Auditul intr-un mediu de sisteme de informatii computerizate

Referitor la prima norma in discutie (401 - Auditul intr-un mediu de sisteme de informatii computerizate), trebuie specificat faptul ca scopul ei este sa stabileasca standarde si sa ofere instructiuni pentru procedurile ce trebuie urmate cand este efectuat un audit intr-un mediu de sisteme de informatii computerizate (CIS). Un mediu CIS exista atunci cand un computer de orice tip sau marime este implicat in prelucrarea de catre entitate a informatiilor financiare cu semnificatie pentru audit, indiferent daca acel calculator este operat de entitate sau de o terta parte.

Auditorul trebuie sa aiba cunostinte suficiente despre CIS pentru a planifica, a conduce, a supraveghea si a revizui activitatea desfasurata. Daca sunt necesare aptitudini specializate, auditorul trebuie sa consulte un profesionist care poseda astfel de aptitudini si care poate face parte fie din personalul auditorului, fie din afara acestuia.

În concordanta cu Standardul 400 'Evaluarea riscurilor si controlului intern', auditorul trebuie sa obtina o intelegere suficienta s sistemului contabil si a sistemului de control intern pentru a planifica auditul si pentru a dezvolta o abordare reala a acestuia.

În planificarea partilor din audit ce pot fi afectate de mediul CIS al clientului, auditorul trebuie sa inteleaga semnificatia si complexitatea activitatilor CIS, si a disponibilitatii datelor ce se utilizeaza in audit. Aceasta intelegere include aspecte, cum ar fi:

Importanta si complexitatea procesarii computerizate a fiecarei aplicatii contabile semnificative.

Structura organizationala a activitatilor CIS ale clientului si masura concentrarii sau repartizarii procesului computerizat in cadrul intregii entitati, in mod special in cazul in care pot afecta separarea sarcinilor.

Disponibilitatea datelor.

Cand CIS-ul este semnificativ, auditorul trebuie sa obtina, de asemenea, o intelegere a mediului CIS si daca acesta poate influenta evaluarea riscurilor inerent si de control. Natura riscurilor si caracteristicile controlului intern in mediile CIS includ urmatoarele:

Lipsa dovezilor tranzactiei. Acolo unde un sistem complex de aplicatii executa un numar mare de pasi de procesare, acesta nu poate constitui o dovada completa. În consecinta, erorile cuprinse in programul logic al unei aplicatii pot fi dificil de detectat in timp util prin proceduri manuale.

Procesarea uniforma a tranzactiilor. Procesarea computerizata prelucreaza in mod uniform tranzactiile similare ce au aceleasi instructiuni de procesare. Astfel, erorile de redactare in mod obisnuit asociate procesarii manuale sunt in mod virtual eliminate. Dimpotriva, erorile de programare (sau alte erori sistematice in hardware sau software) vor avea ca rezultat in mod normal prelucrarea in mod incorect a tuturor tranzactiilor.

Lipsa separarii functiilor. Unele proceduri de control care in mod normal sunt executate manual de indivizi separati pot fi concentrate in CIS. În acest fel, un individ care are acces la programe, proceduri sau date computerizate poate executa functii incompatibile.

Potentialul aparitiei erorilor si neregularitatilor. Potentialul aparitiei erorilor umane in dezvoltarea, mentinerea si executarea CIS poate fi mai mare decat in sistemul manual, partial din cauza nivelului de detaliu, inerent in aceste activitati. De asemenea, potentialul indivizilor de a castiga accesul neautorizat la date sau de a altera datele fara o dovada vizibila poate fi mai mare in CIS decat in sistemele manuale. In plus, diminuarea implicarii umane in manevrarea tranzactiilor procesate in CIS poate reduce potentialul neobservarii erorilor si neregularitatilor.

Initierea sau executarea tranzactiilor. CIS poate include capacitatea de a initia sau poate cauza executia anumitor tipuri de tranzactii, in mod automat. Autorizarea acestor tranzactii sau proceduri poate sa nu fie documentata in acelasi mod cu acelea dintr-un sistem manual, iar autorizarea de catre management a acestor tranzactii poate fi implicita prin modul in care a fost proiectat CIS-ul si pentru modificarile ulterioare ale acestuia.

Dependenta de alte controale prin procesari computerizate. Procesarea computerizata poate produce rapoarte si alte elemente care sunt utilizate in efectuarea procedurilor manuale de control. Eficacitatea acestor proceduri manuale de control poate fi dependenta de eficacitatea controalelor asupra exhaustivitatii si exactitatii procesarii computerizate. În schimb, eficacitatea si operarea consecventa a controalelor asupra procesarii tranzactiilor in aplicatiile computerizate depinde adesea de eficacitatea controalelor CIS generale.

Potential de supraveghere sporita realizaza de conducere. CIS poate oferi conducerii o varietate de instrumente analitice care pot fi folosite pentru a revizui si supraveghea operatiile entitatii. Disponibilitatea acestor controale aditionale, daca este nevoie, poate ajuta la sporirea inregii structuri de control intern.

Potential de utilizare a tehnicilor de audit asistate de calculator. Procesarea si analizarea unei cantitati mari de date, utilizand calculatoarele, poate oferi auditorului oportunitati de aplicare a tehnicilor si instrumentelor de audit asistate de calculator generale sau specializate in executarea testelor de audit.

Auditorul trebuie sa faca o evaluare a riscului inerent si a riscului de control pentru asertiunile semnificative ale conducerii privind situatiile financiare.

Riscurile pot rezulta din deficiente ale activitatilor generale din CIS, cum ar fi dezvoltarea si intretinerea programelor, suportul sistemelor software, securitatea fizica a CIS si controlul asupra accesului la programe utilitare speciale.

Riscurile pot creste potentialul de aparitie a erorilor si activitatilor frauduloase in aplicatiile specifice, in bazele de date specifice sau in fisierele master, sau in activitatile specifice de procesare.

Obiectivele specifice ale auditorului nu se schimba daca datele contabile sunt procesate manual sau cu ajutorul computerului. Cu toate acestea, metodele de aplicare a procedurilor de audit pentru colectarea probelor pot fi influentate de metodele de procesare computerizata. Auditorul poate utiliza fie procedurile manuale de audit, tehnici de audit asistate de calculator, fie o combinatie intre cele doua pentru a obtine suficiente probe evidente.

Declaratia de Practica de Audit nr.1001 'Medii CIS - microcomputere neincluse in retea' are scopul de a ajuta auditorul sa implementeze Standardul 400 'Evaluarea riscurilor si controlul intern' si Declaratia de practica de audit 1008 'Evaluarea riscurilor si controlul intern - caracteristici si considerente CIS', prin descrierea sistemelor de microcomputere folosite ca puncte de lucru individuale (neincluse in retea). Declaratia descrie efectele microcomputerului asupra sistemului contabil si a controalelor interne conexe, precum si asupra procedurilor de audit.

Un microcomputer poate fi folosit in diferite configuratii. Acestea includ:

o       un punct de lucru neinclus in retea, operat de un singur utilizator sau de un numar de utilizatori in perioade de timp diferite;

o       un punct de lucru care este parte a unei retele locale de microcomputere; si

o       un punct de lucru conectat la un computer central.

Punctul de lucru neinclus in retea poate fi operat de un singur utilizator sau de un numar de utilizatori in perioade de timp diferite, prin accesarea acelorasi programe sau a unor programe diferite. Programele si datele sunt stocate in microcomputer sau in imediata apropiere si in general datele sunt introduse manual direct de la tastatura.

O retea locala este un aranjament in care doua sau mai multe microcomputere sunt legate impreuna prin utilizarea liniilor speciale de software si comunicatie. Tipic, unul dintre microcomputere va actiona ca server de retea. O retea locala permite utilizarea in comun a resurselor (sharing), cum ar fi facilitatile de stocare si imprimantele.

Deoarece considerentele si caracteristicile de control ale hardware-ului si software-ului sunt diferite atunci cand un microcomputer este conectat la alte computere, asemenea medii sunt descrise in alte suplimente la Standardul 400 'Evaluarea riscului si controlul intern'. Cu toate acestea, in masura in care un microcomputer care este conectat la alt computer poate fi, de asemenea, folosit ca un punct de lucru individual, informatiile din aceasta Declaratie sunt relevante.

Controlul intern in mediile de microcomputere

Programele de aplicatie - intr-un astfel de mediu - pot fi dezvoltate relativ repede de catre utilizatori care au numai abilitati de baza privind procesarea datelor. Pentru ca microcomputerele sunt orientate spre utilizatori finali individuali, gradul de acuratete si dependenta de informatiile financiare produse va depinde de controalele interne prescrise de catre conducere si adoptate de utilizator. De exemplu, atunci cand exista mai multi utilizatori ai unui singur microcomputer, fara controale adecvate, programele si datele stocate pe mijloacele de memorare permanente de catre un utilizator pot fi susceptibile la acces, folosire sau modificare neautorizata a continutului lor, sau furt de catre alti utilizatori.

Într-un mediu computerizat tipic, este posibil sa nu fie usor de stabilit distinctia dintre controalele generale CIS si controalele de aplicatie CIS.

Conducerea poate contribui la exploatarea eficienta a microcomputerelor neincluse in retea prin prescrierea si aplicarea politicilor pentru controlul si folosirea lor.

Din cauza caracteristicilor lor fizice, microcomputerele sunt susceptibile de furt, deteriorare fizica, acces neautorizat sau utilizare gresita. Acestea pot avea drept rezultat pierderea informatiilor stocate in microcomputer, de exemplu, date financiare vitale peentru sistemul contabil.

O metoda de securitate fizica este de a limita accesul la microcomputere, atunci cand nu sunt folosite, prin incuierea usilor sau prin aplicarea altor masuri de securitate in afara orelor de program. În plus, securitatea fizica a microcomputerelor poate fi asigurata, de exemplu, prin:

inchiderea microcomputerelor intr-un dulap de protectie sau intr-un invelis protector;

utilizarea unui sistem de alarma care este activat ori de cate ori microcomputerul este deconectat sau mutat de la locul lui;

fixarea microcomputerului de o masa; sau

instalarea unui mecanism de inchidere pentru a controla accesul la intrerupatorul de pornire/oprire. Acesta nu poate sa previna furtul, dar poate fi eficient in controlul folosirii neautorizate.

Programele si datele folosite de un microcomputer pot fi stocate pe medii de stocare permanente si temporare. Fizic, dischetele si cartusele pot fi scoase microcomputer, in timp ce hard-disk-urile sunt sigilate in mod normal in microcomputer sau intr-o unitate individuala atasata acestuia. Atunci cand un microcomputer este folosit de mai multe persoane, utilizatorii pot avea o poizitie diferita in ce priveste stocarea dischetelor de aplicatii pentru care ei sunt responsabili. Ca rezultat, dischete importante pot fi depozitate gresit, informatiile continute pot fi modificate fara autorizatie sau pot fi distruse.

Controlul asupra mediilor de stocare temporare poate fi realizat prin plasarea responsabilitatii pentru asemenea medii in sarcina personalului ale carui responsabilitati includ indatoriri de custode sau bibliotecar al software-ului. Controlul poate fi intarit suplimentar atunci cand este folosit un sistem de verificare la intrare si la iesire a programelor si a fisierelor de date, si atunci cand locurile de depozitare desemnate sunt inchise. Asemenea controale interne asigura ca mijloacele de stocare temporare nu sunt pierdute, gresit depozitate sau date personalului neautorizat. Controlul fizic asupra mijloacelor de stocare permanente este probabil cel mai bine realizat prin utilizarea dispozitivelor de inchidere.

În functie de natura programului si a fisierelor de date, este adecvat a se pastra copii curente ale dischetelor, cartuselor si hard-disk-urilor intr-un recipient neinflamabil fie la locul de desfasurare a activitatii, fie in afara acestuia sau in ambele locuri. Aceasta se aplica in mod egal sistemului de operare si software-ului util, precum si copiilor back-up ale hard-disk-urilor.

Cand microcomputerele sunt accesibile mai multor utilizatori, exista riscul ca programele si datele sa poata fi modificate fara autorizatie.

Pentru ca software-ul sistemului de operare al microcomputerului poate sa nu contina multe carecteristici de control si securitate, exista mai multe tehnici de control intern care pot fi construite in cadrul programelor de aplicatii ce asigura ca datele sunt procesate si citite doar autorizat si ca distrugerea accidentala a datelor este prevenita.

Folosirea unui director permite utilizatorului sa separe informatia pe medii de stocare permanente si temporare. Pentru informatiile critice si sensibile, aceasta tehnica poate fi suplimentata prin atribuirea de nume secrete fisierelor si prin 'ascunderea' acestora.

Cand microcomputerele sunt folosite de utilizatori multipli, o tehnica eficienta de control intern este folosirea parolelor, care determina gradul de acces acordat unui utilizator. Parola este atribuita si monitorizata de un angajat care este independent de sistemul specific pentru care aceasta se aplica.

Criptografia poate oferi un control eficient pentru protejarea programelor confidentiale si sensibile, precum si a informatiilor, de accesarea si modificarea neautorizata de catre utilizatori. Aceasta este folosita in general cand datele sensibile sunt transmise pe liniile de comunicatie, dar poate fi folosita si in cazul informatiei procesate de un microcomputer. Criptografia este procesul de transformare a programelor si informatiilor intr-o forma neinteligibila. Codificarea si decodificarea datelor cere folosirea unor programe speciale si a unui cod-cheie cunoscut numai de acei utilizatori autorizati pentru utilizarea programelor si datelor respective.

Un control suplimentar al accesului la informatiile confidentiale sau sensibile stocate pe medii de stocare permanente este copierea infprmatiilor pe o discheta sau un cartus si stergerea fisierelor de pe mediile de stocare permanente.

Microcomputerele sunt orientate catre utilizatori finali pentru dezvoltarea programelor de aplicatii, introducerea si procesarea datelor, precum si pentru generarea de rapoarte. Gradul de acuratete si de dependenta a informatiilor financiare produse se va baza pe controalele interne prescrise de conducere si adoptate de utilizatori, precum si pe controalele incluse in programele de aplicatii. Controalele de integritate a datelor si a software-ului pot asigura ca informatiile procesate nu contin erori si ca software-ul nu este susceptibil de manipulare neautorizata.

Integritatea datelor poate fi intarita prin incorporarea procedurilor de control intern, cum ar fi verificarile formatului, ale intervalului si verificarile incrucisate ale rezultatelor. O revizuire a software-ului achizitionat poate determina daca acesta contine facilitati de verificare si detectare adecvata a erorilor.

Documentatia scrisa adecvata a aplicatiilor ce sunt procesate pe microcomputer poate intari in mod suplimentar controalele de integritate a datelor si a software-ului.

Back-up-ul se refera la planurile facute de entitate pentru a obtine accesul la hardware, software si date comparabile in eventualitatea nereusitei, pierderii sau distrugerii lor. Este in mod special important pentru a stabili procedurile de back-up pentru utilizatori, pentru ca acestea sa fie executate in mod obisnuit.

Considerente luate in calcul in proiectarea de proceduri de control rentabile pentru microcomputerele individuale:

Controale generale CIS - separarea responsabilitatilor

Într-un mediu microcomputerizat, este obisnuit ca utilizatorii sa fie capabili sa execute doua sau mai multe din urmatoarele functii in sistemul contabil:

initierea si autorizarea documentelor sursa;

introducerea de date in sistem;

operarea computerului;

schimbarea programelor si a fisierelor de date;

folosirea sau distribuirea rezultatelor;si

modificarea sistemelor de operare.

Lipsa separarii functiilor intr-un mediu de microcomputere poate sa permita:

nedetectarea erorilor; si

comiterea si ascunderea fraudelor.

Controalele de aplicatie CIS

Existenta si folosirea controalelor de acces adecvate asupra software-ului, hardware-ului si fisierelor de date, combinate cu controlul asupra datelor initiale, procesarii si rezultatelor obtinute poate sa compenseze unele din carentele controalelor generale CIS in mediile de microcomputere. Controalele eficiente pot include:

un sistem al jurnalelor tranzactiilor si al echilibrarii loturilor;

supravegherea directa; si

reconcilierea conturilor de inregistrare sau a totalurilor defalcate.

Efectul unui mediu de microcomputere asupra procedurilor de audit

În general, riscul de control este mare in mediile de microcomputere.

În aceasta situatie, auditorul poate gasi ca este mai rentabil sa nu efectueze o analiza a controalelor generale CIS sau a controalelor de aplicatie CIS, ci sa-si concentreze eforturile asupra testelor de fond la/sau aproape de sfarsitul anului.

Tehnicile de audit asistate de calculator pot cuprinde utilizarea unui software al clientului care a fost supus analizei de catre auditor sau folosirea programelor programelor de software proprii ale auditorului.

În anumite circumstante,auditorul poate decide sa adopte o abordare diferita. Aceste circumstante pot cuprinde sistemele de microcomputere care proceseaza un numar mare de tranzactii, atunci cand ar fi mai rentabil sa execute un audit al datelor la o data preliminara.Acesta poate decide sa dezvolte o abordare a auditului ce include testarea acelor controale pe care el intentioneaza sa se bazeze.Exemple de astfel de proceduri de control:

Separarea functiilor.

Rotirea indatorilrilor intre angajati.

Reconcilierea soldurilor sistemului cu cpnturile de control din cartea mare.

Analizarea periodica de catre conducere a tabelului de procesare si a rapoartelor care idintifica persoanele care au folosit sistemul.

Amplasarea microcomputerului in raza vizuala a persoanei responsabile de controlul accesului la acesta.

Standardul de Audit nr.1002 'Medii CIS - sisteme computerizate on-line' are scopul de a ajuta auditorul sa implementeze Standardul 400 'Evaluarea riscurilor si controlului intern' si Declaratia de Practica de Audit 1008 'Evaluarea riscului si controlul intern - Caracteristici si considerente CIS' prin descrierea sistemelor computerizate on-line.

Sistemele computerizate care permit utilizatorilor sa acceseze date si programe direct prin dispozitive terminale sunt denumite sisteme computerizate on-line. Astfel de sisteme pot fi bazate pe computere principale, minicomputere sau microcomputere organizate intr-o retea.

Într-un sistem computerizat on-line, pot fi folosite mai multe tipuri de dispoizitive terminale:

(a)  Terminale cu scop general, cum ar fi:

Tastatura si ecranul de baza - folosite pentru introducerea datelor fara validare in cadrul terminalului si pentru afisarea datelor din sistemul computerizat pe ecran.

Terminalul inteligent - folosit pentru functiile tastaturii si ale ecranului de baza cu functii suplimentare de validare a datelor in cadrul terminalului, pastrarea jurnalelor tranzactiilor si executarea altor procesari locale.

Microcomputerele - folosite pentru oricare din functiile unui terminal inteligent cu capacitati de procesare si stocare locala suplimentare.

(b) Teminale cu scop special, cum ar fi:

Dispozitivele de la punctul de vanzare - folosite pentru a inregistra tranzactiile de vanzare atunci cand au loc si de a le transmite computerului principal

Bancomate - folosite pentru a initia, valida, inregistra, transmite si completa diferite tranzactii bancare.

Controlul intern intr-un sistem computerizat on-line

Controale generale ale CIS:

Controale ale accesului - proceduri proiectate pentru a limita accesul la programe si date.

Aceste proceduri de control al accesului includ folosirea parolelor si a software-ului specializat de control al accesului, cum ar fi monitoare on-line care pastreaza controlul asupra meniurilor, a tabelelor de autorizare, a parolelor, a fisierelor si programelor pe care utilizatorul are dreptul sa le acceseze.

Controale asupra parolelor.

Controalele de dezvoltare si intretinere a sistemului.

Controalele de programare.

Jurnalele tranzactiilor.

Controale de aplicatie CIS:

Autorizarea pre-procesarii.

Editarea dispozitivului terminal, teste de rezonabilitate si alte teste de validare.

Procedurile de separare a exercitiilor.

Controalele fisierelor.

Controalele fisierelor principale.

Echilibrare.

Într-un sistem computerizat on-line, urmatoarele aspecte sunt de importanta speciala pentru auditor:

Autorizarea, exhaustivitatea si acuratetea tranzactiilor on-line.

Integritatea inregistrarilor si procesarii, datorita accesului on-line al sistemului de catre multi utilizatori si programatori.

Modificarile in performanta procedurilor de audit, inclusiv folosirea tehnicilor de audit asistate de calculator (CAAT-urile) datorate unor aspecte cum ar fi:

nevoia, in sistemele computerizate on-line, de auditori cu abilitati tehnice;

efectul sistemului computerizat on-line asupra duratei procedurilor de audit;

lipsa probelor vizibile ale tranzactiilor;

procedurile efectuate in timpul etapei de planificare a auditului;

procedurile de audit executate in mod concomitent cu procesarea on-line;

procedurile executate dupa ce procesarea datelor a avut loc.

Procedurile efectuate in timpul etapei de planificare pot cuprinde:

Participarea in echipa de audit a indiviziolor cu experienta profesionala tehnica in sisteme computerizate on-line si in controale conexe.

Determinarea preliminara ain timpul procesului de evaluare a riscului, a impactului sistemului asupra procedurilor de audit. În general, intr-un sistem computerizat on-line bine proiectat si controlat, este probabil ca auditorul sa se bazeze mult pe controalele interne din sistem in determinarea naturii, duratei si intinderii procedurilor de audit.

Procedurile de audit executate concomitent cu procesarea on-line pot cuprinde verificarea conformitatii controalelor asupra aplicatiilor on-line. De exemplu, aceasta se realizeaza prin introducerea tranzactiilor test la dispozitivele terminale on-line sau prin utilizarea software-ului de audit.

Procedurile executate dupa ce procesarea datelor a avut loc pot cuprinde:

Testarea conformitatii controalelor asupra tranzactiilor introduse in sistem in ce priveste autorizarea, exhaustivitatea si acuratetea lor.

Teste de fond ale tranzactiilor si rezultatelor de procesare mai degraba decat teste ale controalelor, daca primele pot fi mai rentabile sau acolo unde sistemul nu este bine proiectat si controlat.

Caracteristicile sistemelor computerizate on-line permit sa fie mai eficace pentru auditor sa execute o analiza de preimplementare a noilor aplicatii contabile on-line decat sa verifice aplicatiile dupa instalare.

Standardul de audit nr.1003 'Medii CIS - sisteme de baze de date' are scopul de a ajuta auditorul sa implementeze Standardul 400 'Evaluarea riscurilor si controlul intern', precum si Declaratia de Practica de Audit 1008 'Evaluarea riscului si controlul intern - caracteristici si considerente CIS', prin descrierea sistemelor de baze de date.

Sistemele de baze de date sunt compuse in principal din doua componente esentiale - baza de date si sistemul de gestionare al bazei de date (DBMS). Sistemele de baze de date interactioneaza cu alte elemente de hardware si software ale sistemului informatic general.

Sistemele de baze de date pot fi stocate in orice fel de sistem informatic, inclusiv intr-un sistem informatic cu microcalculatoare. În anumite medii microinfoirmatice, sistemele de baze de date sunt utilizate de un singur utilizator. Astfele de sisteme nu sunt considerate a fi baze de date in scopul acestei Declaratii. Cu toate acestea, continutul acestei Declaratii este aplicabil tuturor mediilor cu utilizatori multipli.

Sistemele de baze de date se disting prin doua caracteristici importante: utilizarea in comun a datelor (sharing) si independenta datelor. Aceste caracteristici solicita utilizarea unui dictionar de date si stabilirea unei functii de administrare a bazei de date.

În general, controlul intern intr-o baza de date necesita controale efective asupra bazei de date, a DBMS-ului si a aplicatiilor. Gradul de eficacitate al controalelor interne depinde intr-o mare masura de natura sarcinilor de administrare a bazei de date (paragrafele 11-14 ale Declaratiei) si a modului cum sunt efectuate.

Controalele generale CIS care au o importanta particulara in mediul de baze de date pot fi clasificate in urmatoarele grupe:

abordarea standard pentru dezvoltarea si mentinerea programelor de aplicatii;

informatii despre proprietarul datelor;

accesul la baza de date;

separarea responsabilitatilor.

Efectul bazelor de date asupra sistemului contabil si asupra controalelor interne aferente

Efectul bazelor de date asupra sistemului contabil si riscurile asociate vor depinde in general de:

masura in care bazele de date sunt utilizate de aplicatiile contabile;

tipul si importanta tranzactiilor financiare care sunt procesate;

natura bazei de date, DBMS-ul (inclusiv dictionarul de date), sarcinile administrarii bazei de date si aplicatiile (de exemplu, actualizarile on-line); si

controalele generale CIS care sunt importante in special intr-un mediu de baze de date.

Sistemele de baze de date ofera in general posibilitatea unei mai mari fiabilitati a datelor fata de celelalte sisteme. Aceasta are ca rezultat o scadere a riscului unei fraude sau erori in sistemul contabil in care sunt utilizate bazele de date. Urmatorii factori, combinati cu controale adecvate, contribuie la aceasta fiabilitate sporita a datelor:

Consistenta sporita a datelor este obtinuta, deoarece datele sunt inregistrate si actualizate o singura data, spre deosebire de alte sisteme, unde aceleasi date sunt stocate in cateva fisiere si actualizate la momente diferite de diferite programe.

Integritatea datelor va fi imbunatatita de utilizarea efectiva a facilitatilor incluse in DBMS, cum ar fi recuperarea, rutine de repornire, rutine de editare generalizata si de validare, precum si trasaturile de securitate si control.

Alte functii disponibile prin DBMS pot facilita procedurile de control si audit. Aceste functii cuprind generatori de raport, care pot fi utilizati pentru a crea rapoarte de solduri, precum si intrebari care pot fi utilizate pentru a identifica neconcordantele din date.

Alternativ, riscul de frauda sau eroare poate creste, daca sistemele de baze de date sunt utilizate fara un control adecvat. Într-un sistem care nu se bazeaza pe baze de date, controalele exercitate de utilizatori individuali pot compensa carentele controalelor generale CIS. Totusi, intr-un sistem de baze de date, acest lucru nu este posibil, asa cum controalele inadecvate ale administrarii bazei de date nu pot intotdeauna sa fie compensate de utilizatori individuali.

Efectul bazelor de date asupra procedurilor de audit

Într-un sistem de baze de date, procedurile de audit vor fi afectate in principal de masura in care datele din baza de date sunt utilizate de sistemul contabil. În situatia in care aplicatii contabile importante utilizeaza o baza de date comuna, auditorul poate considera a fi mai putin costisitor sa utilizeze unele din procedurile prezentate in continuare.

Pentru a intelege mediul de control al bazei de date si fluxul de tranzactii, auditorul poate lua in considerare efectul urmatoarelor riscuri de audit in planificarea auditului:

DBMS-ul si aplicatiile contabile importante ce folosesc baza de date;

standardele si procedurile pentru dezvoltarea si mentinerea programelor de aplicatii folosind baza de date;

functia de administrarea a bazei de date;

fisele posturilor, standardele si procedurile pentru acei indivizi responsabili cu asigurarea suportului tehnic, proiectarii, administrarii si operarii bazei de date;

procedurile utilizate pentru asigurarea integritatii, securitatii si exhaustivitatii informatiei financiare cuprinse in baza de date; si

disponibilitatea facilitatilor pentru audit cuprinse in DBMS.

Daca auditorul decide ca se poate baza pe controalele interne legate de utilizarea bazelor de date in sistemul contabil, acesta va proiecta si efectua teste de conformitate adecvate. În aceasta situatie, procedurile de audit pot include utilizarea de functii din cadrul DBMS, insa auditorul va trebui sa obtina asigurari rezonabile in ceea ce priveste functionarea lor corecta.

Acolo unde auditorul decide ca nu se poate baza pe controalele din sistemul bazei de date, va lua in considerare daca efectuarea de teste de detaliu aditionale asupra tuturor aplicatiilor contabile importante care utilizeaza baza de date va satisface obiectivul de audit, deoarece controalele inadecvate ale administrarii bazei de date nu pot fi mereu compensate de utilizatorii individuali.

Standardul de Audit 1008 'Evaluarea riscurilor si controlul intern - caracteristici si considerente CIS'

Introducerea tuturor controalelor CIS dorite nu poate fi pusa in practica atunci cand dimensiunea afacerii este redusa sau atunci cand microcomputerele sunt folosite independent de dimensiunea afacerii.

În cazul in care datele sunt procesate de o terta persoana, luarea in considerare a caracteristicilor mediului CIS poate varia in functie de gradul de acces la procesarea efectuata de tert.

Structura organizationala - Caracteristicile unei structuri organizationale CIS includ:

(a)    Concentrarea functiilor si a cunostintelor - desi majoritatea sistemelor care apeleaza la metodele CIS vor include si operatii manuale, in general numarul persoanelor implicate in activitatea de procesare a informatiilor financiare este redus semnificativ.

(b)   Concentrarea programelor si a datelor - datele privind tranzactiile si datele permanente sunt adesea concentrate, de obicei sub forma de date ce pot fi citite de computere, fie intr-un computer central, sau intr-un numar de computere distribuite intr-o entitate. Programele de computer care asigura posibilitatea de a obtine acces sau de a modifica astfel de date sunt, de regula, stocate in acelasi loc ca si datele. De aceea, in absenta unor controale adecvate, exista un potential crescut al accesarii neautorizate si al modificarii programelor si datelor.

Natura procesarii - caracteristicile sistemului care pot rezulta din natura procesarii CIS includ:

(a)  Absenta documentelor de intrare

(b) Lipsa unei dovezi vizibile a tranzactiei

(c)  Lipsa unor iesiri vizibile

(d) Usurinta de a accesa datele si programele pentru calculator.

Aspecte referitoare la design si aspecte procedurale:

(a) Consecventa executiei

(b) Proceduri de control programate

(c)  Actualizarea unei singure tranzactii in fisiere multiple sau de baze de date

(d) Tranzactii generate de sisteme

(e)  Vulnerabilitatea mediilor de stocare a datelor si programelor

Controale interne intr-un mediu CIS

Controalele interne asupra procesarii computerizate, care ajuta ca obiectivele generale ale controlului intern sa fie atinse, includ atat proceduri manuale, cat si proceduri incluse in programe pentru computer. Astfel de proceduri de control, manuale si computerizate, cuprind controalele generale care afecteaza mediul CIS si

controalele specifice asupra aplicatiilor contabile.

Controale generale CIS - au scopul de a stabili un cadru de lucru pentru controalele generale aplicate activitatilor CIS si de a asigura un nivel de siguranta rezonabil pentru atingerea obiectivelor generale ale controlului intern. Ele pot include:

(a)  Controale ale organizarii si conducerii - concepute sa stabileasca un cadru de lucru organizational pentru activitatile CIS, inclusiv:

Politici si proceduri referitoare la functiile de control;

Împartirea adecvata a functiilor incompatibile.

(b) Dezvoltarea sistemelor de aplicatii si controale de intretinere - concepute sa ofere o siguranta rezonabila, in sensul ca aceste sisteme sunt dezvoltate si mentinute de o maniera autorizata si eficienta. De asemenea, ele sunt tipic concepute, cu scopul de a stabili un control asupra:

Testarii, conversiei, implementarii si documentarii pentru sistemele noi sau pentru cele revizuite;

Modificarilor sistemelor de aplicatii;

Accesului la documentatia sistemelor;

Achizitionarii sistemelor de aplicatii de la terte parti.

(c)  Controlul operatiunilor computerizate - conceput sa controleze operarea sistemelor si sa ofere o siguranta rezonabila in ceea ce priveste faptul ca:

Sistemele sunt utilizate numai pentru scopuri autorizate;

Accesul la operatiunile computerizate este limitat la personalul autorizat;

Sunt utilizate numai programe autorizate;

Erorile de procesare sunt detectate si corectate.

(d) Controlul software-ului de sistem - conceput sa ofere o siguranta rezonabila ca software-ul de sistem este obtinut sau dezvoltat intr-o maniera autorizata si eficienta, incluzand:

Autorizarea, aprobarea, testarea, implementarea si documentatia pentru noile pachete de software de sistem si pentru modificarile aduse pachetelor de soft existente;

Limitarea accesului la software-ul si documentatia de sistem numai la persoanele autorizate.

(e)  Controlul intrarilor de date si al programelor - conceput sa ofere o siguranta rezonabila privind faptul ca:

Este stabilita o structura de acordare a autorizarii pentru tranzactiile care sunt introduse in sistem;

Accesul la date si programe este interzis personalului neautorizat.

Controale-aplicatii CIS - au scopul de a stabili proceduri de control specifice pentru aplicatiile contabile in vederea oferirii unei sigurante rezonabile ca toate tranzactiile sunt autorizate, inregistrate si procesate complet, corect si la timp. Ele includ:

(a)  Controale asupra intrarilor - concepute sa ofere o asigurare rezonabila ca:

Tranzactiile sunt corect autorizate inainte de a fi procesate de catre computer;

Tranzactiile sunt corect convertite intr-o forma ce poate fi citita de computer si inregistrate intr-un fisier de date intr-un computer;

Tranzactiile nu sunt pierdute, adaugate, duplicate sau modificate gresit;

Tranzactiile incorecte sunt respinse, corectate sau, daca este necesar, trimise inapoi la timp.

(b) Controale asupra procesarii si asupra fisierelor de date - concepute sa ofere o asigurare rezonabila ca:

Tranzactiile, inclusiv cele generate de sistem, sunt corect procesate de catre computer;

Tranzactiile nu sunt pierdute, adaugate, duplicate sau modificate intr-o maniera necorespunzatoare;

Erorile de procesare sunt identificate si corectate la timp.

(c)  Controale asupra iesirilor - concepute sa ofere o asigurare rezonabila in ceea ce priveste faptul ca:

Rezultatele procesarii sunt corecte;

Accesul la informatiile iesite este interzis personalului neautorizat;

Informatiile prelucrate sunt puse la timp la dispozitia personalului autorizat.