Auditul financiar în sistemele de informații computerizate (CIS)

Auditul financiar in societatile comerciale in care functioneaza sisteme de informatie computerizate (CIS) se realizeaza in cadrul unui set de reglementari prevazute de legislatia de profil si de standardele internationale de audit (ISA), respectiv:

- ISA nr. 250 – “Rolul legislatiei si reglementarilor in vigoare in auditul situatiilor financiare” (Considerations of Laws and Regulations in an Audit of Financial Statements)

- ISA nr. 401 – “Auditul intr-un mediu de sisteme de informatii computerizate” (Auditing in a Computer Information Systems Environment)

- ISA nr. 1008 – “Evaluarea riscurilor si controlul intern – Caracteristici si considerente CIS” (Risk Assessments and Internal Control – CIS Characteristics and Considerations)

- ISA nr. 1009 – “Tehnici de audit asistate de calclator”

Toate aceste standarde au ca punct comun de debut structura organizationala a entitatii patrimoniale ca subiect de audit, structura proprie de conducere a activitatilor CIS, caracteristicile sistemului si natura procesarii.

Procesarea datelor in CIS

Potrivit ISA nr. 1008, preluarea si prelucrarea datelor si informatiilor, inregistrarea in conturi a modificarilor ce se produc in elementele bilantului, ca efect al tranzactiilor incheiate de societate, procedurile diferite ce se folosesc in CIS in comparatie cu procedurile contabilitatii traditionale, particularizeaza CIS prin urmatoarele trasaturi:

- Absenta documentelor de intrare (justificative), asemanator procesarii in sistemele de tranzactionare on-line;

- Absenta probelor materiale de derulare a tranzactiilor, numeroase programe fiind concepute cu conservarea informatiilor numai sub forma de fisier in calculator, iar dupa un timp listarea sau, dupa caz, memorizarea externa si arhivarea lor pe CD;

- Absenta unor iesiri vizibile, rezultatele procesarii informatiilor de intrare neputandu-se examina vizual sau numai cu acces limitat la date de sinteza.

Mediul de audit in sistemele de informatii computerizate este definit in ISA nr. 401, in felul urmator:

“Un mediu de audit CIS functioneaza in firmele in care un computer de orice tip sau marime este implicat in prelucrarea de catre entitate a informatiilor financiare semnificative pentru audit, indiferent daca acel computer este folosit de entitatea propriu-zisa sau de catre o terta parte.” (401.1)

Utilizarea computerului modifica modul de procesare, stocare si comunicare a informatiilor financiare si, dupa caz, dematerializarea informatiei si comunicatiei poate afecta sistemele contabil si de control intern, considerarea riscului inerent si a celui de control, planificarea si performanta testelor de control si a procedurilor de fond. Pentru aceste considerente “auditorul trebuie sa aiba cunostinte suficiente despre CIS pentru a planifica, a conduce, a supraveghea si a revizui activitatea desfasurata”. (401.4)

Obiectivele generale si procesul de audit al situatiilor financiare elaborate prin sistemele CIS nu difera structural de etapele si procedurile comune. Exceptiile apar numai din necesitatea cunoasterii de catre auditor a programelor de prelucrare, a intelegerii functionarii acestora pas cu pas, precum si a modului in care, pe masura derularii fiecarui program, sunt satisfacute cerintele utilizatorului .

Proceduri de audit in medii de sisteme de informatii computerizate CIS

Controlul intern prin intermediul prelucrarii computerizate, care contribuie la realizarea obiectivelor globale ale procesului de audit, include atat proceduri manuale, cat si proceduri caracteristice programelor computerizate. Aceste proceduri de control cuprind actiunile globale de control, care influenteaza cadrul CIS (controale generale CIS) si actiunile specifice de control asupra aplicatiilor contabile (controale de aplicatii CIS).

Obiectivele sistemului de control intern al CIS se refera la:

- Conformitatea activitatii conducerii intreprinderii/societatii-mama/sucursalei, etc., cu obiectul de activitate pe care aceasta il are prevazut si corespunde cu hotararile organelor statutare;

- Protectia activelor si pasivelor entitatii;

- Corectitudinea informatiilor/datelor.

Un sistem CIS in care sunt utilizate calculatoare personale este, in general, mai putin structurat decat un mediu CIS controlat central. In primul rand, programele de aplicatie pot fi dezvoltate relativ repede de catre utilizatorii care au numai abilitati de baza privind procesarea datelor. In asemenea cazuri, controalele asupra procesului de dezvoltare a sistemului (de exemplu, documentatia adecvata) si asupra operatiunilor (de exemplu, procedurile de control al accesului) care sunt esentiale pentru controlul eficient al unui mare mediu computerizat, pot sa nu fie privite de catre cel care le-a dezvoltat, utilizator sau conducere, ca fiind atat de importante sau rentabile intr-un mediu informatizat. Cu toate acestea, pentru ca datele sunt procesate pe un computer, utilizatorii unor asemenea date pot avea tendinta de a plasa o siguranta nejustificata pe informatiile financiare stocate sau generate de un microcomputer. Pentru ca PC-urile sunt orientate spre utilizatori finali individuali, gradul de acuratete si dependenta de informatiile financiare produse va depinde de controalele interne prescrise de catre conducere si adoptate de utilizator. De exemplu, atunci cand exista mai multi utilizatori ai unui singur calculator, fara controale adecvate, programele si datele stocate pe mijloacele de memorare permanente de catre un utilizator pot fi susceptibile la acces, folosire sau modificare neautorizata a continutului lor, sau furt de catre alti utilizatori.

Sistemul de control intern al departamentului IT actioneaza in stransa concordanta cu obiectivele auditului financiar, acestea constituindu-se intr-un ansamblu de controale generale si controale specifice.

Controlul general se refera la organizarea CIS si la componentele acestuia, chiar daca nu se afla in directa legatura cu elementele situatiilor financiare.

Controlul specific are in vedere procedurile automatizate care gestioneaza si elaboreaza informatiile si datele referitoare la evidenta contabila.

In mod deosebit, controlul specific are urmatoarele obiective:

- Fiecare eveniment, tranzactie sau operatie gestionara trebuie sa-si gaseasca reflectarea corespunzatoare in contabilitate;

- Fiecare inregistrare in evidenta contabila trebuie sa fie identificabila cu evenimentul sau tranzactia pe care a generat-o;

- Fiecare inregistrare in evidenta contabila trebuie sa fie elaborata si recunoscuta in conformitate cu principiile contabile.