formarii unui esantion, este acela ca fiecare individ trebuie sa aiba o sansa egala de a fi ales. Literatura de specialitate (statistica) recunoaste diferite metode de selectie: selectie aleatorie, selectie sistemica – ce urmareste tehnica: se stabileste un punct de pornire, de la care, aplicand un pas fix se alege fiecare element, selectie in bloc – alegerea spre exemplu dintr-un total de 100 de elemente pe cele corespunzatoare pozitiilor 55-70, selectie pe baza de hazard „ asa zisa alegere cu ochii inchisi”.

Odata stabilit esantionul, auditorul va proceda la testarea rezultatelor acestuia, in conformitate cu obiective de audit stabilite.

- Evaluarea rezultatelor

Erorile constatate asupra esantionului se vor extrapola la populatia din care a rezultat, metoda de extrapolare fiind intotdeauna compatibila cu metoda de prelevare a esantionului.

a) Metoda valorica

Eroare in populatie =Eroare gasita in esantion *

Spre exemplu, sa presupunem ca auditorul a selectat un esantion a carui valoare este apreciata la 400.000 u.m.(unitati monetare), dintr-o populatie de 5.000.000 u.m. In urma aplicarii procedurilor de fond, el va constata o eroare la nivelul esantionului de 9.000 u.m. Extrapoland aceasta eroare, la intreaga populatie, se va observa ca aceasta este de:

9.000 u.m. * = 112.500 u.m.

Asadar, valoare auditata a populatiei = 5.000.000 u.m. – 112.500 u.m. = 4.887.500 u.m. Asociat acestui caz, alte probleme ce pot aparea, sunt remarcate atunci cand populatia este neomogena, situatie in care se impune stratificarea acesteia in vederea obtinerii unor rezultate pertinente.

b) Metoda numerica, asociata numarului elementelor dintr-o populatie sau esantion.

Eroare in populatie =Eroare gasita in esantion *

Un exemplu similar metodei precedente, poate fi descris astfel: se considera o populatie formata din 400 elemente, din care auditorul va selecta un esantion de 20 elemente. In urma testelor desfasurate, se constata o eroare la nivelul esantionului de 9.000 u.m., pe care

extrapoland-o la nivelul populatiei va fi de: 9.000 u.m. * = 180.000 u.m.

Pornind de la aceasta premisa, strategia unei misiuni de audit, intr-o forma detaliata, permite o structurare a activitatilor misiunii conform figurii urmatoare :

Structurarea activitatilor unei misiuni de audit

(sursa: ACCA – Accounting and Audit Practice, nr. 10, 2000)

CAPITOLUL 3

SISTEMUL INFORMATIZAT

3.1 Analiza mediului de control intr-un sistem informatizat

Societatea actuala, o societate informatizata pentru care informatia si tehnologia informatiei sunt cele mai importante valori, necesita astazi sisteme de comunicatie rapide, sigure si fiabile care sa-i asigure confidentialitatea, integritatea si disponibilitatea resurselor informationale.

In etapa de “Planificare” a auditului, auditorii trebuie sa-si formeze o imagine asupra semnificatiei si complexitatii mediului informatic, a accesibilitatii datelor in vederea auditarii. Aceasta imagine este definita de caracteristicile:

Structura organizatorica a mediului informatic, ce pune un accent deosebit pe necesitatea separarii functiilor incompatibile adresate aceleiasi persoane.

Complexitatea si importanta procesarii automate a fiecarei aplicatii semnificative. O aplicatie informatica poate fi considerata complexa atunci cand:

volumul tranzactiilor este considerat de utilizatorii aplicatiei ca fiind dificil pentru identificarea si corectarea erorilor in timpul procesarii;

aplicatia poate genera automat tranzactii semnificative sau poate furniza intrari catre alte aplicatii ;

complexitatea calculelor aritmetice;

tranzactiile sunt schimbate electronic cu alte organizatii, ceea ce implica controale suplimentare asociate caii de comunicatie.

Disponibilitatea datelor. Intr-un mediu informatizat, anumite informatii solicitate de auditor pot exista doar pentru o scurta perioada si/sau doar intr-o forma electronica; in legatura cu acest aspect se impune a fi amintia si vulnerabilitatea mediilor de stocare a datelor /informatiilor.

Utilizarea tehnicilor de audit asistate de calculator pentru o crestere a performantei procedurilor de audit.

Aceasta analiza a importantei si complexitatii activitatilor mediului informatizat are un impact favorabil in evaluarea riscurilor inerente si de control.

Intr-un mediu informatizat, amploarea riscurilor ia o alta dimensiune, natura lor fiind influentata de:

Densitatea informatiei este mult mai mare decat in sistemele clasice, bazate pe hartie. Dischetele, discurile optice si alte suporturi moderne ce sunt utilizate pentru salvarea acestui volum mare de informatii, insumand zeci de mii de pagini de hartie, pot fi subtilizate mult mai discret generand astfel fraude sau cel putin afectand confidentialitatea acestor informatii.

Transparenta documentelor privind desfasurarea unor operatiuni.

a) Absenta documentelor de intrare – datele pot fi introduse in sistem fara a avea la baza documente justificative – este exemplul tranzactiilor din sistemele on-line.

b) Lipsa unor “urme” vizibile a tranzactiilor – Desi in practica prelucrarii manuale, orice tranzactie poate fi urmarita plecand de la documentul primar, apoi in registrele contabile, conturi – in prelucrarea automata, traseul unei tranzactii poate exista o perioada limitata , intr-un format electronic.

c) Lipsa unor iesiri vizibile – anumite tranzactii sau rezultate, in special cand acestea reprezinta detalii, se pot regasi memorate doar in fisierele aplicatiei (nu si intr-o forma tiparita).

Autorizarea tranzactiilor. Intr-un mediu informatizat se poate include si capacitatea calculatorului de a initia si executa automat unele trazactii; altfel spus, este vorba de modul de proiectare a aplicatiei informatice care poate avea incorporate anumite autorizari implicite si functii de generare automata.

Procesarea uniforma a tranzactiilor. O aplicatie informatica proceseaza in mod uniform tranzactii similare, pe baza acelorasi instructiuni program. In felul acesta, erorile de redactare a documentelor asociate unei procesari manuale sunt in mod virtual eliminate. In schimb, erorile de programare pot conduce la procesarea incorecta a tranzactiilor, astfel incat auditorii isi vor concentra atentia asupra acuratetei si consistentei iesirilor.

Accesul neautorizat la date si fisiere se poate efectua cu o mai mare usurinta, ceea ce implica un mare potential de frauda si eroare.

Remanenta suporturilor de memorare a datelor, dupa ce au fost sterse poate constitui o cale sigura de a intra in posesia unor informatii de valoare.

Agregarea datelor. Noile sisteme de prelucrare automata a datelor, precum sunt cele de asistare a deciziei, au condus la valorificarea unor informatii importante ale entitatii, generand prognoze, strategii si tactici de parcurs intr-un anumit domeniu. Astfel, informatiile capata valente suplimentare decat cele avute prin pastrarea lor in mai multe locuri, separate unele de altele.

Evolutia tehnologiei informationale a cunoscut in ultimii ani un ritm accelerat, dar nu acelasi lucru se poate spune despre progresele inregistrate in domeniul securitatii datelor.

Integrarea puternica a sistemelor apare ca o consecinta a imbunatatirii formelor de comunicatie si a proliferarii retelelor de calculatoare. Aplicatiile de comert electronic sunt doar un exemplu in acest sens, dar se poate afirma ca au deschis si mai mult apetitul “specialistilor” in ceea ce priveste frauda informationala.

Lipsa urmelor eventualelor atacuri criminale constituie un alt element ingrijorator al noului mediu de lucru ; in aces sens modificarea datelor, adaugarea sau chiar stergerea lor au devenit operatii mult mai usor de realizat, dar in acelasi timp, destul de greu de depistat.

3.2 Analiza riscului intr-un mediu informatizat

Obiectivul unei analize a riscurilor informationale (riscuri IT) este de a identifica modalitatile prin care datele si, implicit, sistemul informatic care le contine, este expus la risc. Elementele prezentate in paragraful anterior conduc la ideea ca mediul informatizat genereaza noi riscuri si orice organizatie, in vederea asigurarii unei protectii eficiente a informatiilor, este necesar sa dezvolte un proces complex de studiu si analiza a riscurilor.

Riscul IT se manifesta prin intermediul componentelor sale proprii: amenintari, vulnerabilitati si impact. Amenintarile exploateaza vulnerabilitatile unui sistem cauzand impactul si in esenta, combinatia celor 3 elemente determina marimea riscului. Riscul la nivelul unei organizatii nu poate fi eliminat, el va exista intotdeaua, managmentul societatii fiind responsabil de reducerea lui la un nivel acceptabil. In acest sens, figura 3.1 pune in corespondenta diferite elemente ce necesita a fi luate in calcul pentru reducerea riscului.

Figura nr.3.1 Componentele riscului IT[8]

In general, riscurile asociate unui sistem informational, pe care orice auditor trebuie sa le analizeze si evalueze (tehnica frecvent utilizata in acest caz este chestionarul), in vederea aprecierii sistemului in sine, vizeaza:

Riscul securitatii fizice ce va fi evaluat in functie de informatiile culese, cu privire la: existenta sistemelor de paza, detectie si alarma a incendiilor, sistemelor de protectie impotriva

caderilor de tensiune, protectia echipamentelor impotriva furturilor, protectia impotriva catastrofelor naturale (inundatii, cutremure..), protectia fizica a suportilor de memorare

Riscul de comunicatie poate lua valente diferite, in functie de disponibilitatea sistemului la reteaua publica, situatie in care auditorul e necesar sa analizeze masurile de securitate adoptate: existenta unui firewall, modul de configurare a acestuia, analiza modului de transmitere a datelor prin reteaua publica (utilizarea tehnicilor de criptare, existenta unei retele virtuale private - VPN).

Riscul privind integritatea datelor si tranzactiilor vizeaza toate riscurile asociate cu autorizarea, completitudinea si acuratetea acestora.

Riscul de acces se refera la riscul asociat accesului inadecvat la sistem, date sau informatii. Implicatiile acestui risc sunt majore, el vizand confidentialitatea informatiilor, integritatea datelor sau bazelor de date si disponibilitatea acestora.

Riscul privind protectia antivirus ce impune o analiza a existentei programelor antivirus in entitate, utilizarea lor la nivel de server si statii de lucru, upgrade-ul acestor programe (manual sau automat).

Riscul legat de documentatia sistemului informatic. Documentatia generala a unui sistem informatic vizeaza pe de o parte documentatia sistemului de operare sau retelei si, pe de alta parte, documentatia aplicatiilor instalate. Aceasta documentatie poate fi diferita pentru administratori, utilizatori si operatori astfel incat sa ajute la instalarea, operarea, administrarea si utilizarea produsului.

Riscul de personal poate fi analizat prin prisma urmatoarelor criterii:

Structura organizationala la nivelul departamentului IT ce va avea in vedere modul in care sunt distribuite sarcinile si responsabilitatile in cadrul acestuia. Alocarea unui numar prea mare de responsabilitati la nivelul unei singure persoane sau unui grup de persoane este semnul unei organizari interne defectuoase.

Practica de selectie a angajatilor. La baza unui mediu de control adecvat stau competenta si integritatea personalului, ceea ce implica din partea auditorilor o analiza a politicilor si procedurilor organizatiei privind angajarea, specializarea, evaluarea performantelor si promovarea angajatilor.

Riscul de infrastructura se concretizeaza in faptul ca organizatia nu detine o infrastructura efectiva a tehnologiei informatiei (hardware, retele, software, oameni si procese) pentru a sustine nevoile acesteia.

Riscul de management al situatiilor neprevazute (risc de disponibilitate) este riscul asociat pericolelor naturale, dezastrelor, caderilor de sistem care pot conduce la pierderi definitive ale datelor, aplicatiilor, in absenta unor proceduri de monitorizare a activitatii, a planurilor de refacere in caz de dezastre.

3.3. Metode cantitative si calitative de evaluare a riscurilor IT

Modelele de risc, fie ele cantitative sau calitative, reprezinta instrumente deosebit de utile auditorilor IT pentru identificarea diferitelor tipuri de risc, oferind in acelasi timp informatii pentru a le determina si controla.

Literatura de specialitate abordeaza doua modele de analiza a valorii riscului: modelul cantitativ si modelul calitativ ; acestea pornesc de la premisa ca orice organizatie se poate astepta la aparitia unor pierderi cauzate de ineficienta unui sistem informatic, iar acest risc al pierderilor, rezulta din impactul pe care il au amenintarile asupra resurselor organizatiei.

Modelul cantitativ se bazeaza pe urmatoarele elementele:

valoarea monetara credibila a activelor;

“impactul” ca procent din valoarea activelor;

probabilitatea pierderilor anuale;

pierderea anuala asteptata;

costul controlului si masurilor de precautie

incertitudinea.

Impactul generat de o singura amenintare sau pierderea potentiala asociata unei singure aparitii se calculeaza astfel:

Impact=FV * VA sau PPA = FV * VA

Pierderea anuala anticipata este influentata de rata anuala a aparitiei riscului si poate fi determinata astfel:

PAA = PPA * RAA

unde: FV – factor de vulnerabilitate

VA – valoarea activului

PPA – pierderea potentiala asociata unei aparitii.

PAA – pierdearea anuala anticipata

RAA - rata anuala a aparitiei

O astfel de analiza include de asemenea o evaluare a raportului cost/beneficii ce va facilita proiectarea ratei de recuperare a investitiilor (ROI) pentru un anumit set de controale.

ROI=Benefiii nete/Cost

Aceste modele matematice furnizeaza un rezultat concret, dar care trebuie inclus in mediul economic si observat daca el reprezinta realitatea.

Specialistul Alan Oliphant propune un model calitativ de determinare a nivelului de risc, conform caruia sunt luati in calcul 4 factori de baza in aprecierea valorii riscului: impactul financiar, vulnerabilitatea, complexitatea si increderea (model reprezentat in figura 3.2[9]).

Figura nr. 3.2 Evaluarea riscurilor

In acest caz, valoarea riscului va fi exprimata prin valorile “Foarte Scazut, Scazut, Mediu, Inalt, Foarte Inalt” si nu in valori absolute ; formula de determinare a valorii riscului este urmatoarea :

VR= VF * [( Cv*Wv )+( Cc*Wc )+( Ct*Wt )

unde:

VR - valoarea de risc

VF - impactul financiar asupra organizatiei; acesta reprezinta un cost potential al organizatiei in eventualitatea aparitiei unei erori, caderi de sistem, fraude sau alte evenimente negative. Valoarea materiala va fi data de valoarea financiara sau valoarea activelor. Impactul asupra organizatiei poate fi sporit prin intermediul unui multiplicator non financiar:

[(Cv*Wv)+(Cc*Wc)+(Ci*Wi)

Acest model de calcul poate fi privit ca un punct culminant al analizei factorilor de risc: vulnerabilitate, complexitate si incredere.

Cv - vulnerabilitatea, se refera pe de o parte la modul in care utilizatorii autorizati au acces in sistem si pe de alta parte la accesibilitatea sistemului si a activelor organizatiei de catre utilizatori neautorizati. Accesibilitatea unui sistem informational se poate evalua in functie de restrictiile fizice implementate in cadrul organizatiei si de modalitatile de acces prin intermediul retelei de comunicatie.

Cc - complexitatea - are in vedere riscul asociat tehnologiei informationale in sine, numarul utilizatorilor din cadrul compartimentelor sau in termeni mai generici complexitatea organizationala.

Ci - increderea, reflecta comportamentul uman din organizatie si vizeaza doua aspecte: integritatea personalului si gradul de implicare al managerilor.

Wv, Wc, Wi - reprezinta factori de greutate (importanta) care pot fi aplicati la discretia auditorului, in functie de conditiile specifice. Initial, acesti factori pot fi stabiliti la o valoare de 0.33 in vederea determinarii unui multiplicator mediu general al riscului ; aceasta valoare nu este fixa si atunci cand se considera ca unul dintre elemente are un impact mai mare decat celelalte, se pot folosi valori diferite.

Valoarea de risc calculata va fi transpusa intr-un „tabel de traducere”, indicandu-se nivelul de risc; in proiectarea acestui tabel, auditorii au in vedere urmatoarele reguli: valoarea cea mai scazuta de risc = 0 si valoarea cea mai ridicata se apreciaza ca fiind valoarea totala (financiara) a organizatiei multiplicata cu 3.

Un exemplu in acest sens, va elucida eventualele ambiguitati create: se considera o banca a caror active sunt apreciate la 1 milion $. Modelul va fi aplicat asupra a doua categorii de operatii: conturi curente si operatii cu schimburi valutare. Valoarea activelor bancare fiind apreciata la 1 milion $, maximul valorii de risc va fi deci de 3 milioane $. Pentru a construi tabelul de traducere se va imparti aceasta plaja de valori in segmente, apreciate la nivelele de risc pe scara de la 1..5. Cea mai simpla metoda o va reprezenta impartirea in intervale egale. Din nefericire, in practica lucrurile nu sunt chiar atat de simple. In mod evident, pierderea integrala a activelor poate fi considerata un risc inalt, dar inevitabil, apar intrebari de genul: De unde incep riscurile sa creasca? Unde ating riscurile nivelul mediu?

In general, in construirea acestui „tabel de traducere” auditorii solicita si consultarea managementului entitatii.

Valoarea de risc Nivelul de riscDe la La0 10.000.000 110.000.001 100.000.000 2

100.000.001 200.000.000 3200.000.001 400.000.000 4400.000.001 3.000.000.000 5

Tabelul 3.1 „Tabelul de traducere” a valorii riscului

Solutia prezentata anterior nu este general valabila, auditorii putand sa-si foloseasca experienta profesionala in functie de particularitatile situatiei analizate. Tabelul 3.2 prezinta informatii relevante pentru analiza riscului, in cazul ales.

Criteriu Conturi curente Operatii de schimb valutarValoarea financiara 250.000.000 $ 400.000.000 $Vulnerabilitatea Accesul la sistem poate fi obtinut

de la majoritatea terminalelor din interiorul bancii, cat si a sucursalelor. In plus accesul poate fi realizat prin sistemul de Internet Banking si pe arii limitate de la terminalele ATM (Automat Teller Machine).In concluzie, majoritatea utilizatorilor pot accesa sistemul.

Rata Vulnerabilitatii: Inalta.

Accesul intern este restrictionat de la terminale speciale, aflate in incaperi cu un acces controlat.Se poate aprecia ca pentru acest sistem accesul utilizatorilor este mult limitat.

Rata Vulnerabilitatii: Medie.

Complexitatea Sistemul este vechi, utilizat de peste 15 ani, actualizat in timp. Cel putin 10 specialisti IT au cunostinte detaliate despre sistem, documentatia existenta nu a fost actualizata cu noile modificari. Sistemul se caracterizeaza prin multiple functii, este integrat cu multe alte sisteme bancare si furnizeaza informatii oricarui departament.

Rata Complexitatii: Inalta.

Sistemul este utilizat de 3 ani. Este un sistem proprietar care nu a suferit modicari. Documentatia este actualizata de proprietar si numai 2 specialisti IT au fost instruiti in buna intretinere a sistemului. Sistemul se caracterizeaza prin cateva functii si poate fi integrat doar cu sistemul contabil. Departamentul Trezorerie este singurul utilizator.

Rata complexitatii: Scazuta.Increderea Managementul acorda o

importanta deosebita acestui sistem deoarece s-au inregistrat numeroase caderi ale acestuia.

Rata Increderii: Inalta.

Managementul este concentrat asupra unor probleme de secuitate legate de comunicatia cu exteriorul, dat in timp nu s-au inregistrat caderi ale acestuia.

Rata Increderii: Inalta

Tabelul 3.2 Informatii de apreciere a ratelor de risc pentru cei 3 factori: complexitate, vulnerabilitate si incredere

VR = VF * [(Cv*Wv)+(Cc*Wc)+(Ci*Wi)

Deci,

1. VR=250.000.000*[(3*0.33)+(3*0.33)+(3*0.33)=750.000.000 $

2. VR=400.000.000*[(2*0.33)+(1*0.33)+(3*0.33)=266.666.666 $

Aceste valori vor fi interpretate cu ajutorul “tabelului de traducere” a valorii riscului (tabelul 3.1) astfel:

pentru sistemul conturi curente – riscul este considerat Foarte Inalt.

pentru sistemul asociat schimburilor valutare – riscul este considerat Inalt.

Concluziile finale ale acestei analize pot fi considerate drept premise pentru crearea planului de audit sau pentru determinarea nivelului de control care trebuie implementat.

3.4. Controlul general

Controlul general este destinat sa supervizeze sistemul informational in ansamblul sau, avand o incidenta asupra tuturor aplicatiilor informatice ce functioneza in mediul informatizat. Numai prezenta acestui control nu ofera o garantie asupra fiabilitatii unei aplicatii informatice si nici asupra completitudinii si acuratetei iesirilor acesteia, intrucat credibilitatea lor este dependenta de controlul aplicatiilor. Componentele controlului general sunt reprezentate in figura 3.2.

Figura nr.3.2 Componentele controlului general

- Posibile impacturi:Dezvaluirea secretelor companiei, a datelor despre clienti, dezvaluirea informatiilor contabile; Modificarea datelor contabile, datelor despre partenerii organizatiei (furnizori, clienti,..); Atacuri din partea unor persoane care pretind ca reprezinta compania; O campanie publicitara negativa ce poate divulga punctele slabe ale sistemului (bresele de securitate) hackerilor; O campanie publicitara negativa ce poate conduce la modificarea, stergerea informatiilor despre partenerii societatii; Perturbarea majora a proceselor organizatiei; Perturbarea majora a retelei; Pierderea confidentialitatii clientilor; Organizatia poate fi acuzata legal (neglijenta in aplicarea legii sau chiar incalcarea ei); Reducerea calitatii serviciilor; Fraude informatice; Reteaua poate fi utilizata ca o baza pentru atacatori, in vederea distrugerii altor site-uri.

- Analiza masurilor de prevenire a atacurilor.

Sistemul de control intern, intr-un mediu informatizat, identifica patru categorii de mecanisme de control reprezentate in mod sugestiv in figura 3.4.

Control restrictiv ce are ca efect reducerea probabilitatii unui atac deliberat;

Control preventiv ce protejeaza vulnerabilitatile cunoscute sau presupuse si reduc impactul unui atac reusit;

Control corectiv ce reduce efectul unui atac prin supravegherea corectitudinii si integritatii datelor;

Control detectiv ce descopera atacuri initiate sau in desfasurare si alarmeaza sistemul corespunzator.

Figura nr. 3.4. Tipuri de controale ale accesului in sistem[10]

- Intocmirea unui raport de analiza a riscurilor identificate si a securitatii in ansamblul sau. Urmarea acestei analize o poate reprezenta detalierea testelor pentru elementele semnificative ale sistemului, asa zisele puncte slabe, vulnerabile. In acest sens, auditorul poate urmari :securitatea comunicatiilor, controlul accesului logic si fizic, securitatea fizica, evaluarea sistemului copiilor de siguranta(back-up), evaluarea sistemelor de protectie antivirus.

Tipuri de controale asupra datelor de intrare

- Controlul asupra autorizarii furnizeaza in general, o asigurare ca toate tranzactiile sunt autorizate si ca persoanele care autorizeaza fiecare tranzactie au intr-adevar competenta sa o faca. In general un astfel de control se regaseste implementat in cadrul organizatiilor, dar el poate fi revizuit de auditor printr-o serie de teste, cum ar fi: controlul accesului la aplicatiile informatice garanteaza faptul ca procedurile de culegere a datelor revin persoanelor autorizate, verificarea documetelor autorizate – autorizare furnizata de obicei de o stampila sau o semnatura pe sursa documentului, Verificarea intrarilor ce nu au ca sursa un document scriptic.

- Controlul asupra acuratetei datelor de intrare, ii va permite auditorului sa desfasoare o serie de teste ce urmaresc sa detecteze date incomplete, incorecte si nerezonabile. Diversitatea acestor teste este recunoscuta si ele pot include: testul privind formatul datelor: natura datelor, lungimea campurilor, acceptarea valorilor negative sau doar a celor pozitive, formatul datei calendaristice; testul verificarii domeniului de definire al atributelor.

Cateva exemple in acest sens includ:

incadrarea domeniului unui atribut intr-o multime de valori prestabilita: abrevierile judetelor, tipuri de documente

incadrarea intr-un interval de valori prestabilit ( ex. Salariul angajatilor ia valori in intervalul 2.500.000 – 30.000.000)

validari ale realizarilor unor atribute diferite numit si testul dependentei logice dintre atribute (ex. Validari privind corespondenta conturilor – contul X se poate debita doar prin creditarea conturilor A, B, C)

testul „rezonabilitatii” datelor, incluzand verificarea relatiilor logice dintre 2 sau mai multe fisiere sau de asemenea poate viza conformitatea datelor cu un standard sau cu legislatia in vigoare (ex. Grila de impozit aferenta salariilor angajatilor)

testul coerentei datelor de intrare (de ex. Rulaj creditor=Rulaj debitor)

testul privind verificarea restrictiilor de integritate ce se impun a fi definite

restrictii asupra valorilor unui camp; exemplu: pret>0

restrictii asupra valorilor mai multor campuri ce provin din aceeasi tabela; exemplu: cantitate * pret > 1000000

TIP_CONT =”ACTIV” SOLD_I_CREDITOR = 0

restrictii asupra valorilor mai multor campuri ce provin din tabele diferite; exemplu: data_facturii>=data_contract

restrictii asupra unor valori obtinute pe baza operatiilor de sintetizare; exemplu: valplatita<=valfactura.

testul cifrei de control

- Controlul completitudinii intrarilor este necesar a fi desfasurat pentru a se asigura ca datele nu au fost pierdute, adaugate, duplicate sau modificate gresit in timpul procesarii.

- Controlul prelucrarii datelor asigura ca tranzactiile nu au fost pierdute, adaugate, modificate si ca erorile de procesare au fost identificate si corectate in timp util.

- Controlul datelor de iesire

Controlul datelor de iesire se caracterizeaza in general prin diferite proceduri manuale menite sa asigure:

acuratetea si corectitudinea datelor de iesire;

distribuirea datelor numai persoanelor autorizate.

- Sistemul de control intern intr-un mediu informatizat, in acceptiunea COBIT

La nivel international, ultimii ani au fost marcati de o atentie pe care auditorii, managerii si organismele cu atributii de reglementare a domeniului au acordat-o controlului intern. Efortul

lor, depus in sensul de a defini si evalua cat mai exact controlul intern in conditiile utilizarii tehnologiei informationale, s-a concretizat in publicarea unor noi documente ce acopera aria de actiune a acestui concept.

COBIT (Control Objectives for Information and Related Technology), publicat in 1996 de ISACF (Information Systems Audit and Control Foundation), reprezinta cadrul general de aplicabilitate a practicilor privind securitatea si controlul tehnologiei informationale, scopul sau principal fiind de a raspunde nevoilor organizatiei, indiferent de sectorul in care isi desfasoara activitatea. Regula de aur a COBIT poate fi rezumata astfel: resursele IT trebuie sa fie conduse de un set de procese grupate natural, astfel incat, impreuna, sa furnizeze informatia de care are nevoie organizatia pentru realizarea obiectivelor ei.

Figura. nr.3.10. Controlul intern intr-un mediu informatizat

CAPITOUL 4

4. CONCLUZII

Lucrarea de fata a urmarit, pe parcursul celor cinci capitole, sa ofere o imagine clara asupra unui proces de audit al informatiei contabile intr-un mediu informatizat si, totodata, sa sublinieze necesitatea crescanda a utilizarii tehnicilor moderne de audit (tehnici informatizate), in vederea eficientizarii acestui proces.

Etimologic, termenul “audit” isi are originea in limba latina, insemnand “a asculta, a audia”, dar practica anglo-saxona l-a transformat, desemnand astazi, intr-un sens larg, o activitate de verificare a unei informatii, desfasurata de experti independenti, in vederea exprimarii unei opinii asupra sinceritatii si conformitatii acesteia cu criterii standard de calitate.

Necesitatea realizarii unui audit financiar, la nivelul unei organizatii, este accentuata de conflictul de interese, de asimetria informationala creata intre diversi utilizatori ai informatiilor financiare si, nu in ultimul rand, de caracterul din ce in ce mai complex al contabilitatii.

Studiul cadrului teoretic si conceptual al unei astfel de misiuni a constituit premisa abordarii acestei lucrari.

Orice misiune de audit identifica, in general, urmatoarele etape: acceptarea clientului (misiunii), planificarea, evaluarea controlului intern, testarea detaliata a conturilor clientului si, in final, intocmirea raportului de audit. Eficienta unei misiuni de audit este asigurata – in viziunea Standardelor internationale de audit – de planificarea acesteia. Aceasta etapa presupune, in linii mari, o cunoastere generala a entitatii de auditat, o apreciere a riscurilor existente si o analiza a continuitatii activitatii acesteia in vederea identificarii conturilor si domeniilor semnificative de auditat.

O auditare exhaustiva este imposibil de realizat si, in esenta, nu reprezinta un scop al procesului de audit. Testarea selectiva – prin esantionare – reprezinta tehnica frecvent intalnita atat pentru evaluarea controlului intern cat si pentru testarea detaliata a valorilor din conturi si a tranzactiilor. Auditorul va examina elementele justificative care vor sustine valorile si informatiile continute in situatiile financiare, pe baza unei evaluari a principiilor, metodelor contabile si a estimarilor semnificative facute de managementul entitatii pentru prezentarea situatiilor financiare. Activitatea de testare trebuie sa porneasca insa de la prezumtia de completitudine, integritate si acuratete a datelor de auditat. Acest lucru este asigurat tocmai de o intelegere a mediului informatizat si o evaluare a controlului intern la nivelul sistemului informational. Desi, aparent, prezumtia invocata anterior poate fi considerata ca lipsita de semnificatie, practica a demonstrat incidentele grave (fraude, alterarea datelor sau aplicatiilor, pierderea definitiva a datelor dintr-un sistem) ce pot aparea, intr-un mediu informatizat, acolo unde amploarea riscurilor ia o alta dimensiune.

Realitatea practica impune abordarea riscului prin prisma a 3 factori: amenintarile privite ca evenimente sau activitati (in general, din exteriorul sistemului auditat) care pot sa afecteze vulnerabilitatile existente in orice sistem cauzand astfel impactul, apreciat a fi o consecinta pe termen scurt, mediu sau lung suportata de organizatie. In general, riscurile asociate unui mediu informatizat, pe care auditorul trebuie sa le analizeze si evalueze, in vederea aprecierii sistemului in sine, vizeaza: riscul securitatii fizice, riscul de comunicatie a informatiilor atat la nivelul retelei proprii cat si a retelei publice, riscul privind integritatea datelor si tranzactiilor, riscul de acces neautorizat, riscul privind protectia antivirus, riscul legat de documentatia sistemului informatic, riscul de personal, riscul de infrastructura, riscul de disponibilitate. Aceasta analiza va furniza punctele “sensibile” ale sistemului, auditorul urmarind in continuare o testare detaliata a acestora.

Controlul intern la nivelul unui sistem informational presupune abordarea unui control general si a unui control la nivelul aplicatiilor existente. Practica auditului nu releva o distinctie intre cele doua tipuri de control pentru ca, in realitate, ele se completeaza reciproc, iar evaluarea acestui control va conferi auditorului financiar increderea asupra datelor ce urmeza a fi auditate.

Astazi, intr-o era informatizata, in care complexitatea sistemelor de contabilitate informatizata si volumul tranzactiilor au crescut semnificativ, este recunoscuta necesitatea unor tehnici de audit asistate de calculator care sa permita o crestere a eficientei misiunii de audit.

Literatura de specialitate distinge doua categorii de tehnici:

pentru analiza si testarea sistemului informatic;

pentru analiza datelor de auditat.

Studiul si analiza acestor tehnici si instrumente, in special a celor utilizate in practica cabinetelor internationale de audit – prezentate in cadrul capitolului 4, precum si intreaga cercetare desfasurata pana in acest punct au condus la formarea unei imagini a viitorului sistem informatic, conceput si realizat intr-o viziune personala in cadrul capitolului 5. Sistemul ofera o solutie de rezolvare a unor probleme strict legate de auditul financiar, privite prin prisma auditorului extern, dar este de la sine inteles ca o activitate cum este auditul, unde rationamentul si experienta profesionala a celui care o practica au un rol esential in aprecierea aspectelor economice, nu poate fi integral informatizata. Determinarea pragului de semnificatie, evaluarea riscului de audit, selectia esantioanelor, analiza situatiilor financiare sunt doar cateva din functionalitatile sistemului care vor permite auditorului sa-si formeze, sa-si exprime si sa-si sustina o opinie cu mai multa acuratete.

Testarea sistemului s-a realizat pe un set de date reale. Analizand informatiile pe care le genereaza sistemul, din prisma auditului, se pot remarca urmatoarele: - Pragul de semnificatie a fost stabilit la 1% din cifra de afaceri, in etapa de planificare, ceea ce inseamna in valori absolute 1.890.534.710 lei. Rationamentul acestei alegeri a tinut cont si de faptul ca, in anul precedent societatea a inregistrat pierderi; - Analiza principalilor indicatori economico-financiari, pe ultimii trei ani, pune in evidenta urmatoarele observatii (figura 5.12, capitolul 5): -Indicatorul lichiditatii imediate, a carui valoare se recomanda a fi supraunitara, pentru societatea in cauza, in anii 2002, 2003 nu confera independenta financiara; -Indicatorul lichiditatii generale, apreciat cu valori de peste 1,49 ofera garantia acoperirii datoriilor curente din activele curente ; -Perioada de incasare a clientilor, prin valorile pe care le evidentiaza, indica o scadere a indicatorului in timp; totusi valorile sunt apreciate a fi destul de mari, ceea ce conduce la creante mai greu de incasat (clienti rau platnici) ; -Perioada achitarii furnizorilor se incadreaza in parametrii recomandati de practica comerciala; -Eficienta capitalurilor proprii, prin valorile furnizate, nu face atractive actiunile societatii, deoarece societatea nu se remarca printr-un profit semnificativ in raport cu capitalul angajat. (in anul 2002, exercitiul se incheie cu pierderi); -Rata autonomiei financiare, se apreciaza ca fiind o rata foarte buna, in crestere in 2003 fata de anii anteriori, ceea ce denota o autonomie ridicata ce-i va putea facilita eventuala contractare a unor credite noi.

Evaluarea riscului inerent general a fost apreciat ca fiind „Scazut”, aceasta apreciere influentand determinarea marimii esantioanelor de auditat.

Analiza situatiilor financiare a avut ca surse de informare balanta de verificare si situatiile financiare furnizate de client, situatii ce intra sub responsabilitatea acestuia. Pe baza informatiilor din balanta de verificare, sistemul genereaza Bilantul si Contul de profit si

pierdere, pentru a verifica acuratetea acestorasi pentru a calcula o serie de indicatori financiari. Analiza comparativa a informatiilor generate cu cele furnizate de client au condus la aprecieri pozitive.

O opinie finala este dificil de avansat, avand in vedere volumul informatiilor disponibile, deoarece procedurile enumerate trebuie sa fie completate de proceduri manuale precum: participarea la inventarierea manuala, discutii cu managementul entitatii, aprecieri ale estimarilor managementului precum si de alte informatii suplimentare.

CAPITOLUL 5

5. BIBLIOGRAFIE1. Alan Oliphant Using Risk Models to determine information risk

levels („www.theiia.org/itaudit”)2. Alan Oliphant Modeling information risk elements („www.theiia.org/itaudit”)3. Ali E., Albescu F., Bojan I. Auditul financiar – domeniu de aplicatie a tehnologiilor inteligentei

artificiale, Sesiune comunicari5. Ali E., Stanciu V. Auditul sistemelor informationale, suport de curs, ASE.6 Camera Auditorilor din

RomaniaAuditul financiar contabil 2000, Standarde, norme privind conduita etca si profesionala, Ed. Economica, Bucuresti, 2000

7 Camera Auditorilor din Romania

Norme minimale de audit, Ed. Economica, Bucuresti, 2001

8. CECCAR Norme nationale de audit, Bucuresti, 19999. Constantinescu D.,

Dobrin M.

Auditul intern, Colectia Nationala, Bucuresti, 1999

10 Cosserat G.W. Modern auditing, Ed. John Wiley & Sons, New York, 200011. Dobroteanu L.,

Dobroteanu C.

Audit – concepte si practici. Abordare nationala si internationala, Ed. Economica, Bucuresti, 2002

12. Feleaga N., Malciu L. Politici si optiuni contabile, Ed. Economica, Bucuresti, 200213. Feleaga N. Imblanzirea junglei contabilitatii, concept si normalizare in contabilitate, Ed.

Economica, Bucuresti, 1996.14. Finaru L., Brava I. Visual Basic, primii pasisi urmatorii, Ed. Polirom, 200115. Florescu V. & colectiv Baze de date, fundamente teoretice si practice, Ed. Infomega, Bucuresti, 200216. I.S.A.C.A. IS Standards, Guidelines and Procedures for

Auditing and Control Professionals17. INTOSAI Principles of Computer Assisted Audit techniques, Students Notes18. Jacobson I. Applying UML in the Unified Process, Rational Software

Disertatie audit

Documents

Transcript of Disertatie audit