Auditul Componentei Financiar Contabile a Sistemului Informatic
Auditul componentei financiar contabile a
sistemului informatic
CUPRINS
CAPITOLUL 1. Platforma IT pentru sistemele informatice financiar contabile…………………2
Prezentarea generalǎ a sistemului informatic –Charisma……………………………………2
Auditul sistemului informatic………………………………………………………………………..11
CAPITOLUL 2. Analiza de scoring pentru evaluarea clienților și acordarea creditelor…….26
Credit scoringul…………………………………………………………………………………………26
Model de analizǎ și evaluare a riscului de creditare………………………………………..28
Indicatori utilizați în aprecierea globalǎ a riscului bancar. Sistemul de rating CAAMPL………………………………………………………………………………………………………………….33
2.3.1. Adecvarea capitalului…………………………………………………………………………34
2.3.2. Calitatea acționariatului……………………………………………………………………. 36
2.3.3. Calitatea activelor……………………………………………………………………………..38
2.4. Studii de caz………………………………………………………………………………………………….43
2.4.1. Analiza de bonitatea a unui client persoanǎ fizicǎ în vederea obținerii unui credit de la Unicredit Țiriac Bank……………………………………………………………………………………… 43
2.4.2. Analiza de bonitatea a unui client persoanǎ juridicǎ în vederea obținerii unui credit de la Unicredit Țiriac Bank……………………………………………………………………………………….50
CAPITOLUL 3. Proceduri de audit pentru evaluarea funcționalitǎții sistemului IT………….52
3.1. Obiective generale și obiective specifice ale auditului IT……………………………………52
3.2. Etapele auditului sistemelor informatice…………………………………………………………..54
3.3. Evaluarea sistemelor informatice financiar-contabile ………………………………………..66
3.4. Evaluarea aplicației și evaluarea riscurilor………………………………………………………..70
CAPITOLUL 4. Concluzii……………………………………………………………………………………………….75
BIBLIOGRAFIE…………………………………………………………………………………………………………….77
CAPITOLUL 1. Platforma IT pentru sisteme informatice financiar bancare
Prezentarea generala a sistemului informatic – Charisma
Charisma ERP 2014 este un sistem informatic integrat destinat managementului resurse-lor companiiilor de orice dimensiune, în vederea optimizării și simplificării proceselor interne de business. Charisma ERP este un sistem multi-modul, special proiectat pentru a oferi suport tuturor sectoarelor de business dintr-o companie, prin standardizarea proceselor decizionale sau producti-ve, și prin introducerea celor mai bune practici specifice fiecărui sector de activitate în parte.
Flexibilitatea și ușurința adaptării la legislația și la mediul de afaceri românesc a transfo-rmat soluția Charisma ERP în cel mai bine vândut sistem informatic integrat la nivel de midmarket din România. În prezent, Charisma ERP susține operațiunile celor mai puternice organizații din sectoare ca distribuție, retail, vânzări și achiziții, producție, transport, medical – farmaceutic, cons-trucții sau servicii.
Charisma ERP are implementări complexe în 11 țări europene, printre care Polonia, Ser-bia, Rusia, Ungaria, Cehia, Grecia, Republica Moldova, Ucraina, Albania și Bulgaria.
Companii care utilizează Charisma ERP: RaiffeisenLeasing; BMW; TBILeasing; Agroa-lim; Caroli; Germanos; Cosmote; SensiBlue; Eurolines; ISTA; Unicredit Tiriac Bank; etc.
Beneficii aduse de acest program:
Trasabilitate – sistemul permite urmărirea evoluției oricărui document primar din com-panie (din ce a fost generat, ce alte documente a generat, în ce module a fost folosit, etc.) precum și a persoanelor care lucrează și realizează modificări în baza de date.
Integrabilitate – soluția integrează întreaga activitate a unei companii într-un sistem u-nitar cu o baza de date unică.
Flexibilitate – sistemul se mulează pe activitatea companiilor din toate domeniile de ac-tivitate, datorită extensiilor specifice, flexibile și rapid configurabile de care dispune (retail, leasing contracte, rate, credite, asigurări, producție, service, parc-auto, managementul flotelor, resurse u-mane și salarizare)
Modularitate – structura pachetului este modulară, fiecare aspect al activității unei com-panii fiind tratat într-un mod specific și adecvat.
Scalabilitate și fiabilitate – se poate porni de la o configurație minimă, module supli-mentare putând fi adăugate ulterior. În plus, pachetul software nu necesită transformări în cazul u-nor modificări esențiale ale dimensiunii și complexității companiei.
Securitate – sistemul asigură un nivel avansat de securitate, drepturile sau restricțiile utilizatorilor ajungând până la nivelul câmpurilor din baza de date.
Configurabilitate ridicată în ceea ce privește tranzacțiile, modelele de contare, rapoar-tele specifice, planurile de conturi, centrele de cost.
Adaptabilitate – sistemul, deși inițial a fost dezvoltat pentru piața romanească, este im-plementat cu succes în companii din Polonia, Serbia, Albania, Turcia, Grecia, adaptându-se la me-diul de afaceri și la legislația specifică acestor țări.
Raportare – sistemul asigură proiecția întregii activități în setul de documente tip – ra-portările impuse de legislație, raportări specifice, documentele prevăzute de procedurile interne – eliminând astfel inconsistențele și redundanțele.
Sistemul Charisma ERP este structurat pe trei nivele:
1. Charisma Core Business, este pachetul de bază și nucleul Charismei ERP, fiind per-fect compatibil cu specificul oricărui sector de activitate. Orice implementare a sistemului Cha-risma ERP trebuie să includă obligatoriu acest nucleu, fără de care restul modulelor nu funcțio-nează. Soluția este formată din opt module distincte, perfect integrate între ele, care au fost adap-tate în timp proceselor critice din diverse verticale de business: Contabilitate, Financiar, Mijloace Fixe, Vânzări, Achiziții, Stocuri, Bugete, și Comerț Exterior.
Modulele adiționale Charisma ERP adaptează nucleul și întreaga soluție Charisma ERP la specificul de business al oricărei organizații, indiferent de dimensiune sau complexitate. În pre-zent există numeroase module adiționale, proiectate special pentru a acoperi nevoi specifice celor mai importante domenii de activitate: Financiar – bancar, Servicii, Distribuție, Retail, Producție, Medical-farmaceutic, Construcții, Proiectare, sau Utilități.
Pe lângă modulele adiționale, Charisma ERP se integrează nativ cu toate soluțiile din ca-drul Charismei Business Suite, formând cea mai puternică suită de aplicații de afaceri adaptată le-gislației și nevoilor pieței românești. Astfel, soluții precum Charisma Analyzer, Charisma Medi-cal Software, Charisma HCM, Charisma Office Automation, Charisma Cost Control, Charisma Col-lection, CRM, sau Primavera oferă organizațiilor de orice dimensiune, transparența și agilitatea necesare luării celor mai bune decizii strategice.
Modulul Contabilitate este o soluție software robustă, ce adună datele din toate module o-peraționale ale sistemului Charisma ERP și le integrează într-o formă contabilă. Indiferent de structura, dimensiunea, cadrul internațional, limba, moneda sau planul de conturi al companiei, modulul are capacitatea de a furniza centralizat date financiare, informații esențiale despre poziția financiară a companiei, sau despre rezultatele și evoluția performanței financiare în timp.
Modulul Financiar este un instrument puternic și complex de monitorizare a fluxurilor de bani prezente și viitoare din cadrul unei companii, pe ansamblul ei sau pe subunități componente. Astfel, informațiile obținute din integrarea tuturor datelor relevante despre circulația banilor în ca-drul companiei pot fi utilizate pentru analiza activității anterioare și pentru eficientizarea opera-țiunilor viitoare.
Modulul Vânzări este o componentă obligatorie a sistemului integrat Charisma ERP, spe-cial proiectată pentru asigurarea unei gestionări corecte și eficiente a activitățiilor de vânzare spe-cifice fiecărui sector de activitate. Modulul automatizează și centralizează cererile de ofertă, ofer-tele, comenzile, facturile, avizele, campaniile de discount-uri sau promoții, tipurile de clienți, zo-nele de vânzare, sau zonele de livrare.
Modulul Achiziții acoperă toate funționalitățile de bază ale unui sistem informatic integrat destinat automatizării și optimizării proceselor de aprovizionare și achiziție, de la cererea de achi-ziționare a unui articol, și până la intrarea în gestiune a articolelor achiziționate. Modulul Achiziții este folosit de cele mai puternice organizații din România, fiind perfect adaptabil specificului ori-cărei companii, indiferent de dimensiune sau complexitate.
Modulul Imobilizări are rolul de a asigura urmărirea permanentă, corectă și eficientă a imobilizărilor corporale (mijloace fixe și obiecte de inventar) și a celor necorporale amortizabile (programe de calculator, licențe, brevete, mărci). Modulul Imobilizări oferă o imagine unitară a-supra mijloacelor fixe deținute de companie, dar și a alocărilor, cantităților, locațiilor, întreținerii sau deprecierii acestor mijloace fixe.
Modulul Bugete permite definirea, planificarea și controlul consolidat al bugetelor, pe pe-rioade distincte de timp, în organizații de orice dimensiune sau complexitate, indiferent de sectorul de activitate în care activează. Modulul Bugete se constituie într-un instrument puternic de eficien-tizare a activității financiare a unei companii, prin identificarea din timp a oportunităților de salva-re a banilor pentru cheltuieli cunoscute sau necunoscute din viitor.
Modulul Gestiune Stocuri are rolul de a asigura o monitorizare și administrare eficientă a stocurilor complexe de materii prime, materiale, produse finite și semifabricate, cât și a obiectelor de inventar. Modulul Gestiune Stocuri este implementat și utilizat cu succes în cele mai puternice organizații din România, fiind perfect adaptabil specificului oricărei companii, indiferent de di-mensiune, complexitate sau sector de activitate.
Modulul Comerț Exterior automatizează și optimizează toate operațiunile specifice acti-vităților de import și export, indiferent de sectorul de activitate. Modulul asigură urmărirea comen-zilor furnizorilor externi, a traseului mărfurilor, a activităților de lohn, a importurilor temporare sau permanente, a protocoalelor vamale în Uniunea Europeană, a taxelor și comisioanelor vamale, ofe-rind un suport esențial reducerea costurilor operaționale în organizații de orice dimensiune.
Modulul Bugete permite definirea, planificarea și controlul consolidat al bugetelor, pe perioade distincte de timp, în organizații de orice dimensiune sau complexitate, indiferent de sec-torul de activitate în care activează. Modulul Bugete se constituie într-un instrument puternic de eficientizare a activității financiare a unei companii, prin identificarea din timp a oportunităților de salvare a banilor pentru cheltuieli cunoscute sau necunoscute din viitor.
2. Module Adiționale
Modulul Stock Replenishment eficientizează și optimizează procesul de pregătire a sto-curilor oricărui tip de organizație pentru vânzăriile viitoare, anticipate și calculate în mod automat. Bazându-se pe istoria rulajelor și cererilor de la clienți, dar și pe constrângerile logice ale com-paniei, stocul se completează permanent, prin programări și comenzi la furnizori, sau prin relocare de marfă din depozitul central în sucursale, fără intervenția și efortul manual tradițional.
Modulul Leasing Operațional este o soluție flexibilă dedicată companiilor furnizoare de servicii financiare de leasing operațional, optimizând toate operațiunile aferente flotelor închiriate pe perioade determinate. Cu peste 80% cotă de piață, Charisma se detașează net pe segmentul lea-singului operațional, cele mai puternice companii de leasing operațional folosind cu succes această soluție.
Modulul Factoring aduce beneficiul integrării managementului contractelor de finanțare în regim factoring, crescând profitabilitatea și îmbunătățind portofoliul de clienți al companiei. Soluția administrează într-un mod flexibil liniile de creditare, produsele financiare valabile, cate-goriile de risc de încadrare a clienților, dar și mecanismele de calcul a dobânzilor sau discoun-turilor.
Modulul Credite este un produs dedicat administrării și optimizării creditelor de con-sum, ipotecare sau a cardurilor de credit acordate atât persoanelor fizice, în mod direct, cât și fir-melor, pentru finanțări de echipamente sau dezvoltarea unor afaceri în diverse domenii. Soluția a-coperă întreg fluxul operațional și financiar al acordării creditelor, contribuind semnificativ la eficientizarea procesului de creditare, și la reducerea birocrației și a costurilor operaționale.
3. MRP. Charisma MRP (Material Requirement Planning) este un produs absolut ne-cesar proceselor specifice companiilor de producție, care automatizează și optimizează plani-fica-rea aprovizionărilor și a gestiunii stocurilor. Bazându-se pe istoria procesului de aprovizionare, stocul se completează permanent, prin recomandări, programări și comenzi la furnizori, prin rezer-vări sau prin relocare de marfă din sediul central în filiale, totul într-un mod simplu și rapid, fără eforturi manuale inutile.
Modulul Refinanțare este o soluție software dedicată optimizării și simplificării operațiu-nilor cu contractele de finanțare a activităților interne sau a contractelor de leasing, eficientizând administrarea împrumuturilor de la acționari sau a creditelor bancare. Sistemul gestionează unitar toate liniile de finanțare și refinanțare, oferind o imagine unitară, transparentă, managementului companiei.
Modulul Asigurări este un produs software robust, complet, care optimizează adminis-trarea riscurilor privind patrimoniul, riscurile financiare, de răspundere civilă sau personale. Solu-ția oferă un set integrat de instrumente destinate urmăririi contractelor și polițelor de asigurare de orice tip (de bunuri, de risc financiar, Casco etc.) semnate între companie sau beneficiarul bunului, și orice firmă de asigurări (Asigurator).
Modulul Charisma Retail este cea mai complexă și populară soluție de tip POS (Point of Sale) din România, în special datorită flexibilității prin care acoperă rapid orice cerință opera-țională a unui punct de vânzare. Soluția permite optimizarea vânzărilor de produse prin diverse modalități, fiind destinată simplificării gestionării documentelor de vânzare și a instrumentelor financiare care apar în relația directă magazin – consumator final.
Charisma SelfService este o platformă de comunicare rapidă în eficientă, între organizație și partenerii de afaceri, clienți sau furnizori, care reduce costurile operaționale ale departamentelor de relații cu clienții, mărește satisfacția și loialitatea clienților companiei, eficientizează eforturile de marketing și pune bazele unor noi canale de venituri. Peste 200,000 de parteneri ai unor com-panii de servicii financiare, distribuție sau telecomunicații din România beneficiază de platforma Charisma SelfService.
Charisma Producție este un produs destinat companiilor producătoare de materiale, pro-duse finite și semi-fabricate, indiferent de tipul acestora. Parcurgând toate etapele de producție, de la lansarea tehnologică și antecalcul, urmărirea producției, și până la postcalcul, funcționalitățile modulului acoperă producția pe comenzi (serie mică), pe stoc (serie mare), sau producția de uni-cate. Soluția acoperă producția de tip asamblare (WorkShop), dar și producția de tip flux de proce-se (WorkFlow).
Charisma Workflow permite organizațiilor de orice dimensiune, să construiască procese complexe în mod rapid, fie prin accesul unei interfețe de browser web, fie direct în sistemul client al utilizatorului de back-office. Totodată, soluția permite definirea și automatizarea procesele de business, revizuirea fluxurilor de activități și automatizarea activităților legate de modulele Cha-risma ERP 2011.
Modulul Managementul Flotelor eficientizează gestiunea auto a vehiculelor, a camioa-nelor sau dubelor, proprietate a companiei sau aflate în grija unei firme specializate, reducând sem-nificativ costurile de operare și asigurând buna funcționare a acestora. Soluția automatizează cal-culul costurilor șoferilor și a traseelor de lucru, optimizând parcul auto și contribuind semnificativ la creșterea profitabilității companiei.
Modulul Broker Asigurări oferă un set complet de instrumente destinate urmăririi con-tractelor și polițelor de asigurare de orice tip în beneficiul clienților. Produsul minimizează riscu-rile privind patrimoniul, riscurile financiare, de răspundere civilă sau personale, fiind adaptată spe-cial nevoilor și fluxurilor de activitate specifice companiilor de brokeraj. Cell Monitor Charisma este imaginea grafică, intuitivă și actualizată a organizației dumneavoastră. Fără a fi nevoie de intervenția utilizatorului, indicatorii de performanță sau operaționali ai companiei își modifică valorile la secundă, în funcție de evoluția lor reală, și pot fi accesați în orice moment, din orice loc, prin orice tip de dispozitiv mobil cu acces Internet. Inclusiv prin IPad.
Modulul Credite este un produs dedicat administrării și optimizării creditelor de con-sum, ipotecare sau a cardurilor de credit acordate atât persoanelor fizice, în mod direct, cât și fir-melor, pentru finanțări de echipamente sau dezvoltarea unor afaceri în diverse domenii. Soluția a-coperă întreg fluxul operațional și financiar al acordării creditelor, contribuind semnificativ la efi-cientizarea procesului de creditare, și la reducerea birocrației și a costurilor operaționale.
Modulul Charisma Retail este cea mai complexă și populară soluție de tip POS (Point of Sale) din România, în special datorită flexibilității prin care acoperă rapid orice cerință opera-țională a unui punct de vânzare. Soluția permite optimizarea vânzărilor de produse prin diverse modalități, fiind destinată simplificării gestionării documentelor de vânzare și a instrumentelor fi-nanciare care apar în relația directă magazin – consumator final.
Charisma Mobile SFA (Sales Force Automation) este o soluție destinată automatizării și eficientizării procesului de vânzare, care pune la dispoziția forțelor de vânzare de pe teren toate informațiile necesare, în orice moment, din orice loc. Soluția permite preluarea comenzilor, urmă-rirea și controlul inventarului, fluxurile comenzilor, administrarea clienților, previzionarea vânză-rilor, precum și evaluarea performanței angajaților.
Modulul Stock Replenishment eficientizează și optimizează procesul de pregătire a stocurilor oricărui tip de organizație pentru vânzăriile viitoare, anticipate și calculate în mod au-tomat. Bazându-se pe istoria rulajelor și cererilor de la clienți, dar și pe constrângerile logice ale companiei, stocul se completează permanent, prin programări și comenzi la furnizori, sau prin relocare de marfă din depozitul central în sucursale, fără intervenția și efortul manual tradițional.
Charisma Warehouse Management este o soluție avansată de optimizare a stocurilor din depozite. Produsul permite eficientizarea fluxurilor de mărfuri și produse, recepția lor în gestiune, structurarea geometrică și logică a zonelor de depozitat, prelucrarea și dispunerea logis-tică a ambalajelor, precum și alegerea și livrarea pachetelor, în mod optim, către clienții finali. Charisma Warehouse Management este perfect adaptată companiilor din distribuție și retail, indi-ferent de dimensiune sau complexitate.
Charisma e-Shop este o platformă software avansată, proiectată special pentru a vă ajuta în comercializarea eficientă și profitabilă a produselor și serviciilor, fără restricție de timp sau spa-țiu, în mediul on-line. Produsul crește veniturile companiei, lărgește semnificativ aria de acoperire a afacerii, eficientizează eforturile de marketing, și ajută la creșterea satisfacției și loialității cli-enților.
Modulul e-Orders este o soluție software bazată pe o platformă web, destinată compa-niilor de distribuție, care permite plasarea comenzilor de către clienți, în baza ofertelor publicate, și care aduce diferențierea față de firmele concurente prin oferirea unui canal inovativ și alternativ de vânzare, integrându-se cu orice produs de gestiune de tip back-office.
Charisma MRP (Material Requirement Planning) este un produs absolut necesar pro-ceselor specifice companiilor de producție, care automatizează și optimizează planificarea apro-vizionărilor și a gestiunii stocurilor. Bazându-se pe istoria procesului de aprovizionare, stocul se completează permanent, prin recomandări, programări și comenzi la furnizori, prin rezervări sau prin relocare de marfă din sediul central în filiale, totul într-un mod simplu și rapid, fără eforturi manuale inutile.
Charisma Portfolio Management este un produs dedicat administrării lucrărilor, pro-iectelor și contractelor proprii ale companiilor de orice dimensiune. Soluția integrează și optimi-zează activitățile desfășurate între diverse entități ale unei companii, de la ofertare, negociere, sem-nare, urmărire, derulare, modificare, și până la finalizare. Perfect integrat cu Charisma ERP, modu-lul reduce riscurile specifice administrării proiectelor mari și eficientizează procesul de contractare a clienților, furnizorilor sau partenerilor de afaceri.
Auditul sistemului informatic financiar contabil
Auditarea sistemului informatic financiar-contabil constă în verificarea și controlul ac-tivităților sistemului respectiv care este practic un caz particular de sistem informatic economic. Sistemul informatic economic fiind, la rândul lui, un caz particular de sistem informatic, tehnicile și mecanismele de auditare a sistemelor informatice sunt valabile și pentru sistemele informatice economice, inclusiv pentru sistemele financiar- contabile. De aceea, la nivel de sinteză se va dis-cuta numai despre auditarea sistemelor informatice, ca fiind mai cuprinzătoare.
Pentru a înțelege procesul de audit al sistemului financiar- contabil, ca sistem economic, trebuie făcută distincție între auditul activităților economice desfășurate în cadrul unui organism economic și auditul sistemului informatic utilizat de organismul economic respectiv, pentru evi-dența activităților desfășurate și a bunurilor sale.
Auditul activităților economice desfășurate de un organism economic urmărește:
evidențierea tuturor activităților economice desfășurate, prin înregistrarea corectă a acestora, pe documente de evidență și control-suport de hârtie sau format electronic;
efectuarea prelucrărilor asupra datelor rezultate din activitățile economice desfă-șurate, în conformitate cu regulile de gestiune internă ale acestuia, cu normele, reglementările și legislația în vigoare;
generarea tuturor rapoartelor și situațiilor necesare factorilor de conducere (mana-gerilor) pentru a lua cele mai bune decizii;
determinarea valorii taxelor și impozitelor care trebuie plătite, conform legislației în vigoare;
întocmirea corectă a declarațiilor financiare, în conformitate cu legislația în vigoare.
Auditul activităților sistemului informatic, utilizat de un organism economic în desfă-șurarea activităților sale economice, urmărește:
asigurarea corectitudinii, completitudinii și preciziei datelor introduse în sistem, de-oarece afectează rezultatele prelucrărilor efectuate de acesta;
asigurarea corectitudinii prelucrărilor efectuate asupra datelor introduse în sistem, în sensul că rezultatele acestora respectă regulile de gestiune specifice organismului economic res-pectiv și legislația în vigoare;
asigurarea corectitudinii și integrității ieșirilor sistemului, în sensul că acestea sunt cele solicitate de managerii organismului economic respectiv și de organismele de control finan-ciar;
asigurarea corectitudinii procedurilor de control (controalelor) folosite pentru audi-tarea sistemului informatic respectiv.
Utilizarea sistemelor informatice în desfășurarea activităților lor economice și/sau pentru evidența și controlul acestora oferă organismelor economice atât avantaje, cât și dezavantaje. Principalele avantaje oferite de utilizarea sistemelor informatice de către organismele economice sunt:
îmbunătățirea preciziei rezultatelor prelucrărilor, prin eliminarea erorilor umane ca-re pot apărea într-un sistem manual de prelucrare și prin procesarea uniformă a datelor, pe măsura apariției acestora;
creșterea vitezei de procesare, prin prelucrarea automată a datelor și eliminarea tim-pilor de prelucrare manuală a acestora, oferind utilizatorilor informațiile solicitate, în momentul când aceștia au nevoie de ele;
eliminarea forței de muncă implicate în prelucrarea manuală a datelor, prin pre-lucrarea automată a acestora, folosind calculatorul;
sporirea volumului de informații oferite utilizatorilor într-un interval dat de timp, prin creșterea volumului de date prelucrat pe unitatea de timp determinată de prelucrarea automată a acestora;
sporirea diversității și complexității informațiilor oferite utilizatorilor, prin prelu-crarea automată a datelor și folosirea caracteristicilor grafice ale echipamentelor și programelor disponibile.
Principalele dezavantaje oferite organismelor economice de utilizarea sistemelor informa-tice în desfășurarea activităților lor, economice sau neeconomice (științifice, de proiectare etc.), se numără:
posibilitatea apariției unor defecte hardware, care pot determina pierderea datelor și, implicit, imposibilitatea de obținere, în timp util, a informațiilor bazate pe rezultatele prelucrării lor; pentru diminuarea efectelor produse de defectele tehnice, fabricanții integrează în echipamente protecții speciale;
posibilitatea apariției unor erori software, la nivelul programelor de aplicație, care pot conduce la rezultate incorecte, neobservate de către utilizator, deoarece acesta nu are control direct asupra prelucrării datelor; pentru depistarea și eliminarea acestui tip de erori, proiectanții integrează în programele de aplicație protecții speciale;
posibilitatea virusării programelor utilizate (software de sistem sau pentru dezvol-tarea de aplicații sau de utilizator), care poate determina pierderea sau alterarea datelor și/sau pro-gramelor, conducând astfel la imposibilitatea utilizării lor; pentru eliminarea efectelor determinate de viruși se utilizează pachete de programe (software) antivirus, puse pe piață de producători soft-ware specializați (Norton AntiVirus, MCAfee etc.);
posibilitatea de apariție a unor erori de manipulare a datelor și/sau a programelor, care poate determina pierderea și/sau alterarea acestora, însoțită de prelucrări greșite, și, implicit, rezultate incorecte care pot trece neobservate atât de către operator, cât și de către utilizator, deoa-rece aceștia nu au un control direct asupra prelucrărilor efectuate; pentru reducerea efectelor pro-duse de neglijența sau neatenția în manipularea datelor și/sau programelor se impun măsuri adec-vate de siguranță.
Prin urmare, capacitățile de prelucrare și precizia calculatorului nu asigură corectitudinea rezultatelor unui sistem informatic. Pentru verificarea rezultatelor prelucrărilor, la nivel de operator sau utilizator, sunt necesare tehnici și mecanisme speciale de audit, asistate sau nu de calculator, integrate sau nu în componentele sistemului de prelucrare automată a datelor utilizat.
Avantajele economice și informaționale oferite de utilizarea sistemelor informatice în desfășurarea activităților lor sunt mult mai importante pentru organismele economice decât deza-vantajele utilizării acestor sisteme, motiv pentru care acestea preferă să le folosească și să ia toate măsurile impuse de necesitatea eliminării, reducerii sau compensării efectelor dezavantajelor res-pective. Prin urmare, în condițiile în care organismele economice folosesc în activitatea lor sisteme electronice de calcul, economiștii trebuie să fie pregătiți să lucreze într-un mediu aflat într-o continuă schimbare, în care prelucrările, evidențele și controlul se fac folosind de la sisteme informatice simple, formate dintr-un singur sistem PC (calculator personal pe care sunt instalate programele necesare și imprimantă), până la sisteme informatice complexe, care includ rețele de PC-uri și echipamente periferice interconectate (intranet, internet, telecomunicații etc.). Pentru a fi competitivi, ei trebuie să își îmbogățească cunoștințele cu informații despre sistemele informatice folosite în mediul economic și despre auditarea acestora.
Pentru efectuarea controlului intern într-un sistem informatic se folosesc măsuri, metode și tehnici de verificare a corectitudinii rezultatelor prelucrărilor realizate în interiorul său, cunos-cute, în literatura de specialitate, sub denumirea de controale, mai precis controale de audit având în vedere rolul lor în procesul de audit al sistemului informatic respectiv. Altfel spus, controlul in-tern într-un sistem informatic se realizează cu ajutorul controalelor de audit.
În literatura de specialitate, controalele sistemelor informatice sunt clasificate în con-troale generale și controale de aplicație.
Controalele generale sunt măsuri de protecție a echipamentelor, datelor și programelor care privesc toate componentele unui sistem informatic (hardware și software) și pot fi de urmă-toarele tipuri:
controale organizatorice: măsuri organizatorice folosite pentru protecția la fraude, neatenție și/sau neglijență;
documentație de sistem, folosită pentru verificarea funcționării sistemului, în conformitate cu cerințele utilizatorului, specificate în proiectul de execuție;
controale hardware (controale de echipament): măsuri de protecție la defecțiunile tehnice;
controale de siguranță (echipamente și fișiere): măsuri de protecție la pierdere, distrugere sau alterare, la accesul neautorizat sau la calamități (apă, foc etc.).
Controalele de aplicație sunt tehnici de control specifice, integrate în software-ul de ap-licație (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea și protecția datelor stocate în sistemul respectiv și a rezultatelor prelucrărilor efectuate asupra acestor date. Se proiectează și se realizează o dată cu fiecare sistem informatic. Principalele tipuri de controale de aplicație sunt:
controale de intrare: măsuri de asigurare a corectitudinii intrărilor sistemului;
controale de prelucrare: măsuri de asigurare a corectitudinii prelucrărilor efectuate în interiorul sistemului;
controale de ieșire: măsuri de asigurare a corectitudinii ieșirilor sistemului.
Majoritatea erorilor identificate în rezultatele finale ale prelucrărilor efectuate de siste-mele informatice provin din software-ul de aplicație (de utilizator) folosit sau din introducerea ero-nată a datelor. Din acest motiv, controalele de aplicație joacă un rol major în asigurarea unui con-trol intern eficient în sistemul informatic.
Controalele organizatorice sunt metode și tehnici de organizare a activităților desfășurate de organismele economice, folosite pentru prevenirea pierderilor și/sau alterărilor de date deter-minate de fraudă, neatenție și/sau neglijență, în vederea asigurării unui control intern eficient în sistemele de prelucrare a datelor utilizate de acestea. Principalele tipuri de controale organizatorice sunt:
definirea clară a funcțiilor, urmată de definirea și separarea clară a sarcinilor an-gajaților pentru fiecare funcție;
rotația angajaților pe funcții și vacanțe obligatorii;
selecția angajaților care au acces la echipamentele și programele sistemului infor-matic și acordarea unui spor de fidelitate.
Schimbările produse de utilizarea unui sistem informatic în organizarea activităților des-fășurate de un organism economic trebuie să urmărească atât folosirea eficientă a echipamentelor și programelor componente ale sistemului informatic, cât și asigurarea unui control intern puternic în cadrul acestuia.
Controalele organizaționale joacă rolul-cheie în asigurarea unui control intern puternic în cadrul unui sistem informatic, în vederea prevenirii fraudelor, care au implicații majore asupra evoluției oricărui tip de organism economic. Ele sunt destul de eficiente în prevenirea fraudelor produse de un singur angajat, dar nu pot preveni fraudele în complicitate, foarte dificil de depistat. Dacă un angajat-cheie al organismului economic conspiră cu alți angajați în vederea comiterii unei fraude, controalele organizaționale interne care se bazează pe separarea sarcinilor și rotirea anga-jaților pe funcții devin inoperante. Dacă nu sunt descoperite în timp util, fraudele în complicitate conduc la falimentul organismului economic respectiv.
Controlul intern eficient într-un sistem informatic impune întocmirea și întreținerea unei documentații care trebuie să cuprindă:
aprobările pentru realizarea sistemului informatic inițial și pentru toate modificările ulterioare ale acestuia;
documentația completă, care să descrie, în detaliu, sistemul informatic și proce-durile folosite de acesta pentru prelucrarea și evidența datelor.
Documentația completă, bine întocmită, a sistemului informatic creează condițiile de asi-gurare a unui control intern eficient, prin faptul că:
pune instrucțiunile de operare la dispoziția tuturor utilizatorilor și operatorilor siste-mului informatic, pentru eliminarea, pe cât posibil, a erorilor de operare;
pune programele sursă la dispoziția programatorilor, pentru a crea posibilitatea de revizuire și adaptare ulterioară a sistemului informatic la nevoile de calcul și de control intern ale organismului economic respectiv;
pune logica de programare a sistemului informatic la dispoziția auditorilor, pentru a permite identificarea schimbărilor efectuate în sistemul informatic respectiv și a controalelor pre-văzute prin program.
Documentația sistemului informatic trebuie să cuprindă:
descrierea completă și inteligibilă a sistemului de prelucrare a datelor, inclusiv a diagramelor de sistem;
descrierea naturii intrărilor și ieșirilor;
descrierea operațiilor efectuate asupra datelor;
responsabilitățile pentru introducerea datelor, corectarea și reprocesarea datelor ero-nate, realizarea sarcinilor de control etc.
Documentația completă a sistemului informatic este necesară analiștilor de sistem, ingi-neri de sistem și programatori analiști, pentru depanare sau realizarea unor modificări. Operatorii calculatorului trebuie să aibă acces numai la manualul de operare, care conține instrucțiunile pen-tru introducerea datelor în sistem și pentru prelucrarea acestora. Dacă operatorii au acces la infor-mații de detaliu cu privire la software-ul de aplicație utilizat, cresc probabilitatea și posibilitatea ca aceștia să efectueze schimbări neautorizate în programul respectiv, care stau la baza fraudelor computerizate, cele mai periculoase pentru un organism economic.
Documentația completă a sistemului informatic utilizat de un organism economic este utilă și auditorilor de sisteme informatice, pentru:
determinarea logicii de prelucrare folosite de sistemul informatic auditat, în vederea identificării eventualelor erori de prelucrare produse în interiorul lui;
determinarea schimbărilor (modificărilor) efectuate în sistemul informatic auditat, după instalarea acestuia;
identificarea controalelor integrate în sistemul informatic auditat.
În plus, informațiile cuprinse în documentația unui sistem informatic ajută auditorii în dezvoltarea de teste sau programe generalizate de audit, necesare pentru testarea sistemelor de pre-lucrare automată a datelor utilizate de clienții lor.
Documentația sistemului informatic este indispensabilă utilizării, dezvoltării și auditării acestuia.
Pentru asigurarea unui control intern puternic și eficient, controalele de program pun la dispoziția grupului de control al organismului economic, a utilizatorilor sau auditorilor unui sis-tem informatic, mecanisme de verificare a prelucrărilor efectuate în interiorul acestuia, com-pensând faptul că nu dă acces direct celor interesați la prelucrările respective pentru a le verifica corectitudinea sau completitudinea. În plus, se impune, ca măsură de control, monitorizarea acti-vității operatorilor, cu scopul de a-i identifica pe cei care fac greșeli și a le ridica dreptul de acces în sistemul informatic.
Scopul controlului intern într-un sistem informatic îl constituie verificarea corectitudinii rezultatelor prelucrărilor realizate în interiorul său și distribuirea acestora, manual sau prin inter-mediul sistemului de prelucrare automată a datelor folosit, numai către utilizatorii autorizați. Prin urmare, nu se poate vorbi de control intern într-un sistem informatic fără controale de ieșire, fo-losite de grupul de control al organismului economic, de utilizatori și/sau de auditori pentru a veri-fica dacă sistemul informatic utilizat respectă cerințele utilizatorilor pentru care a fost proiectat și implementat.
Un control intern puternic și eficient impune utilizarea tuturor măsurilor, tehnicilor și mecanismelor, denumite generic controale de audit, controale interne sau, mai simplu, controale, care servesc scopului urmărit și permit organismelor economice să utilizeze în desfășurarea activi-tăților lor economice, științifice, organizatorice etc. sistemele informatice, beneficiind astfel de a-vantajele majore oferite de acestea: puterea de calcul, de stocare (memorare), de evidență și de pre-zentare grafică.
Auditorii pot folosi pentru testarea și monitorizarea controalelor interne implementate într-un sistem informatic așa-numitul sistem integrat de testare, care constă în integrarea unui set de fișiere de test, programe și date de test în sistemul informatic respectiv. Aceste fișiere de test permit ca datele de test pe care le conțin să fie prelucrate simultan cu datele reale, fără ca datele reale respective și rezultatul prelucrării lor să fie afectate. Datele de test, care cuprind toată gama imaginabilă de date posibil a fi introduse în sistemul informatic respectiv, afectează numai fișierele de test și rezultatele prelucrărilor acestora. Sistemul integrat de testare poate fi implementat în toate tipurile de sisteme informatice, inclusiv în sistemele informatice on-line, în timp real.
Sistemul integrat de testare poate fi folosit de auditori și pentru monitorizarea prelu-crărilor datelor de test în vederea studierii efectelor produse de prelucrările efectuate asupra fișie-relor de test, listelor de erori și ieșirilor sistemului informatic. Ei comunică concluziile personalului autorizat sau grupului de control care efectuează controlul zilnic.
Folosirea sistemelor integrate de testare prezintă riscul de manipulare eronată a datelor reale, prin transferarea lor în sau din fișierele fictive. Pentru eliminarea acestui dezavantaj, auditorii trebuie să monitorizeze toate activitățile în fișierele fictive utilizate și să impună măsuri riguroase de prevenire a accesului neautorizat la aceste fișiere. De asemenea, proiectarea unui astfel de sistem trebuie făcută cu atenție, pentru a elimina riscul ca fișierele reale să fie conta-minate întâmplător cu date din fișierele fictive de test.
Indiferent de tipul sistemului de evidență (gestiune) a activităților economice și de pre-lucrare a datelor folosit de organismele economice, auditorii trebuie să efectueze un control intern, pentru realizarea căruia este necesar:
a) să evalueze corect riscul de control (posibilitatea de existență a unor erori care nu pot fi detectate);
b) să determine natura activităților desfășurate de organismul economic auditat;
c) să stabilească tipul și amploarea activităților de audit necesare;
d) să aprecieze timpul necesar pentru completarea auditului.
Pe baza celor stabilite în vederea completării auditului, auditorii pot face organismului economic recomandări pentru îmbunătățirea structurii de control intern. Indiferent de tipul siste-mului informatic folosit de un organism economic, recomandările pe care le fac auditorii cu privire la controlul intern se împart în patru categorii, corespunzătoare următoarelor patru tipuri de acti-vități:
1. planificarea auditului; pentru aceasta. auditorii trebuie să înțeleagă suficient de bine rolul controlului intern, modalitățile de realizare a acestuia și tehnicile de integrare a controalelor în sistemul de gestiune și prelucrare a datelor folosit de un organism economic;
2. evaluarea riscului de control și proiectarea testelor adiționale pentru procedurile de control ale sistemului informatic;
3. realizarea testelor adiționale pentru procedurile de control ale sistemului informatic;
4. reevaluarea riscului de control al sistemului informatic și modificarea corespunzătoare a testelor de evaluare.
Chestionarul de audit
La nivelul managementului, auditorul va trebui să se asigure că sunt clar definite organi-zarea, funcțiile și localizarea sistemului informatic. Astfel:
1. Tipul de organizare (centralizată, descentralizată, combinată) este potrivit pentru
obiectivele firmei?
2. Sunt bine stabilite și ierarhizate obiectivele organizării sistemului informatic?
3. Sunt definite clar serviciile ce vor fi oferite intreprinderii de către acest sistem?
4. Sunt determinate funcțiile și activitățile ce se vor executa?
5. Este specificat localizarea sistemului informatic folosit (echipamentele hardware și soft-ware)?
Proiectarea sistemului informatic. Auditorul trebuie să se asigure că decizia privind rea-lizarea sau achiziția unui nou sistem este în conformitate cu obiectivele și planurile organizației. Auditorul va trebui sa verifice dacă înainte de a se lua această decizie, au fost consultați utilizatorii finali și s-a făcut un studiu al costurilor, precum și al beneficiilor rezultate prin implementarea sis-temului. De asemenea, trebuie să controleze dacă există proceduri prin care să se asigure că siste-mul ce va fi dezvoltat sau achiziționat satisface cerințele utilizatorilor.
1. S-a realizat o planificare a proiectării sistemului informatic?
2. Când s-a proiectat sistemul, în proiect a fost implicat o persoană din conducerea firmei?
3. S-a cooptat un reprezentant din fiecare departament care va folosi sistemul, pentru a fi consultat în timpul proiectării?
4. S-a făcut o estimare cantitativ-calitativa a costurilor și beneficiilor aduse de noul sistem, pe baza unui studiu de fezabilitate?
5. Se au în vederea realizarea ulterioară de studii de fezabilitate privind dezvoltarea siste-mului?
6. Se cunoaște impactul pe care noul sistem îl va avea la nivelul organizației?
7. Se cunosc costurile sociale datorate întroducerii noului sistem?
8. Au fost consultați reprezentanți ai utilizatorilor pentru a afla cerințele acestora de la sis-tem?
9. Sunt capabili utilizatorii să identifice cerințele noului sistem de la aceștia?
10. Există specificații tehnice ale sistemului (în format tipărit sau electronic)?
11. Există specificații privind impactul sistemului asupra comportamentului utilizatorilor (în format tipărit sau electronic)?
12. Există specificații privind datele de intrare, fișierele și bazele de date folosite, sau datele de ieșire sistemului?
Dezvoltarea/achiziționarea sistemului.
1. Este specificat clar unde este dezvoltat sistemul informatic? (Există trei variante: in-house: aplicațiile sunt dezvoltate în interiorul intreprinderii, pe echipamente proprii; out-side: echi-pamentele sunt achiziționate, iar aplicațiile sunt dezvoltate local; outsourcing: se apelează la servi-cii externe pentru tot sistemul informatic.)
În cazul dezvoltării softului în propria întreprindere:
1. S-au proiectat cu atenție datele de ieșire?
2. Sunt precizate suporturile de memorare pentru datele de ieșire?
3. Se pot identifica caracteristicile procesărilor?
4. Sunt precizate echipamentele hardware și sistemele de operare pe care vor fi instalate apli-cațiile sistemului informatic?
5. S-au stabilit proceduri de implementare a noului sistem?
6. S-au proiectat teste?
7. S-au redactat manualele de operare și de documentare a sistemului?
În cazul apelării la soluția outsourcing:
1. Furnizorul are stabilitate financiară?
2. Furnizorul are o reputație bună?
3. Furnizorul a mai oferit servicii similare și altor firme din aceeași zonă de activitate?
4. Prin alegerea acestei soluții se reduc costurile programării aplicațiilor sistemului?
5. După expirarea contractului de închiriere a echipamentelor (când e cazul), pot fi portate a-plicațiile pe echipamentele proprii ale firmei?
6. Echipamentele sistemului sunt în proprietatea firmei sau a furnizorului?
7. Fișierele cu date sunt în proprietatea firmei și furnizorul nu va avea acces la ele?
8. Furnizorul oferă instruire a personalului, consultanță, servicii de implementare?
Întrebări comune:
1. Este precizat mediul de programare/dezvoltare folosit?
2. Programele (aplicațiile) și documentaria aferentă sunt în proprietatea firmei?
3. Este specificat clar dacă softul este făcut la comandă, special pentru firmă respectivă, sau este un pachet generalizat de aplicații?
4. Este asigurată documentație pentru sistemul informatic?
5. Documentația (dacă există) este de calitate?
6. Se oferă instruire și consultanță din partea furnizorului?
7. Sistemul poate fi actualizat (la cerere sau automat) în funcție de modificările legislative, tehnice etc.
8. Sistemul conține elemente proprii de control, de protejare a fișierelor sau a datelor confi-dențiale?
9. Sistemul conține proceduri de restaurare și de realizare a copiilor de siguranță, statistici?
10. Există sistem de asistență de tip “help”?
11. Există cerințe privind datele de intrare, sunt acestea validate?
12. Există flexibilitate în privința formularelor de culegere a datelor?
13. Există flexibilitate în privința rapoartelor de afișare a ieșirilor?
Testarea sistemului. Auditorul trebuie să se asigure că sistemul s-a achiziționat pe baza unui contract, că funcționează corect, că există modalități de avertizare a utilizatorilor în caz de în-trerupere a funcționării și că nu rămân prelucrări neefectuate.
1. Au existat proceduri de selecție a echipamentelor pentru sistemul informatic?
2. Au fost trimise cereri de ofertă către potențialii furnizori?
3. Ofertele au fost evaluate?
4. Produsele din ofertă au fost testa și evaluate?
5. S-a negociat contractul cu furnizorul sistemului?
6. Echipamentele achiziționate funcționează fără defecțiuni?
7. Echipamentele respectă performanțele specificate în manualele de utilizare și în spe-cificațiile tehnice?
8. Înainte de a fi folosit efectiv, sistemul nou întrodus a fost testat pe o cantitate mare de date reprezentative, similare celor din situațiile reale?
9. S-a realizat o testare în paralel a sistemului nou și a sistemului vechi, pentru aceleași date, pentru a face o comparație între ele?
10. Funcționează sistemul corect pe date reale?
11. În cazul întreruperii accidentale a prelucrărilor, sistemul transmite mesaje de avertizare utilizatorilor?
12. Sistemul poate continua prelucrările, în cazul întreruperii acestora de către utilizatori?
13. Sistemul poate continua prelucrările, în cazul întreruperii acestora accidentale?
Implementarea și conversia sistemului, auditorul trebuie să se asigure că au fost stabilite proceduri privind implementarea și conversia sistemului.
1. Au fost atribuite responsabilități persoanelor care s-au ocupat de implementare?
2. S-au stabilit standarde prin care să se asigure eficiența și eficacitatea procesului de implementare?
3. S-a verificat integritatea și acuratețea fișierelor inițiale?
4. A existat un plan al implementării, pe baza căruia să se poată evalua progresele făcute?
5. S-au menționat proceduri de conversie la noul sistem?
6. Utilizatorii au fost implicați în etapa de conversie?
7. Sistemul final corespunde obiectivelor inițiale?
8. Este noul sistem mai eficient decât cel vechi?
9. Activitățile din timpul dezvoltării sistemului s-au încadrat în planificarea calendaristică?
10. Au fost testate procedurile de restaurare?
11. Au avut în vedere posibilități viitoare de îmbunătățire a sistemului?
Întreținerea sistemului. Auditorul va verifica dacă organizația își modifică periodic pro-gramele, pentru a face față noilor cerințe legislative, tehnologice, sociale etc.
1. Există proceduri care asigură documentarea și planificarea calendaristică a
oricărei modificări adusă sistemului inițial sau a unor componente ale acestuia?
2. Există personal specializat care să se ocupe de întreținerea sistemului?
3. Există proceduri prin care se asigură executarea numai a modificărilor autorizate?
4. În exploatarea sistemului, au fost acceptate aplicații modificate, numai după ce au fost autorizate, testate și documentate?
5. Există proceduri care asigură raportarea modificărilor aduse sistemului, atât conducerii, cât și utilizatorilor implicați?
6. Există mecanisme de control care să prevină modificarea neautorizată a sistemului?
7. Există proceduri care să permită și să controleze schimbările urgente ce pot să intervină în cadrul sistemului?
8. Este sistemul informatic depășit din punct de vedere tehnologic?
9. Este sistemul informatic depășit din punct de vedere funcțional?
10. Există proceduri de întreținere care să anticipeze tendințele sau problemele viitoare, pen-tru a le putea face față?
Securitatea sistemului. Auditorul trebuie să se asigure că nu există accesări neautorizate a informațiilor organizației de către persoane din afara acesteia, că angajații nu folosesc resursele sistemului în mod neautorizat și că nu există întreruperi în prelucrările realizate de sistem.
1. Există specificate responsabilități ale personalului în privința securității informaționale?
2. Există o clasificare a datelor și sunt precizate nivelurile de securitate associate acestei clasificări?
3. Este precizat rolul auditorilor interni în monitorizarea securității sistemului?
4. Există proceduri privind separarea funcțiilor incompatibile?
5. Este asigurat secretul informațiilor importante?
6. Este imposibil furtul informațiilor?
7. Informațiile organizației nu pot fi divulgate neautorizat?
8. Funcționarea sistemului nu poate fi întreruptă în mod neautorizat?
9. Există funcții de identificare a prezenței unui potențial utilizator al sistemului?
10. Există funcții de autentificare/verificare a utilizatorilor sistemului?
11. Există funcții de autorizare a accesării anumitor resurse de către anumiți utilizatori?
12. Sunt echipamentele sistemului separate fizic de celelalte compartimente/departamente ale organizației?
13. La echipamentele sistemului au aces doar persoanele autorizate?
14. Sunt asigurate condițiile de mediu (temperatură, umiditate etc.) menționate în documen-tațiile de utilizare și în cărțile tehnice ale echipamentelor?
15. Există proceduri prin care să se asigure funcționarea sistemului în cazul întreruperii ali-mentării cu energie electrică?
16. Echipamentele folosesc surse de curent neintreruptibil (UPS)?
17. Există planuri documentate și testate în mod regulat, prin care să se asigure operațio-nalitatea activităților, prin care se realizează copiile de siguranță și refacerea prelucrărilor în caz de întrerupere a funcționării sistemului?
18. Personalul care operează echipamentele au fost instruite în privința protecției muncii și au semnat un proces verbal de instruire în acest sens?
19. Sunt instalate pe stațiile de lucru programe antivirus?
20. Sunt instalate pe stațiile de lucru programe firewall?
21. Este personalul suficient instruit și verificat în privința procedurilor aplicabile în cazul copiilor de siguranță?
22. Există proceduri corespunzătoare în cazul copiilor de siguranță, proceduri prin care să se aibă în vedere acțiunile ce trebuie întreprinse în cazul funcționării incorecte, apariția erorilor sau a avariilor la nivelul sistemului de procesare?
23. Există copii de siguranță păstrate într-o altă locație decât ce a firmei (acasă la pro-prietarul afacerii, la o bancă, la un furnizor de echipamente etc.)?
24. Există un plan de acțiune în cazul apariției unor evenimente neprevăzute de tipul de-zastrelor naturale?
25. Există un contract de asigurare a companiei, astfel încât reînceperea activității în urma unui dezastru natural să nu implice “ruinarea” financiară a firmei?
26. Există un contract de asigurare a sistemului informatic, astfel încât în urma unui dezastru (natural sau software – viruși, atac informatic), acesta să poate fi achiziționat din nou?
27. Există un contract cu o altă firmă, având un sistem similar, care să asigure aceleași fa-cilități, în cazul în care sistemul firmei devine nefuncțional?
Nivelul operațional. Auditorul trebuie să se asigure că personalul nu folosește sistemul informatic în afara programului sau în interes personal, că rețeaua îndeplinește condițiile minime de operabilitate, iar administratorul de rețea o monitorizează.
1. Când se publică o ofertă de serviciu pentru un anumit utilizator din sistemul informatic, sunt precizate cunoștințele, competențele pe care aplicanții să le aibă, precum și bibliografia necesară concursului?
2. Există manuale standard de operare, pentru instruirea utilizatorilor începători?
3. Sistemul nu este folosit în afara programului de lucru, decât în cazul în care conducerea cere acest lucru?
4. În timpul programului normal de lucru, calculatorul este folosit doar pentru executarea sarcinilor curente de serviciu (nu și în interes personal)?
5. În afara sau chiar în timpul programului de lucru, sistemul nu este folosit și în interes per-sonal?
6. La proiectarea rețelei de calculatoare au fost stabilite performanțele minime pe care această trebuie să le atingă (întârzierile maxime ce pot apărea, viteza minimă de transmisie, lărgi-mea de bandă etc.)?
7. Administratorul de rețea monitorizează traficul rețelei și performanțele rețelei?
8. În cazul în care pe stațiile de lucru nu există instalate programe anti-virus, este serverul programat să efectueze acțiuni de protecție împotriva virușilor?
9. Jurnalizează serverul toate evenimentele care au loc în rețea?
10. În cazul în care rețeaua are conexiune la Internet, este precizat cine (furnizorul de servicii sau firma) asigură securitatea accesului a clienților din exterior în rețeaua privată a firmei?
11. Birourile utilizatorilor sistemului sunt ergonomice?
12. Utilizatorii sistemului stau pe scaune ergonomice?
13. Sălile utilizatorilor sistemului sunt luminate corespunzător pe timp de zi și seară (fără ne-oane)?
14. Acustică sălilor utilizatorilor sistemului este corespunzătoare, nu sunt deranjati de zgo-mote?
15. Echipamentele folosite de utilizatori pentru întroducerea datelor (tastaturi, mouse, sca-nnere pentru codurile de bare, cititoare de carduri, microfoane etc.) funcționează bine?
16. Există proceduri clare privind procesarea datelor?
17. Există proceduri clare privind gestiunea mediilor de stocare (când au fost achiziționate, cine le gestionează, cine le utilizează, când conținutul poate fi șters etc.)?
18. Sunt păstrate în condiții de siguranță documentațiile (pdf, html, tipărite)?
19. Accesul la documentații este asigurat doar persoanelor autorizate?
20. Documentațiile sunt actualizate periodic?
21. Există copii de siguranță pentru documentații?
22. Software-ul folosit are licențe?
23. Există personal angajat pentru a oferi asistență în utilizarea echipamentelor și a softului din cadrul sistemului?
24. Există personal specializat care să fie consultat în probleme de achiziții hardware și software?
25. Există personal specializat care să instruiască utilizatorii, să rezolve problemele cu care aceștia se confruntă în utilizarea sistemului, să identifice problemele care ar putea afecta pro-ductivitatea utilizatorilor?
CAPITOLUL 2 Analiza de scoring pentru evaluarea clienților și
acordarea creditelor
2.1. Credit scoringul
Până acum câteva decenii, decizia de a acorda sau nu un credit era luată pe baza cu-noștințelor personale. Succesul sau eșecul într-o astfel de acțiune ar depinde de cât de bine cre-ditorul își cunoaște potențialul client și încrederea pe care o are în acesta. Totuși, odată cu trecerea timpului, această practiceăa fost extinsă la o apreciere mai puțin personală, dar încă subiectivă. Această apreciere a fost descrisă pe baza “celor trei C-uri”:
caracter – care era nivelul de încredere în solicitantul creditului;
capacitate – capacitatea financiarăpe care o are solicitantul creditului de a restitui împrumutul (pe baza veniturilor acestuia, în functie de cât de sigur este locul lui de muncă etc.)
colateralitate – resursele de care dispune solicitantul și care,în caz de neplată, ar putea fi revendicate drept plata a imprumutului.
Dintr-o perspectiva modernă, punctele slabe ale unui astfel de sistem sunt evidente. În primul rând, este un sistem subiectiv: decizia de acordare a împrumutului se bazează pe părerea pe care și-a format-o creditorului despre solicitant. Pot apărea idei preconcepute sau favoritisme. Deciziile diferă de la caz la caz și, uneori, pot fi influențate de exterior: dacă, de exemplu, direc-torul băncii se cearta într-o dimineață cu soția sa, acest lucru ar putea sa influențeze decizia aces-tuia de a acorda sau nu un împrumut.
Credit scoring reprezintă procesul de modelare a deciziei de acordare a unui credit. Acest proces este desfășurat de bănci sau alte instituții financiare și implică metode statistice cum sunt analiza discriminantă sau a seriilor cronologice. Bazat pe analiza statistică a datelor istorice, anumite variabile financiare sunt considerate a fi importante în procesul de evaluare a stabilității financiare și puterii solicitantului de credit.
Aceste informații sunt sintetizate și se folosește un sistem de punctaje în vederea ac-ceptării sau respingerii cererii de creditare.
Motivația acordării creditelor pe baza metodei scorurilor constă în identificarea avan-tajelor si dezavantajelor legate de riscurile implicate în aceasta. Aceasta este însă o concepție su-perficială despre obiective și, deci, trebuie examinat îndeaproape ceea ce se dorește a fi făcut.
În concluzie, ideal a fi să se acorde credite doar persoanelor ce vor aduce profit com-paniei. Deoarece procesul luării deciziilor în astfel de condiții nu poate fi automatizat, el este un proces lent si nu poate fi aplicat miilor si chiar milioanelor de tranzacții zilnice. Viteza luării de-ciziilor este foarte importantă deoarece întârzierea cu o zi a luării deciziei finale îl poate face pe so-licitantul creditului să se orienteze spre alte bănci. Până la începutul anilor ’80 comunitatea fi-nanciar-bancară internațională privea unilateral problema riscului – numai din punctul de vedere al creditului. Gestionarea riscurilor bancare se reducea la riscul de creditare, acest lucru fiind posibil datorită stabilității relative a sistemului financiar și chiar a piețelor. Această stabilitate carac-teristică acelor ani se datora existenței mecanismului sistemului monetar internațional de la Bre-tton-Woods.
Riscul de creditare este riscul cel mai important dintre cele de pe piața produsului, el da-torându-se deprecierii valorii, ca o consecință a falimentului sau a nerambursării împrumutului.
Creditul este „orice angajament de plată a unei sume de bani în schimbul dreptului de rambursare a sumei plătite, precum și plata a unei dobânzi sau a altor cheltuieli legate de această sumă, sau orice prelungire a scadenței unei datorii și orice angajament de achiziționare a unui titlu care încorporează o creanță sau a altui drept de plată a unei sume de bani”. Băncile gestionează riscul de creditare prin:
decizii echilibrate de creditare, prin care riscul creditului este corect apreciat;
asigurarea unor debitori diverși, așa încât pierderile să nu fie concentrate în timp;
cumpărarea de garanții de la terțe părți (asigurarea creditelor astfel ca riscul de faliment să fie total sau parțial transferat de la creditori).
În asumarea unui risc acceptabil, precum și a unei datorii acceptabile, este important să se înțeleagă modul în care acest risc poate fi micșorat la maximum. Aceasta presupune utilizarea unui sistem de investigare a tuturor componentelor de risc. Cuantificarea riscului se urmărește utilizând metode, proceduri și tehnici cunoscute pe plan internațional, luând în considerare elemente cum ar fi:
performanța financiarăa clientului;
structura tranzacției;
calitatea și structura sursei de rambursare;
calitatea și structura garanțiilor.
Garanțiile reprezintă sursa de rambursare a creditului și sunt utilizate numai în cazul în care nu mai există alte posibilități de rambursare a acestuia și a plății dobânzii.
Obiectivul important al analizei de cuantificare a riscului creditului îl constituie cu-noașterea evoluției clientului din perioadele trecute și prognozarea performanțelor viitoare ale acestuia, în vederea unei previzionări a viabilității lui.
O preocupare permanentă pentru asigurarea unui control eficient al riscului de credit va fi monitorizarea volumului creditelor, a structurii și calității acestuia, evidențiindu-se în dinamică și cauzalitatea creditelor restante.
2.2. Model de analizǎ și evaluare a riscului de creditare
În practica bancară, modul de determinare a riscului individual de creditare poate diferi de la o bancă la alta, în funcție de importanța acordată diverselor caracteristici ale solicitanților de credite. Pentru a ilustra procedeul, vom prezenta în continuare o metodologie de determinare a riscului de firmă. Aceasta este utilizată în una din marile bănci din România în vederea selectării firmelor care solicită credit.
Determinarea riscului de firmă este necesară atât la acordarea creditului și la analizarea garanției cât și pe parcursul derulării contractului de creditare, pentru calculul provizioanelor specifice de risc.
Riscul de firmă este determinat în urma analizei agentului economic solicitant și se obține prin însumarea scorurilor de risc financiar, comercial și managerial și încadrarea agentului economic în clasa de risc de firmă corespunzătoare scorului total astfel obținut;
Scorul de risc total RT este compus din scorul de risc financiar RF, scorul de risc comercial RC și scorul de risc managerial RM.
RT = RF + RC + RM
1. Riscul financiar RF este riscul legat de sănătatea financiară a firmei solicitante și de posibilitatea obligațiilor de plată asumate de către aceasta și se determină pe baza situațiilor financiare ale societății din ultimii 2 ani.
Analiza situației financiare a societății se efectuează pentru a se putea caracteriza traiectoria societății în perioada studiată și a previziona trendul pentru următoarele 12 luni. În acest sens, societatea se aflăîn una dintre următoarele situații:
pe o traiectorie descendentă (societatea se află în declin și are nevoie de lichidități pentru a încerca o eventualărevenire, echilibrare);
pe o traiectorie stabilă (societatea are nevoie de credite din diverse motive – lipsa temporară de lichidități);
pe o traiectorie ascendentă (societatea se află într-un proces de creștere, expansiune și are nevoie de lichidități pentru a-și pune în aplicare planurile legate de contractele încheiate).
Scorul de risc financiar RF este calculat, în funcție de competența specifică, prin în-sumarea scorurilor individuale corespunzătoare indicatorilor de standing financiar, utilizând ulti-mele două bilanțuri anuale sau ultimul bilanțanual și ultima raportare financiarătrimestrială.
Indicatorii de standing financiar calculați pentru determinarea riscului financiar sunt grupați în 5 categorii:
a) indicatori de lichiditate– rata curentă, rata rapidă, stocul de încredere;
b) indicatori de solvabilitate– rata de acoperire a datoriilor totale, rata de acoperire a datoriilor pe termen mediu și lung;
c) indicatori de profitabilitate– rata capitalului propriu, rata activelor, rata marjei brute;
d) indicatori de activitate– durata medie de stocare, perioada medie de încasare a creanțelor, perioada medie de plată a furnizorilor, rotația activelor;
e) analiza plăților restante– procent din cifra de afaceri.
Pentru determinarea riscului financiar, indicatorii din primele trei grupe sunt cuprinși și evaluați într-o matrice, în funcție de valorile lor acordându-li-se unul din cele treicalificative sta-bilite convențional (bun – 0 puncte, satisfăcător – 30 puncte, nesatisfăcător – 60 puncte).
Valorile indicatorilor sunt stabilite separat pentru societățile comerciale care operează în sectorul productiv respectiv pentru cele din sfera serviciilor/comerț, dat fiind gradul mare de di-ferențiere a specificului activității lor.
În vederea obținerii punctajului pentru scorul financiar, se utilizează media aritmetică ponderată în funcție de momentul analizei și de situațiile financiare utilizate:
Ponderea 1 – pentru punctajul obținut în baza analizei bilanțului obținut în anul precedent;
Ponderea 0,5 – pentru punctajul obținut în baza analizei situației financiare a primului trimestru;
Ponderea 1 – pentru punctajul obținut în baza analizei situației financiare din trimestrul al doilea;
Ponderea 1,5 – pentru punctajul obținut în baza analizei situației financiare din al treilea trimestru;
Ponderea 2 – pentru punctajul obținut în baza analizei ultimului bilanț întocmit.
Încadrarea agentului economic în sectorul productiv sau servicii/comerț este efectuată de către ofițerul de credit de la serviciul de creditare, luându-se în considerare declarația agentului economic privind felul activității preponderente (informația este menționată și pe prima paginăa bilanțului contabil).
Indicatorii de activitate pentru care nu se pot stabili întotdeauna valori standard, datorită neomogenității valorilor acestora în cadrul industriilor componente ale celor douăsectoare, vor fi analizați pentru fiecare caz în parte, oferind indicii generale asupra controlului creanțelor și asupra vitezei de plată a furnizorilor.
Analiza plăților restante (total plăți restante) va ajusta scorul de risc financiar cu un punctaj primit, dupăcum urmează:
procent cuprins între 0% și 20% din cifra de afaceri – minus 20 puncte;
procent cuprins între 21% și 40% din cifra de afaceri – minus 20 puncte;
procent mai mare de 41% din cifra de afaceri – plus 50 puncte.
2. Pe baza analizei comerciale a operațiunilor desfășurate de firmă, ofițerul va atribui firmei un scor de risc comercial RC situat între –50 și +50, extremele fiind definite dupăcum urmează:
-50 puncte – operațiuni comerciale coerente, clienți cunoscuți și de lungă durată parteneri de afaceri cu solicitantul, cash – flow pozitiv în operațiune;
+50 puncte – operațiuni comerciale incoerente, contracte insuficiente ca formăși conținut, cash – flow negativ în operațiune, legalitate îndoielnică a operațiunilor. Alte elemente luate în considerare sunt surselor de finanțare ale operațiunilor derulate.
3. Pe baza analizei structurii manageriale a societății solicitante de credit, ofițerul de credit va atribui firmei un scor de risc managerial RMconform tabelului:
Atribuirea scorului managerial de către ofițerul de credit se va baza pe cunoașterea directă a conducerii societății solicitante și a persoanei (persoanelor) cu responsabilitate efectivă în derularea operațiunii din cadrul firmei.
Sistemul de determinare a clasei de risc de firmă presupune parcurgerea următoarelor etape:
calculul indicatorilor de lichiditate, solvabilitate, profitabilitate și activitate;
acordarea de puncte între 0 și 60, în funcție de valorile primelor 3 categorii de indicatori;
stabilirea scorului de risc financiar, în funcție de numărul total de puncte obținut pentru indicatorii de lichiditate, solvabilitate și profitabilitate, conform intervalelor stabilite și în funcție de rezultatul analizei plăților restante;
stabilirea scorului de risc comercial;
stabilirea scorului de risc managerial;
totalitatea punctajului obținut și încadrarea firmei în clasa de risc corespunzătoare.
Pentru clienții care au mai apelat la credite oferite de bancă, la stabilirea clasei de risc de firmă în care se încadrează trebuie să se considere și istoricul rambursării împrumuturilor contractate anterior.
În urma analizei de determinare a riscului de firmă, societățile sunt încadrate în clase de risc. Încadrarea se efectuează în urma scorului acordat firmei. Acesta se compune din puncte acordate pentru punctele forte ale firmei (situație financiară stabilă, poziție bine determinată pe piață, societatea nu înregistrează conflicte sau pierderi) și din puncte care se scad,dacă societatea nu este stabilă din punct de vedere financiar, are conflicte deschise cu furnizorii de materii prime și materiale, este în incapacitate de plată, înregistrează pierderi mari, etc.
În funcție de clasa de risc în care este încadrată firma, ofițerul de credit al băncii ia decizia de creditare: aprobă eliberarea creditului către firmă cere garanții suplimentare sau refuzăcreditarea.
În continuare vom analiza detaliat clasele de risc de firmă din punctul de vedere al scorului financiar.
1. Clasa de risc de firmă I – societățile încadrate în această clasă de risc au un standing financiar de cel mai înalt nivel. Astfel de clienți nu au probleme în ceea ce privește oferirea unor garanții (contragaranții) puternice, în vederea obținerii unui eventual credit bancar. Pentru furnizorii firmei nu există neregularități ale termenelor de plată și, la aceste firme, este puțin probabilăapariția unor eventuale pierderi.
2. Clasa de risc de firmă II – societățile încadrate în această clasă de risc au standing financiar foarte bun și sunt capabile să ofere garanții (contragaranții) puternice. În ceea ce privește situația plăților către furnizori, aceasta decurge normal; apariția unor probleme minore legate de acest aspect nu este imposibilă dar se poate rezolva foarte ușor și cu un efort financiar minim. Nu se prevăd eventuale pierderi.
3. Clasa de risc de firmă III – societățile încadrate în această clasă de risc au un standing financiar relativ bun dar este posibilă apariția unor probleme legate de încasări. La rândul lor, acestea conduc la apariția unor neregularități în cadrul graficului de desfășurare a plăților furnizorilor, dar care pot fi rezolvate fără a se apela la reeșalonări sau la amânări ale termenelor scadente de plată. Astfel de societăți pot avea probleme legate de oferirea de garanții și con-tragaranții puternice și nu se întrevăd pierderi care ridice probleme firmei.
4. Clasa de risc de firmă IV – societățile încadrate în această clasă de risc au serioase probleme legate de încasări de la beneficiari, fapt ce conduce, ca și la societățile din grupa a III-a, lablocaje financiare generate de incapacitatea de plată la termenul stabilit a furnizorilor, dar care se rezolvă prin implementarea unui nou grafic de termene de plată (reeșalonări). La aceste societăți apar pierderi; sunt expuse retrogradării spre clasa inferioarăde risc.
5. Clasa de risc de firmă V – în această clasă sunt incluse societățile care prezintă serioase probleme legate de fluxurile financiare. Probabilitatea apariției unor neregularități de plată este foarte mare iar rezolvarea acestei situații se face, de regulă, prin apelarea la reeșalonări sau prin plata unor dobânzi de penalizare. Cu mici excepții, toate societățile încadrate în această clasă au mari probleme în constituirea unor garanții puternice. Punctele acordate indicatorilor utilizați la determinarea riscului financiar (pentru un agent economic din sectorul productiv).
Pentru a analiza riscul de creditare în practica economico-financiară se mai iau în con-siderare și alte forme de manifestare a riscului. Din acest motiv în anumite modele de evaluare a riscului de creditare riscul de firmă se analizează de cele mai multe ori în corelație cu riscul de ga-ranție și cu riscul de senzitivitate.
Riscul de garanție (RG) constă în posibilitatea apariției unor dificultăți legate de valorificarea bunurilor aduse în garanție în situația în care împrumutatul nu rambursează creditul și nu plătește dobânzile aferente conform contractului de credite.
Evaluarea riscului de garanție se face în funcție de nivelul valoric al garanției și al rapidității de valorificare:
a. siguranță maximă: garanții necondiționate și irevocabile emise de Ministerul Finanțelor pe baza mandatului Guvernului României acordat prin acte normative, scrisori de garanție emise de bănci, necondiționate, bilete la ordin avansate de bănci, gaj cu deposedare, depozite bancare în valută sau în lei, precum și garanții emise de Fondul Român de Garantare a Creditelor și Fondului Român de Garantare a Creditului Rural.
b. siguranță medie: ipoteci asupra clădirilor având ca destinație spații industriale și comerciale, și asupra terenurilor din orașe mari și localități turistice; bunuri mobile procurate din credite, cesiuni asupra creanțelor din exporturi.
c. garanții nesigure: clădiri cu destinația de locuință, stocuri de produse agroalimentare, industriale, semifabricate, materii prime, ipoteci asupra clădirilor din zonele rurale și terenurilor din extravilan.
Concluzionând, asumarea riscului este reprezentată de decizia privind avizarea favorabilă sau nefavorabilă a creditelor, aceasta fiind etapa finală a analizei și evaluării riscului de credit.
Am considerat relevant acest exemplu întrucât sintetizează principalii indicatori finan-ciari utilizați deopotrivă pentru aprecierea riscurilor, dar și în diferite analize financiare efectuate la nivelul firmelor.
Acești indicatori sunt recunoscuți pe plan internațional, fiind prezentați de cele mai multe ori, în structuri asemănătoare celei descrise mai sus.
2.3. Indicatori utilizați în aprecierea globalǎ a riscului bancar. Sistemul de rating CAAMPL
Scoring-ul este legat în primul rând de acordarea creditului unui agent economic sau de analiza stabilității financiare a firmelor. Această metodă nu presupune elaborarea unui clasament final al solicitanților de credit. Rating-ul este adesea asociat, iar uneori confundat cu noțiunea de scoring.
Una din definițiile posibile afirmă faptul că „Rating-ul este procesul de evaluare a riscului atașat unui titlu de creanță, sintetizat într-o notă, permițând un clasament în funcție de caracteristicile particulare ale titlului și ale garanțiilor emitentului”.
Modelul de rating bancar utilizat de către BNR se constituie într-un instrument eficient de lucru pentru evaluarea instituțiilor bancare, în scopul identificării, într-o faza incipientă, a acelor bănci care sunt ineficiente sub aspect financiar si operațional sau manifesta trenduri adverse, ce-rând, din partea autorității de supraveghere, o atenție sporita.
Sistemul de rating bancar utilizat de BNR este supus unui proces continuu de perfec-ționare impus de o multitudine de factori, cei mai mulți fiind legați de modul în care evoluează economia națională, piața bancară în special, precum și de modificările aduse reglementărilor ban-care în vederea armonizării legislației naționale cu standardele internaționale.
Indicatorii utilizați pot fi grupați în următoarele categorii principale de indicatori sinte-tizați în sistemul uniform de rating bancar CAAMPL:
1. Adecvarea capitalului
2. Calitatea acționariatului
3. Calitatea activelor
4. Managementul bancar
5. Profitabilitatea sistemului bancar
6. Lichiditatea sistemului bancar
2.3.1 Adecvarea capitalului
Este de așteptat ca o bancă să-și mențină un capital corespunzător, în raport cu natura și limitele de risc, precum și cu capacitatea conducerii de a identifica, măsura și controla aceste riscuri. Pentru stabilirea gradului de adecvare a capitalului, se are în vedere efectul riscurilor de credit, piață și a altor riscuri asupra condiției financiare a băncii. Adecvarea capitalului unei bănci este evaluată în funcție de următorii factori:
nivelul și calitatea capitalului și condiția financiară generală a băncii;
capacitatea managementului de a face față nevoilor curente de majorare a capitalului social;
natura, trendul și volumul activelor problemă și previzionarea corespunzătoare a acestora;
structura bilanțului ( incluzând natura și suma imobilizărilor corporale ), riscul pieței, concentrarea riscului;
expunerea riscului din activități extrabilanțiere;
calitatea și consistența veniturilor, justețea dividendelor;
perspective și planuri de creștere, precum și experiența trecută;
accesul la piața de capital și alte surse de capital.
Ca autoritate de supraveghere, banca centrală, pentru stabilirea capitalului adecvat, impune un indicator (financiar) de adecvare a capitalului, cu scopul de a limita expunerea totală de credit a unei banci.
Băncile au nevoie de o marjă de siguranță pentru ca, în cazul în care anumiți clienți nu-și pot rambursa creditele, banca să fie, totu și, capabilă să-și platească deponenții. Această marjă de siguranță este capitalul bancii.
În acest sens, indicatorul de adecvare a capitalului este format dintr-o anumită parte a fondurilor investite de acționari (capital social) și profiturile nerepartizate, care trebuie păstrate permanent de bancă.
Indicatorul de adecvare a capitalului se exprima sub forma de procent și se calculează ca raport între capitalul băncii și activele băncii (ajustate în functie de risc), plus activele în afara bilanțului.
Reglementările internaționale privind indicatorul de adecvare a capitalului s-au stabilit în 1988, de catre Comitetul de la Basel, sub auspiciile Băncii Reglementelor Internaționale. Conven-ția de la Basel se aplică băncilor cu activitate internațională și prevede un indicator de adecvare a capitalului de minim 8%, începând cu 1 ianuarie 1993.
Autoritățile de supraveghere din foarte multe țări au preluat prevederile acestei convenții în legislația națională.
Dacă indicatorul de adecvare a capitalului, pentru o bancă, scade sub nivelul cerut, el tre-buie corectat, fie crescând capitalul băncii, fie reducându-i activele cu grad mare de risc, prin sub-stituire cu active cu grad de risc redus. Capitalul poate fi mărit prin emisiunea de acțiuni.
În cadrul sistemului uniform de rating bancar CAAMPL (implementat în cadrul Direc
ției de Supraveghere din BNR) definirea ratingurilor rezultate din analiza indicatorilor pentru componenta adecvarea capitalului sunt:
Rating 1 indică un nivel puternic al capitalului, comparativ cu profilul de risc al băncii;
Rating 2 indicăun nivel satisfăcător al capitalului;
Rating 3 indicăun nivel al capitalului mai puțin satisfăcător, care nu poate susține complet profilul de risc al băncii. Rating-ul indică nevoia de perfecționare, chiar dacă nivelul ca-pitalului depășește minimul cerut de reglementări.
Rating 4 indică un nivel deficitar al capitalului, viabilitatea băncii putând fi amenințată. În acest caz se poate cere ajutorul acționarilor sau suport financiar din surse externe instituției.
Rating 5 indică un nivel deficitar critic al capitalului, amenințând viabilitatea băncii. Se impune ajutorul financiar imediar al acționarilor sau o finanțare externă a instituției. O bancă poate fi încadrată în funcție de adecvarea capitalului într-una din următoarele categorii.
În analiza adecvării capitalului sunt utilizați următorii indicatori:
1. Raport de solvabilitate 1
Raport de solvabilitate 1 = Fonduri proprii/(Active la valoarea netă, ponderate în funcție de gradul lor de risc de credit + Elemente în afara bilanțului, transformate în echivalent credit, în funcție de gradul lor de risc de transformare în credit, ponderate în funcție de gradul lor de risc de credit)
2. Raport de solvabilitate 2
Raport de solvabilitate 2 = Capital propriu/(Active la valoarea netă, ponderate în funcție de gradul lor de risc de credit + Elemente în afara bilanțului, transformate în echivalent credit, în funcție de gradul lor de risc de transformare în credit, ponderate în funcție de gradul lor de risc de credit)
3. Efectul de pârghie (rata capitalului propriu )
Efectul de pârghie = Capitalul propriu / Total activ (valoarea netă)
4. Raportul dintre capitalul propriu și capitalul social
Raportul dintre capitalul propriu și capitalul social = Capital propriu/Capital social
5. Patrimoniul net
Patrimoniul net = Total activ (valoarea netă) – surse atrase și împrumutate
2.3.2 Calitatea acționariatului
Ratingul acționariatului este unul dintre factorii de evaluare de ansamblu a sănătății unei bănci. Această componentă este un instrument intern eficient de supraveghere în scopul evaluării, pe baze uniforme, a calității acționariatului unei bănci și identificării acelor instituții ale căror acționari necesită o atenție specială. Stabilirea ratingului acționarilor se bazează pe analiza și eva-luarea unor factori de ordin financiar, managerial, de conformanță cu prevederile legale, precum și a riscului de țară, comuni tuturor instituțiilor.
Acționarii băncii pot fi: persoane fizice, persoane juridice bancare și nebancare, hol-dinguri, agenții guvernamentale sau combinații ale acestora.
În stabilirea ratingului acționariatului, o atenție specială trebuie să se acorde acționarilor semnificativi. În situația în care acționarii semnificativi au domiciliul în afara României, trebuie de asemenea, luat în considerare și riscul de țară.
În stabilirea ratingului se va avea în vedere și condiția financiară a acționarilor semni-ficativi. Situațiile financiare ale persoanelor fizice și juridice vor fi analizate pentru a se determina măsura în care acționarii sunt o sursă de sprijin pentru bancă sau pot constitui un pericol potențial pentru întreaga activitate a băncii. În unele cazuri, o agenție specializată poate atribui un rating unora dintre cele mai importante firme acționare.
Calitatea și performanțele acționarilorse bazează pe aprecierea următorilor factori:
nivelul și calitatea sprijinului acordat de acționari în activitatea băncii;
disponibilitatea și abilitatea acționarilor de a face față riscurilor ce pot apărea din schimbarea condițiilor de desfășurare a activității băncii sau din inițierea de noi activități sau apa-riția de noi produse bancare;
nivelul riscurilor apărute în urma implicării firmelor acționare în afacerile băncii; caracterul, capacitatea financiară și responsabilitatea acționarilor;
modul în care acționarii sunt afectați de influența dominantă a altor acționari sau a managementului băncii;
volumul creditelor acordate de bancă acționarilor precum și a altor facilități în vir-tutea politicilor, procedurilor, a controlului intern și în conformitate cu prevederile legislației în vigoare;
aportul acționarilor privind gestionarea fondurilor ar trebui să asigure posibilitatea menținerii unui nivel al lichidității suficient pentru a acoperi la timp obligațiile financiare;
se va ține cont de riscul de țară al acționarilor;
efectuarea de operațiuni în condiții privilegiate pentru acționari;
dorința demonstrată de a servi nevoilor bancare legitime ale comunității;
totalitatea performanțelor instituției și profilul său de risc.
Definirea ratingurilor aferente calității acționariatului:
Ratingul 1 relevă sprijinul puternic acordat de acționari, coroborat cu mărimea, com-plexitatea și profilul de risc al instituției. Riscurile semnificative sunt consistent și eficient iden-tificate, măsurate, monitorizate și controlate. Acționarii și-au demonstrat capacitatea de a interveni cu promptitudine asupra problemelor, controlând riscurile existente și potențiale. Dacă acționarii semnificativi au primit un rating acordat de o agenție de rating recunoscută, atunci acesta ar trebui să fie dintre cele mai mari.
Ratingul 2 indică un sprijin satisfăcător acordat de acționari, coroborat cu mărimea, complexitatea și profilul de risc al instituției. Pot exista slăbiciuni minore, care nu periclitează si-guranța și sănătatea băncii, iar acestea sunt în atenția factorilor de decizie. În general, riscurile și problemele semnificative sunt identificate, măsurate, monitorizate și controlate eficient.
Ratingul 3 relevă necesitatea îmbunătățirii gradului de implicare a acționarilor, prac-ticile de gestionare a riscului fiind mai puțin satisfăcătoare. Capacitatea acționarilor de a interveni în rezolvarea problemelor este insuficientă, dat fiind tipul, mărimea sau condiția financiară a băn-cii. Riscurile semnificative sunt inadecvat identificate, măsurate, monitorizate sau controlate.
Ratingul 4 indică existența unor carențe semnificative în implicarea acționarilor, prac-ticile de gestionare a riscului fiind inadecvate comparativ cu natura activității băncii. Nivelul pro-blemelor și expunerea la riscuri sunt excesiv de mari, fiind în același timp inadecvat identificate, măsurate, monitorizate sau controlate. În această situație se impune intervenția imediată a consi-liului de administrație, a acționarilor și a managementului, în vederea menținerii stării de sănătate a instituției sau înlocuirea conducerii executive și/sau a membrilor consiliului de administrație al băncii, în situația în care deficiențele persistă.
Ratingul 5 denotă deficiențe majore ale performanței acționariatului, managementului și consiliului de administrație cât și la nivelul practicilor de gestionare a riscurilor. Acționarii, managementul și consiliul de administrație nu au demonstrat capacitatea de a corecta problemele și de a implementa practici corespunzătoare de gestionare a riscului. Problemele și riscurile semnificative sunt identificate, măsurate, monitorizate sau controlate în mod inadecvat, ajungând săamenințe viabilitatea instituției.
Este absolut necesară înlocuirea sau întărirea managementului sau consiliului de administrație, în situația în care deficiențele persistă.
Această componentă – calitatea acționariatului – a fost recent inclusă în cadrul sistemului de rating bancar ca urmare a problemelor cu care s-au confruntat băncile din cadrul sistemului bancar românesc. Falimentul Băncii Turco-Române a avut drept cauză principală deficiența în calitatea acționariatului.
2.3.3 Calitatea activelor
Ratingul calității activelor reflectăriscul potențial al creditelor, al investițiilor și al altor active, precum și al tranzacțiilor extrabilanțiere.
Evaluarea calității activelor trebuie analizată și în funcție de gradul de previzionare al acestora. De asemenea, este necesar să se ia în calcul toate celelalte riscuri, care pot afecta valorificarea activelor băncii, incluzând riscurile de exploatare, de piață, de reputație, strategie și altele. Capacitatea managerului băncii este reflectată de măsura în care reușește să identifice, să urmărească și să controleze aceste riscuri.
Calitatea activelor băncii este evaluată în funcție de următorii factori:
practici sănătoase de administrare a creditului și de identificare a riscurilor;
nivelul, distribuția, gravitatea și trendul activelor neperformante, atât pentru tranzacțiile bilanțiere cât și extrabilanțiere;
adecvarea provizioanelor și a altor rezerve;
riscul de credit rezultat din tranzacții extrabilanțiere, cum ar fi scrisori de garanție, acreditive, linii de credit și altele;
varietatea și calitatea portofoliilor de credit și investiții;
gradul de concentrare a riscului;
adecvarea politicilor și practicilor de credit și investiții;
capacitatea de administrare corespunzătoare a activelor, inclusiv identificarea și corectarea activelor problemă;
adecvarea controlului intern și a sistemelor informatice manageriale.
Definirea ratingurilor rezultate din analiza indicatorilor pentru componenta calitatea activelor:
Rating 1 indică o calitate adecvată a activelor și practicilor de administrare a creditului. Deficiențele identificate sunt minore și expunerea la risc referitoare la protecția capitalului este modestă. Calitatea activelor în astfel de instituții presupune o supraveghere minimă.
Rating 2 indică o calitate satisfăcătoare a activelor și practicilor de admninistrare a cre-ditului. Nivelul și seriozitatea sistemului de clasificare și alte deficiențe justifică un nivel limitat al atenției supravegherii.
Rating 3 este atribuit în situația în care calitatea activelor și a practicilor de administrare a creditului sunt mai puțin decât satisfăcătoare. Trendul poate fi stabil sau indicădeteriorarea calității activelor sau o creștere a expunerii la risc. Nivelul și seriozitatea clasificării activelor impun o supraveghere atentă. În general, se manifestă nevoia îmbunătățirii practicilor de admninistrare a creditului și riscului.
Rating 4 este atribuit instituțiilor financiare cu o calitate a activelor și a practicilor de administrare a creditului deficitare. Nivelul riscului activelor problemă e controlat necorespunzător în mod semnificativ, expunând instituția la potențiale pierderi care nu sunt controlate și care pot amenința viabilitatea acesteia.
Rating 5 indică o calitate critică a activelor sau a practicilor de administrare a creditului, care pot constitui o amenințare iminentă pentru viabilitatea instituției.
În analiza calității activelor sunt utlizați următorii indicatori:
1. Rata generalăde risc:
Rata generalăde risc = (Active la valoarea netă, ponderate în funcție de gradul lor de risc de credit/Total active din bilanț la valoarea contabilă) + + (Elemente în afara bilanțului, transformate în echivalent credit, în funcție de gradul lor de risc de transformare în credit, ponderate în funcție de gradul lor de risc de credit/Total elemente în afara bilanțului la valoarea contabilă).
Limite:
mai mare sau egal cu (media pe sistem sau grup bănci – 30%) rating 1;
mai mic decât (media pe sistem sau grup bănci – 30%);
mai mare sau egal cu (media pe sistem sau grup bănci – 10%) rating 2;
mai mare decât (media pe sistem sau grup bănci – 10%);
mai mic decât (media pe sistem sau grup bănci + 10%) rating 3;
mai mare decât (media pe sistem sau grup bănci + 10%);
mai mic decât (media pe sistem sau grup bănci + 30%) rating 5.
2. Credite acordate clientelei / Total activ
Credite acordate clientelei/Total activ = (Operațiuni cu clientela, exclusiv creanțe și valori de recuperat, la valoarea brută+ Creanțe restante și îndoielnice din operațiuni cu clientela exclusiv valori de recuperat + Provizioane pentru creanțe restante și îndoielnice din operațiuni cu clientela exclusiv cele aferente valorilor de recuperat)/Total activ la valoarea brută(sume nete + amortizări și provizioane).
Limite:
mai mic sau egal cu 50% rating 1;
50,1 – 55% rating 2;
55,1 – 60% rating 3;
60,1 – 65% rating 4;
mai mare decât 65% rating 5.
3. Credite acordate clientelei în total surse atrase și împrumutate
Credite acordate clientelei în total surse atrase și împrumutate = (Operațiuni cu clientela, exclusiv creanțe și valori de recuperat, la valoarea brută + Creanțe restante și îndoielnice din operațiuni cu clientela exclusiv valori de recuperat + Provizioane pentru creanțe restante și îndoielnice din operațiuni cu clientela exclusiv cele aferente valorilor de recuperat)/Surse atrase și împrumutate (Total pasiv – capitaluri proprii, asimilate și provizioane).
Limite:
mai mic sau egal cu 60% rating 1;
60,1 – 65% rating 2;
65,1 – 70% rating 3;
70,1 – 75% rating 4;
mai mare decât 75% rating 5.
4. Creanțe restante și îndoielnice / Total portofoliu credite
Creanțe restante și îndoielnice/Total portofoliu credite = (Creanțe restante și îndoielnice din opearțiuni interbancare exclusiv depozite la bănci și valori de recuperat + Creanțe restante și îndoielnice din operațiuni cu clientela exclusiv valori de recuperat + Creanțe restante și îndoielnice privind titlurile primite în pensiune livrată)/(Credite acordate băncilor + Credite acordate clientelei + Titluri primite în pensiune livrată).
Limite:
mai mic sau egal cu 2% rating 1;
2,1 – 4% rating 2;
4,1 – 6% rating 3;
6,1 – 8% rating 4;
mai mare decât 8% rating 5.
5. Creanțe restante și îndoielnice / Total activ
Creanțe restante și îndoielnice/Total activ = (Creanțe restante și îndoielnice din operațiuni de trezorerie și operațiuni interbancare + Creanțe restante și îndoielnice din operațiuni cu clientela + Creanțe restante și îndoielnice din operațiuni cu titluri și operațiuni diverse + Creanțe restante și îndoielnice din valori imobilizate)/Total activ la valoarea netă.
Limite:
mai mic sau egal cu 2% rating 1;
2,1 – 4% rating 2;
4,1 – 6% rating 3;
6,1 – 8% rating 4;
mai mare decât 8% rating 5.
6. Creanțe restante și îndoielnice/Capitaluri proprii
Creanțe restante și îndoielnice/Capitaluri proprii = (Creanțe restante și îndoielnice din operațiuni de trezorerie și operațiuni interbancare + Creanțe restante și îndoielnice din operațiuni cu clientela + Creanțe restante și îndoielnice din operațiuni cu titluri și operațiuni diverse + Creanțe restante și îndoielnice din valori imobilizate) Capitaluri proprii, asimilate și provizioane.
Limite:
Crî < 30% Cp și Cp > 0 rating 1;
30%Cp < Crî < 50% Cp și Cp > 0 rating 2;
50%Cp < Crî < 70% Cp și Cp > 0 rating 3;
70%Cp < Crî < 100% Cp și Cp > 0 rating 4;
Crî < Cp sau Cp > 0 rating 5.
7. Rata riscului de credit 2
Rata riscului de credit 2 = Expunere neajustată aferentă creditelor și dobânzilor clasificate în îndoielnic și pierdere, inclusive elementele în afara bilanțului/Total credite și dobânzi clasifica-te.
Limite:
mai mic sau egal cu 5% rating 1;
5,1 – 10% rating 2;
10,1 – 20% rating 3;
20,1 – 30% rating 4;
mai mare decât 30% rating 5.
8. Rata de acoperire a creditelor și plasamentelor neperformante
Rata de acoperire a creditelor și plasamentelor neperformante = (Fonduri proprii – Cre-dite bancare și nebancare, plasamente interbancare și dobânzi aferente clasificate în îndoielnic și pierdere expunere ajustată)/Total active la valoarea netă.
Limite:
mai mare sau egal cu 8% rating 1;
7 – 7,9% rating 2;
5 – 6,9% rating 3;
2 – 4,9% rating 4;
mai mic decât 2% și fonduri proprii negative rating 5.
9. Ponderea creditelor banacare și nebancare, a plasamentelor interbancare și a dobânzilor aferente acestora clasificate în substandard, îndoielnic și pierdere expunere ajustatăîn total active.
Limite:
mai mic sau egal cu 5% rating 1;
5,1 – 15% rating 2;
15,1 – 30% rating 3;
30,1 – 50% rating 4;
mai mare decât 50% rating 5.
10. Gradul de acoperire cu rezerve și provizioane a expunerii ponderate în funcție de risc aferente creditelor bancare și nebancare, plasamentelor interbancare și dobânzilor corespunzătoare acestora clasificate în substandard, îndoielnic și pierdere.
Indicatorul se determină prin raportul: (Rezerva generală pentru riscul de credit + Provizioane aferente creditelor și plasamentelor)/Expunere ajustată a creditelor și plasamentelor clasificate substandard, îndoielnic și pierdere.
Limite:
mai mare sau egal cu 90% rating 1;
80 – 89,9% rating 2;
60 – 79,9% rating 3;
20 – 59,9% rating 4;
mai mic decât 20% rating 5.
2.4. Analiza de bonitatea a unui client persoanǎ fizicǎ în vederea obținerii unui credit de la Unicredit Țiriac Bank
În practică lucrurile stau ușor diferit comparativ cu ceea ce se spune la nivel teoretic. Este foarte limpede citând normele Bǎncii Naționale a României privitor la activitatea de creditare, precum că acestea sunt la fel pentru toate instituțiile bancare. Dar nu de puține ori auzim pe piațǎ, printre clienți discuții de genul: "Am fost la banca X și m-a respins, însă am fost la banca Y și mi-a acordat creditul…". Existǎ totuși întrebarea ,,cum este posibil acest lucru? Nu toate băncile lucreza după aceleași normative?”. Sau o altă întrebare: "De ce 2 persoane cu același nivel al veniturilor și datoriilor obțin sume diferite de la aceeași bancă, pe același tip de credit, în același timp?" sau "De ce un pensionar are șanse mai mari să obțină un credit decât un tânăr de 20 de ani, care are toata viața înainte?" Întrebări de genul acesta ar mai fi multe, însă prin intermediul acestui studiu de caz se va clarifica răspunsul pentru fiecare dintre ele.
Plecăm de la o premisă simplă și anume faptul că singurul fapt cǎruia îi sunt datorate aceste situații îl reprezintă scoring-ul acesta stabilește nivelul bonității fiecărui client. Fiecare bancă are un nivel minim al bonității acceptate, fapt ce duce la diferențieri între clienți dar și între bănci. În analiza de bonitate a clientului, persoana fizică, sunt luați în calcul mai mulți parametri, acordându-se fiecăruia câte un punctaj. Acești parametri cât și punctajul acordat este asemănător dar nu identic de la o bancă la alta, ceea ce face ca un client respins la o anumită bancă, să se încadreze la o altă care pune mai mare accent pe alte caracteristici care compun profilul clientului.
Pentru a observa cum influențează fiecare parametru (stare civilă, personae aflate în între-ținere, profesia, vârsta,vechime la locul de muncă, mediu de proveniență, telefon, domeniu de acti-vitate etc.) nivelul bonității unui client, voi realiza o analiză cu ajutorul programului de scoring pus la dispoziție de către banca Unicredit Țiriac Bank.
Precizări:
avem un client persoană fizică, cu cetățenie romană și domiciliu stabil în România. Acestui client i se va calcula bonitatea în vederea obținerii unui credit, schimbându-i-se însă de mai multe ori informațiile care-i alcătuiesc scoring-ul.
Analiza se va face după standardele de creditare de la Unicredit Țiriac Bank, iar mij-locul prin care se va realiza, îl reprezintă programul informatic de calculare a scoringului, "APT".
Caracteristici generale client – nume: Popescu Ion
– vârsta: 21 ani
– venit net : 1500 ron
– rate : 0 lei
Aceste date se vor păstra pe tot parcursul analizei.
Informații credit : – tip: Nevoi Personale fără garanție
– valoare : 5000
– monedă : EUR
– Perioada : 120 luni
Criteriile după care se realizează analiza bonității în vederea obținerii unui credit la UCT Bank și care rezultă din programul de calcul "APT" sunt:
– stare civilă
– nivel educație
– domeniul de activitate
– profesia
– telefon fix
– telefon mobil
– vechime la adresa curentă
– vechime la locul de muncă actual
– vechime la anteriorul loc de muncă
– număr copii
– număr persoane în întreținere
Se urmărește:
modul în care influențează fiecare din parametri de mai sus nivelul de bonitate a cli-entului
corelațiile care se realizează între parametri urmăriți în vederea determinării unui ni-vel bun al bonității clientului
determinarea "profilului ideal al clientului", mai exact felul în care trebuie să înde-plinească fiecare criteriu din scoring pentru a obține un nivel maxim al bonității.
de ce sunt mai importanți anumiți parametri?
Cazul 1: Se iau datele clientulului menționat și se introduc în sistemul informatic pentru a i se face scoringul în vederea determinării nivelului de bonitate:
Figura 1. Informații credit Sursa: Unicredit Țiriac Bank
Figura 2. Informații scoring Sursa: Unicredit Țiriac Bank
Figura 3. Venituri și cheltuieli Sursa: Unicredit Țiriac Bank
Figura 4. Rezultat analiza bonitǎții Sursa: Unicredit Țiriac Bank
Interpretare caz 1: Observǎm că cererea de credit în această situație a fost respinsă. Întrebarea este "de ce?". Rapunsul este "datorită bonității sub nivelul minim acceptat".
La o primă vedere am fi putut spune că acest client este eligibil din multe puncte de vedere cum ar fi: -venit net 1500 ron (minim acceptat de bancă este de 750ron);
– varsta 21 ani (varsta mimima 20 ani);
– vechime în câmpul munci 20 luni (minim acceptat 12 luni);
– acesta are telefon fix și mobil, nu are copii în întreținere.
Deși se încadrează în anumiți parametri clientul nostru a pierdut punctaj deoarece este mult prea tânăr, nu are studii superioare, sau pentru că nu este căsătorit.
Faptul că banca acceptă vârsta minimă 20 de ani, dar 21 de ani este considerată totuși o vârsta riscantă, este justificată prin numeroasele situații în care tinerii nefiind suficient de responsabili la vârsta aceasta, și-au pierdut slujbele după contractarea creditelor, sau din motive subiective și conștiente au întrerupt plata ratelor.
Studiile superioare, dau siguranță băncii ca în cazul în care clientul își pierde locul de muncă, acestuia îi va fi mult mai ușor să găsească un altul, într-un timp foarte scurt.
Statutul de căsătorit, conferă un grad ridicat de responsabilitate și stabilitate, riscul fiind mult mai redus de neplată.
Acești trei parametri interpretați mai sus, respectiv: vârsta, studii și starea civilă sunt de o reală importanță în analiza bonității clienților de retail în vederea angajării de credite.
În următorul caz încercăm să plusăm, astfel vom vedea modificarea cărui parametru din cei trei discutați mai sus, duce la obținerea unui rezultat pozitiv.
Cazul 2: În următoarea situație am păstrat aceleași informații referitoare la client, schim-bându-i doar vârsta, respectiv de la 21 de ani l-am dus la vârsta de 30 ani (vârstă care conferă un grad mult mai ridicat de siguranță pentru bancă).
Figura 5. Modificare vârsta client Sursa: Unicredit Țiriac Bank
Figura 6. Rezultat analiza bonitatii dupa modificarea varstei
Sursa: Unicredit Țiriac Bank
Interpretare caz 2: După cum observăm mai jos, acest parametru, totuși, nu este suficient de important, drept dovadă statusul a rămas același și anume "respins". Chiar dacă nivelul bonității acestui client a crescut, prin prisma vârstei, nu este suficient încât să atingă minimul acceptat de UCT Bank.
Cazul 3: După cum se observă au mai rămas doi parametri decisivi, care îl pot duce pe client spre obținerea creditului. Mai departe vom trece în dreptul stării civile căsătorit.
Figura 7. Modificare stare civila Sursa: Unicredit Țiriac Bank
Figura 8. Rezultatul analizei bonitatii dupa schimarea starii civile
Sursa: Unicredit Țiriac Bank
Interpretare caz 3: Se observă că într-adevăr starea civilă este un parametru decisiv pentru bancă în analiza de bonitate a clientului. Deși clientul nostru nu are studii superioare în cazul de față, totuși a atins nivelul optim al bonității prin care i se acordă credit.
Gradul maxim care îi este permis să se îndatoreze este de 40%.
Cazul 4: În această situație clientul va fi unul cu studii superioare, dar necăsătorit, restul para-metrilor rămânând neschimbați, mai puțin profesia, care odată cu studiile superioare se schimbă în Angajat cu studii superioare(universitare).
Figura 9. Modificare nivel de educatie Sursa: Unicredit Țiriac Bank
Figura 10 Rezultatul analizei bonitǎții dupǎ schimarea nivelului de educație
Sursa: Unicredit Țiriac Bank
Interpretare caz 4: Studiile superioare cântăresc la fel de mult ca și statutul de căsătorit, așadar un client persoană fizică trebuie să fie căsătorit sau să aibă studii superioare pentru a înregistra nivelul optim de bonitatea în privința accesării unui credit la Unicredit Țiriac Bank
Gradul de îndatorare este tot de maxim 40 % și în această situație.
Cazul 5: Este lesne de înțeles că un client care este și căsătorit și are și studii superioare nu are nicio problemă în accesarea unui credit, dacă și ceilalți parametri sunt respectați.
În această ultimă situație voi introduce în toate câmpurile parametrul cel mai bine punctat de către analiștii de bonitate pentru a vedea care este diferența.
Figura 11. Profilul" clientului ideal" Sursa: Unicredit Țiriac Bank
Figura 12. Rezultatul analizei bonitatii unui "client ideal"
Sursa: Unicredit Țiriac Bank
Era de așteptat ca statusul să fie "admis", însă interesant de urmărit este nivelul maxim de îndatorare permis, care în această situație urcă până la 47%, comparativ cu celelalte două situ-ații unde maximul permis atingea doar 40% .
2.4.2. Analiza de bonitatea a unui client persoana juridicǎ în vederea obținerii unui credit de la Unicredit Țiriac Bank
Pentru exemplificare am luat în considerare o societate S.C. Gold S.A cu următoarele caracteristici:
Evoluția criteriilor de performanță financiară – lei-
Vom determina în continuare categoria de bonitate a societății respective conform me-todelor prezentate:
Lichiditatea curentă=Active curente/Datorii curente*100 =
= 140.084/8.842*100 = 165,11% 4 puncte
Lichiditatea imediată=(Active curente-Stocuri)/Datorii curente*100=
= (140.084-82579)/84.842*100 = 67,77% 1 punct
Gradul de îndatorare=Datorii totale/Active totale*100=
= 91.702/433.881*100= =21,13% 4 puncte
Solvabilitatea patrimonială=Capital social/Active totale*100=
=162.983/433.881*100= 37,56% 4 puncte
Solvabilitatea lărgită =Capitaluri proprii/Active totale*100 =
=342.178/433.881*100=78,86% 4 puncte
Randamentul activelor=Cifra de afaceri netă/Active totale*100=
=411.960/433.881*100=94,94% 4 puncte
Rata independenței financiare = Capital propriu/Datorii totale*100 =
=342.178/91.702*100=373,13% 4 puncte
Gradul de acoperire a cheltuielilor din încasări=Venituri totale/Cheltuieli totale*100=
=441.976/424.743*100=104,05% 1 punct
Alte criterii de performanță:
Tipul garanției: garanției bancară 4 puncte
Sursa de rambursare: acreditive deschise 3 puncte
Calitatea conducerii: foarte bună 3 puncte
Domeniul principal de activitate: producție 4 puncte
Rulaje prin UCTB/ Rulaje prin alte bănci: 20% 0 puncte
Volumul investițiior realizate în ultimul an: 4 miliarde lei 2 puncte
Conform normelor băncii Unicredit Tiriac Bank, scorul inregistrat de S.C. Companie S.A este de 42 puncte, firma încadrându-se în categoria de bonitate A. Clientul este acceptat pentru a contracta un credit la Unicredit Tiriac Bank.
CAPITOLUL 3. Proceduri de audit pentru evaluarea funcționalitǎții sistemului IT
3.1. Obiective generale și obiective specifice ale auditului IT
Abordarea generală a auditului IT se bazează pe evaluarea riscurilor. Pentru auditul per-formanței implementării și utilizării sistemelor informatice se asociază și abordarea pe rezultate. Auditul se poate efectua pentru întreg ciclul de viață al sistemelor și aplicațiilor informatice sau se poate raporta doar la anumite componente specificate sau la anumite etape de dezvoltare a siste-mului.
Formularea obiectivelor generale se face în funcție de scopul evaluării: evaluarea per-formanței unei activități bazate pe tehnologia informației, evaluarea unui program sau a unui sis-tem bazat pe tehnologia informației, evaluarea tehnică a unui sistem sau a unor aplicații, evaluarea unor componente ale sistemului dintr-un punct de vedere precizat.
Scopul generic al misiunilor de audit al sistemelor informatice îl reprezintǎ obținerea unei asigurări rezonabile cu privire la implementărea și funcționarea sistemului, conform cu prevederile legislației în vigoare, cu reglementările în domeniu, cu standardele internaționale și ghidurile de bune practici, precum și evaluarea sistemului din punctul de vedere al furnizării unor servicii in-formatice de calitate sau prin prisma performanței privind modernizarea administrației și asigu-rarea încrederii în utilizarea mijloacelor electronice.
Există două categorii de probleme ce pot constitui obiective generale ale auditului:
1. stabilirea conformității rezultatelor entității cu un document de referință, conformitate asupra căreia trebuie să se pronunțe auditorul;
2. evaluarea eficienței cadrului procedural și de reglementare și a focalizării acestuia pe obiectivele entității.
Criteriile de evaluare generice fac referire la:
sistemul informatic ce asigură un cadru adecvat, bazat pe integrarea tehnologiilor infor-matice pentru desfășurarea continuă a activității;
activitățile ce sunt desfășurate pe parcursul derulării proiectelor IT corespund cu obiec-tivele și termenele de realizare, aprobate la nivel instituțional, la fundamentarea acestora;
înregistrarea pe parcursul proiectelor a unor dificultăți tehnice, de implementare sau de altă natură;
implementarea proiectelor ce conduce la modernizarea activității entității, contribuind ast-fel la integrarea unor noi metode de lucru, adecvate și conforme cu noile abordări pe plan european și internațional;
soluțiile tehnice sunt fiabile și pot susține funcționalitatea cerută în vederea creșterii calității activității;
sistemul informatic funcționează în conformitate cu cerințele programelor și proiectelor in-formatice privind integralitatea, acuratețea și veridicitatea, precum și cu standardele specifice de securitate;
pregătirea utilizatorilor atinge nivelul performanței cerute de această nouă abordare, anali-zată prin prisma impactului cu noile tehnologii;
există și au fost respectate standarde privind calitatea suportului tehnic și metodologic.
Aceste criterii sunt utilizate pe parcursul misiunii de audit IT, din perspectiva creării, la nivelul bǎncii, a unor arhitecturi de sistem coerente, bazate pe creșterea partajării informației și a sistemelor, reducerea costurilor totale prin reutilizare și evitarea duplicării aplicațiilor și sistemelor, reducerea timpului de implementare a proiectelor, îmbunătățirea manierei de administrare a proiec-telor și de implementare a soluțiilor, stabilirea politicilor de migrare pentru proiectele existente.
Determinarea naturii și volumului procedurilor de audit. Natura și volumul proce-durilor de audit necesare pentru evaluarea controalelor aferente mediului informatizat variază în funcție de obiectivele auditului și de alți factori care trebuie luați în considerare: natura și comple-xitatea sistemului informatic al entității, mediul de control al entității, precum și conturile și aplica-țiile semnificative pentru obținerea situațiilor financiare.
Auditorul public extern cu atribuții de evaluare a sistemului IT și auditorul public extern cu atribuții de auditare a situațiilor financiar contabile trebuie să coopereze pentru a determina care sunt activitățile care vor fi incluse în procesul de revizuire. Când auditul sistemului informatic este o parte din misiunea de audit financiar, evaluarea controalelor IT face parte dintr-un efort consis-tent atât de evaluare a controalelor, cât și de evaluarea fiabilității datelor financiare raportate.
3.2. Etapele auditului sistemelor informatice
Etapele auditului sistemelor informatice sunt: planificarea auditului, efectuarea auditului, raportarea și revizuirea auditului.
Misiunea de audit al sistemelor informatice se deschide în cadrul unei întâlniri cu condu-cerea bǎncii, organizate la sediul acesteia, inițiate de structura de specialitate a Curții de Conturi care desfășoară auditul. Din partea Curții de Conturi, la întâlnire pot să participe directorul din cadrul departamentului sau directorul/directorul adjunct al camerei de conturi, după caz, și echipa de audit desemnată.
În cadrul întâlnirii de deschidere a auditului sunt prezintate echipa de audit, tema și obiectivele auditului, sunt stabilite persoanele de contact, precum și alte detalii necesare realizării auditului și sunt clarificate aspectele legate de asigurarea unor spații de lucru adecvate și a supor-tului logistic corespunzător.
Pentru a efectua auditul sistemelor informatice, auditorul public extern va trebui să aibă suficiente cunoștințe în domeniul tehnologiei informației și comunicațiilor, care să-i permită înțe-legerea strategiilor, politicilor și activităților care fac obiectul auditului.
De asemenea, auditorul public extern trebuie să dețină cunoștințele necesare pentru iden-tificarea riscurilor induse de funcționarea sistemului informatic, precum și pentru evaluarea meto-delor de tratare a acestor riscuri.
Înțelegerea acestui domeniu îi va permite auditorului să determine natura, durata și întinderea procedurilor de audit, precum și să stabilească efectul dependenței entității de sistemul informatic și să evalueze capacitatea entității de a asigura continuitatea activității.
Auditorul trebuie să planifice și să efectueze auditul astfel încât să obțină o asigurare rezonabilă privind existența sau absența unor anomalii, deficiențe de implementare sau erori sem-nificative.
Controalele generale vizează strategiile, politicile și procedurile care se aplică tuturor sis-temelor informatice ale entității sau numai asupra unui segment al acestora, cum ar fi de exemplu protecția datelor, protecția programelor, prevenirea accesului neautorizat, asigurarea continuității sistemului.
Eficacitatea controalelor generale reprezintǎ un factor semnificativ în determinarea efica-cității controalelor de aplicație. Fără un sistem de controale generale fiabil, controalele de aplicație nu pot fi eficace din cauza nesiguranței în ceea ce privește protecția față de tentativele de alterare sau de distrugerea informațiilor și programelor sau față de atacurile fizice asupra sistemului de calcul.
Controalele de aplicație sunt specifice fiecărei aplicații și oferă asigurarea că tranzacțiile sunt valide, autorizate, prelucrate și raportate complet. Acest tip de controale includ tehnici de con-trol automate sau revizuiri manuale ale rapoartelor generate de calculator și identificarea arti-colelor eronate sau neuzuale.
Atât controalele generale cât și controalele de aplicație trebuie să fie eficace pentru a contribui la obținerea unei asigurări că informația critică obținută în urma prelucrărilor pe cal-culator este fiabilă, adecvată, disponibilă și protejată în ceea ce privește confidențialitatea.
Planificarea auditului. Planificarea este prima etapă din ciclul de viață al auditului, corectitudinea acesteia asigurând eficiența și execuția efectivă a tuturor celorlalte etape ale audi-tului. Planificarea presupune obținerea de informații privind entitatea auditată și de informații des-pre sistemul de control intern al acesteia. De asemenea, și foarte important, planificarea trebuie să includă o evaluare a riscurilor care decurg din funcționarea acestor sisteme.
Planificarea auditului are la bază o strategie de audit, care se formulează pornind de la definirea abordării auditului și precizează elemente legate de coordonarea misiunii de audit, echipa implicată în această misiune, atribuțiile în cadrul echipei, orizontul de timp și direcțiile principale de acțiune.
Scopul planificării auditului IT este acela de a obține o înțelegere a mediului în care func-ționează sistemul informatic în cadrul entității auditate, de a evalua riscul de eroare sau de fraudă, de a elabora o abordare eficientă a auditului prin care să se colecteze probe suficiente și de încre-dere în scopul formării unei opinii, și de a aloca resursele necesare pentru realizarea acestor active-tăți.
Planificarea auditului sistemelor informatice trebuie să includă toate fazele necesare atin-gerii obiectivelor misiunii auditului, respectiv: documentarea privind activitatea auditată, program-mul sau sistemul care face obiectul auditului, stabilirea strategiei de audit, stabilirea procedurilor de audit și a tehnicilor aferente, a metodelor de sintetizare, analiză și interpretare a probelor de au-dit, identificarea și evaluarea riscurilor generate de furnizarea serviciilor electronice.
În cazul auditării sistemelor informatice financiar-contabile, trebuie analizat impactul acestor sisteme asupra planului misiunii de audit. Această analiză are la bază următoarele activități: cunoașterea relației dintre situațiile financiare și sistemele informatice care le susțin; evaluarea necesității implicării în audit a specialiștilor în audit IT; luarea în considerare a impactului implementării și utilizării sistemului informatic asu-pra riscului, atât la nivelul entității cât și pentru domeniul financiar-contabil; luarea în considerare a posibilităților de utilizare a tehnicilor de audit asistat de calculator pentru susținerea auditului, inclusiv identificarea celor mai adecvate mijloace de ace-sare și analiză a datelor aferente tranzacțiilor; analiza modului de includere a evaluării controalelor IT în abordarea auditului; identificarea sistemelor informatice financiar-contabile în curs de dezvoltare care vor necesita implicarea auditului.
Aceste activități fac parte din evaluarea IT pe care auditorii trebuie să o finalizeze ca par-te integrantă a planificării auditului. Dacă sistemele au un grad de complexitate ridicat, este indicat să se utilizeze un specialist în audit IT pentru a finaliza sau a asigura consultanță pentru finalizarea întregii analize sau a unei părți din aceasta. Dacă există o evaluare anterioară finalizată, aceasta poate fi actualizată și se va pune accent pe revizuirea aplicațiilor noi și pe schimbările majore ale sistemelor existente.
Sistemul informatic constituie suportul furnizării informației și devine indispensabil în condițiile Societății Informaționale. Datorită extinderii misiunilor de audit financiar și a acțiunilor de control care se desfășoară în medii informatizate, se accentuează necesitatea asigurării conver-genței metodelor și standardelor de audit financiar cu metodele și standardele de audit IT.
Pentru a verifica satisfacerea cerințelor pentru informație, se va avea în vedere, auditarea sistemului informatic care furnizează informația financiar-contabilă.
Documentarea în auditul sistemelor informatice. Pentru stabilirea unei strategii de audit, auditorul trebuie să obțină informații și cunoștințe legate de banca auditată și de mediul în care aceasta operează. Activitatea de documentare are ca scop cunoașterea obiectivelor bancii cu privire la performanța tehnologiei informației, precum și a principalelor aspecte legate de coordona-rea,structura și funcționalitatea sistemelor, serviciilor și aplicațiilor care susțin obiec-tivele, în ve-derea alegerii celor mai adecvate metode, tehnici și proceduri de audit.
În faza de planificare, auditorul obține o înțelegere a operațiilor și controalelor IT și a riscurilor asociate.
Prin prisma acestor riscuri, auditorul decide care controale sunt cel mai probabil să fie eficace. În situația în care controalele au o probabilitate mare de a fi eficace și dacă sunt relevante pentru obiectivele misiunii de audit, auditorul trebuie să determine natura și volumul procedurilor de audit necesare pentru a confirma ipotezele. În situația în care controalele nu au o probabilitate mare de a fi eficace, auditorul trebuie să obțină o înțelegere suficientă a riscurilor de control asoci-ate pentru a formula constatări adecvate și recomandări asociate privind acțiuni corective.
De asemenea, auditorul trebuie să determine natura, întinderea și volumul testelor nece-sare, în vederea alegerii celor mai adecvate metode, tehnici și proceduri de audit.
Metodele utilizate pentru colectarea informațiilor în faza de documentare sunt: prezentări în cadrul unor discuții preliminare cu reprezentanții managementului entității auditate; consultarea unor materiale documentare relevanteprivind activitatea entității; consultarea legislației aferente tematicii; consultarea documentațiilor tehnice; documentare în domeniul standardelor și bunelor practici; interviuri cu persoanele implicate în coordonarea, monitorizarea, administrarea, între-ținerea și utilizarea sistemului informatic; participarea la demonstrații privind utilizarea sistemului; studiul documentar realizat prin accesarea pe Internet a unor informații publicate pe website-ul bǎncii auditate.
Cunoașterea suficientă a bǎncii, respectiv a sistemului informatic este fundamentală pentru planificarea și efectuarea procedurilor de audit, precum și pentru definirea criteriilor, meto-delor și tehnicilor de evaluare a rezultatelor și a indicatorilor de performanță. Pe baza acesteia, auditorul realizează o evaluare preliminară a sistemului și identifică punctele critice care vor fi testate în detaliu în cadrul auditului.
În faza de cunoaștere a bǎncii, auditorul va lua în considerare identificarea și analiza factorilor care pot influența procesul de audit: componentele sistemului; activitățile, problematica și nivelele de decizie; atribuțiile bǎncii; ordonarea și monitorizarea proiectelor IT; normele metodologice și standardele în domeniu; cadrul legislativ și de reglementare în care entitatea își desfășoară activitatea; soluția organizatorică privind implementarea sistemului informatic; arhitectura sistemului informatic (platforma hardware/software).
Factorii care influențează funcționalitatea sistemului: complexitatea componentelor software, sistemul de constituire, achiziție, validare, utilizare a fondului documentar, operarea sistemului, interfața utilizator, schimbul de date între structuri, interoperabilitate, anomalii în implementare, modalități de raportare și operare a corecțiilor, siguranța în funcționare, rata căderilor, puncte critice, instruirea personalului utilizator, documentație tehnică, ghiduri de operare, forme și programe de instruire a personalului, asigurarea suportului tehnic; raportarea și soluționarea problemelor tehnice, organizatorice, de personal.
Evaluarea riscurilor. După obținerea unei înțelegeri asupra mediului informatizat al bǎncii, auditorul va evalua riscul inerent și riscul de control, factori care se iau în considerare la determinarea riscului de audit.
Riscul de audit, indus de utilizarea sistemului informatic, poate fi exprimat în termenii următoarelor trei componente:
Riscul inerent, care decurge din susceptibilitatea asupra resurselor informatice sau asupra resurselor controlate de sistemul informatic: furt material, distrugere, dezvăluire, modificări neautorizate, incompatibilitate, în lipsa controalelor interne asociate.
Riscul de control, care reprezintă riscul ca erorile materiale din datele bǎncii să nu fie prevenite sau detectate și corectate în timp util de structura controlului intern al bǎncii.
Riscul de nedetectare, care reprezintă riscul ca auditorul să nu detecteze erorile existente în sistem.
Sistemele financiare trebuie să permită auditorului să urmărească tranzacțiile începând cu intrarea inițială, tranzacțiile generate de sistem și tranzacțiile cu alocare internă; până la reflectarea lor corectă în situațiile financiare. Toate datele relevante și informațiile de parcurs al auditului financiar trebuie reținute un timp suficient pentru finalizarea auditului. Documentele sursă trebuie de asemenea să facă parte din parcursul auditului financiar, și acestea trebuie și ele să fie păstrate până la finalizarea auditului.
Natura configurației hardware și software utilizate: tipul de prelucrare (locală, online, distribuită); dispozitivele periferice, interfețele sistem sau conexiunea la Internet; rețelele dis-tribuite, furnizarea serviciilor IT.
Riscurile tipice sunt: accesul neautorizat la resursele sistemului, posibila alterare a datelor, dezvăluirea informațiilor sensibile, dependența de furnizorul de programe.
Tranzacții neuzuale: programele dezvoltate pentru prelucrarea tranzacțiilor neuzuale sau la o cerere specială a managementului pentru extragerea unor informații specifice se plasează în afara sistemului standard.
Factori care afectează riscul de control. În anul 1992, The Committee of Sponsoring Organizations of the Treadway Commission (COSO) a identificat următoarele componente inter-relaționate ale sistemului de control intern care au fost adoptate de AICPA:
mediul de control, care include: integritatea, valorile etice și competența perso-nalului entității; viziunea managementului și stilul de operare și modul în care managementul își manifestă autoritatea, își organizează și dezvoltă resursele umane.
evaluarea riscurilor: identificarea și analiza riscurilor relevante pentru atingerea obiectivelor entității, în scopul formării unei baze pentru determinarea modului în care acestea pot fi gestionate.
activitățile de control: politicile și procedurile care oferă asigurarea că deciziile managementului sunt aduse la îndeplinire. Acestea includ activități care presupun: aprobări, veri-ficări, reconcilieri, revizuiri ale performanței și separarea atribuțiilor.
informarea și comunicarea, care presupun identificarea, capturarea și comunicarea informației pertinente către indivizi, într-o formă adecvată și într-un timp care să le permită îndeplinirea responsabilităților.
monitorizarea: se referă la activitățile viitoare care presupun evaluarea continuă a performanței controlului intern și asigurarea că deficiențele identificate sunt raportate mana-gementului de vârf. Atunci când evaluează sistemul de control intern, auditorul trebuie să ia în considerare factorii specifici mediului informatizat.
Riscurile generice asociate sistemului informatic, detectate pe parcursul unei misiuni de audit al sistemelor informatice vor fi clasificate în trei categorii:
a) Riscuri privind planificarea, dezvoltarea și introducerea sistemelor și serviciilor infor-matice. Aceste riscuri decurg din: lipsa unei planificări strategice; insatisfacția utilizatorilor; igno-rarea explorării profilului utilizatorilor; neglijarea aspectelor legate de asigurarea calității; lipsa unor evaluări privind eficacitatea costurilor; neîndeplinirea atribuțiilor privind crearea cadrului ne-cesar legal și organizațional; implicarea sporadică și inconsecventă în elaborarea și implementarea reglementărilor și standardelor IT și de securitate; furnizarea neadecvată a infrastructurii tehnice; dependența de companiile IT; lipsa reglementării drepturilor privind rețeaua Internet; lipsa unor evaluări ale proiectelor raportate la evoluțiile tehnologiilor informației și comunicațiilor.
b) Riscuri în funcționarea sistemelor și serviciilor informatice. Aceste riscuri decurg din: politici de securitate IT tehnică și organizațională neadecvate, care afectează integritatea, auten-ticitatea, confidențialitatea și disponibilitatea informațiilor; securizarea transferului de date; capa-bilitățile de auditare a informațiilor; securitatea tranzacțiilor; redundanță, discontinuități media și interoperabilitate neadecvată.
c) Riscuri și efecte în plan economic. Aceste riscuri decurg din: decizii neadecvate, dato-rate pierderilor sau alterării informațiilor furnizate de sistemul informatic; pierderi datorate unor disfuncționalități generate de indisponibilitatea informațiilor în timp real; dezvoltarea și imple-mentttarea necontrolată a unor componente informatice eterogene; cheltuieli dispersate, nejusti-ficate; scăderea eficienței serviciilor informatice furnizate.
Procedurile de audit vor furniza elemente pentru fundamentarea opiniei de audit privind gestionarea resurselor informatice disponibile, în scopul atingerii obiectivelor entității, prin asigurarea eficienței, confidențialității, integrității, disponibilității, siguranței în funcționare și con-formității cu un cadru de referință. Această opinie trebuie să includă, în cazul neconformităților, nivelul de risc și să contribuie prin recomandările formulate la remedierea acestora.
Evaluarea riscurilor se va efectua în conformitate cu următoarele criterii generale: utilizarea sistemului informatic se realizează în cadrul unei structuri clar definite; conducerea la cel mai înalt nivel este informată despre activitatea IT și este receptivă la schimbare; gestionarea resurselor umane se face eficient; monitorizarea cadrului legislativ și a contractelor cu principalii furnizori se desfășoară corespunzător; are loc revizuirea funcționalității, operării și dezvoltărilor de componente, astfel încât acestea să fie în concordanță cu necesitățile activității bǎncii și să nu expună entitatea la riscuri nejustificate.
Accesul neautorizat la datele sau programele critice este prevenit și controlat; mediul în care operează sistemele este sigur din punct de vedere al confidențialității, integrității și credibilității.
Aplicațiile sunt disponibile atunci când este nevoie, funcționează conform cerințelor, sunt fiabile și au implementate controale sigure asupra integrității datelor.
Sunt luate măsurile necesare pentru diminuarea riscului deteriorării sau al furtului echipamentelor IT, se acționează corespunzător pentru reducerea probabilității apariției unor defecțiuni majore și sunt stabilite măsurile necesare pentru ca, în cazul indisponibilizării faci-lităților de procesare, entitatea să își reia în mod eficient activitatea, într-o perioadă de timp rezonabilă. Sistemul este conform cu reglementările legale în vigoare.
În evaluarea riscurilor IT se va utiliza lista de verificare privind evaluarea riscurilor generate de funcționarea sistemului informatic. Aceasta conține următoarele categorii de probleme generatoare de riscuri: dependența de sistemul informatic; resursele și cunoștințele de tehnologia informației; încrederea în sistemul informatic; schimbările în sistemul informatic; externalizarea serviciilor de tehnologia informației; focalizarea pe activitate; securitatea informației și a sistemului; managementul tehnologiei informației.
Această listă nu exclude adăugarea altor categorii de probleme considerate semnificative de către auditor, în funcție de obiectivele specifice ale auditului.
Descrierea riscurilor identificate de auditorii publici externi trebuie să includă informații privind cauzele și impactul posibil al acestora, precum și nivelul de risc evaluat de auditorul public extern pe baza raționamentului profesional.
Elaborarea Planului de audit. Planul de audit oferă cadrul general pentru atingerea obiectivelor auditului într-un mod eficient și oportun.
Pe parcursul desfășurării auditului, se admit ajustări ale planului de audit, justificate de apariția unor elemente noi față de evaluarea contextului inițial, care necesită adâncirea unor in-vestigații și aplicarea unor proceduri de audit mai detaliate.
Planul de audit conține informații privind natura, durata și programarea procedurilor de audit, precum și resursele necesare.
Elaborarea planului de audit se concentrează pe următoarele direcții: definirea ariei de acoperire a auditului, descrierea modului în care se va desfășura auditul, furnizarea unui mijloc de comunicare a informațiilor despre audit întregului personal implicat în auditare.
Planul de audit conține următoarele secțiuni:
1. Informații despre banca auditată: obiective, structură, dotare hardware și software,
Volumul operațiilor prelucrate automat;
2. Stabilirea obiectivelor auditului: abordarea auditului, aria de acoperire a auditului, rolul
auditorului IT;
3. Evidențierea domeniilor critice care vor fi examinate: ariile cu riscul cel mai ridicat;
4. Criteriile de audit stabilite;
5. Etapele misiunii de audit și tipurile de evaluări aferente: procedurile de audit prin care se obțin probele de audit, metodele și tehnicile de analiză, sinteză și interpretare a probelor de audit;
6. Resurse necesare: personal, timp, resurse tehnice și financiare.
Planul de audit se avizează de directorul din cadrul departamentului de specialitate /directorul adjunct al camerei de conturi și se aprobă de șeful de departament/directorul camerei de conturi.
Planul de audit al sistemelor informatice poate fi actualizat pe parcursul desfășurării mi-siunii de audit de către membrii echipei, cu aprobarea conducerii structurilor de specialitate ale Curții de Conturi, în situații temeinic justificate.
Auditorii publici externi trebuie să comunice cu entitatea auditată într-o manieră cons-tructivă, pe tot parcursul desfășurării misiunii de audit, prin organizarea unor întâlniri sau prin mij-loace electronice.
În scopul îndeplinirii obiectivelor din Planul de audit, auditorii publici externi vor elabora proceduri de audit pentru categoriile de probleme specifice sistemelor informatice: evaluarea cali-tății managementului, securitatea fizică și controalele de mediu, securitatea informației și a siste-mului informatic, continuitatea sistemului, managementul schimbării și al dezvoltării sistemului, funcționalitatea aplicațiilor, calitatea auditului intern cu privire la sistemul informatic, evaluarea riscurilor generate de funcționarea sistemului informatic. Aceste proceduri au asociate instrucțiuni metodologice, liste de verificare, machete și chestionare, după caz.
Procedurile de audit se referă la obținerea probelor de audit, la analiza probelor de audit și la sintetizarea rezultatelor.
Obținerea probelor de audit. Probele de audit specifice sistemelor informatice pot fi încadrate în următoarele categorii:
a) probe de audit fizice – rezultate din demonstrații ale aplicațiilor, documentații tehnice, diagrame, scheme de arhitectură și alte elemente echivalente acestora.
b) probe de audit verbale – răspunsuri la interviuri, sondaje.
c) probe de audit documentare – documente, documentații, manuale în formă scrisă sau în format electronic.
d) probe de audit analitice – rezultate obținute în urma evaluărilor și analizei fondului de informații (indicatori, tendințe).
Auditorii publici externi vor colecta probe de audit suficiente și adecvate. În cazul în care probele de audit nu sunt suficiente și adecvate, auditorii publici externi vor extinde procedurile decolectare cu teste suplimentare, aprofundate asupra sistemului informatic. În cadrul auditului se vor efectua teste asupra controalelor specializate pentru identificarea unor elemente sau acțiuni care constituie factori de risc și se va face o analiză a impactului acestora asupra activității entității.
Alterarea probelor de audit poate fi cauzată de existența unor anomalii sau erori sis-tematice ale funcționării programelor, care afectează prelucrarea întregului fond de date și conduc la obținerea unor rezultate eronate, greu de corectat prin proceduri manuale, având în vedere vo-lumul mare al tranzacțiilor și complexitatea algoritmilor de prelucrare. Ca urmare a gestionării automate a unui volum mare de date, fără implicare umană, există riscul nedetectării pentru o pe-rioadă lungă de timp a unor erori datorate unor anomalii de proiectare sau de actualizarea unor componente software.
Tehnici de audit. Pentru obținerea probelor de audit se vor utiliza, în principal, ur-mătoarele tehnici de audit: realizarea de interviuri cu persoane cheie implicate în proiect; utilizarea chestionarelor și machetelor; examinarea unor documentații tehnice, economice, de monitorizare și de raportare: grafice de implementare, corespondență, rapoarte interne, situații de raportare, ra-poarte de stadiu al proiectului, registre de evidență, documentații de monitorizare a utilizării, contracte, sinteze statistice, metodologii, standarde; participarea la demonstrații privind utilizarea sistemului ; evaluarea portalului și a serviciilor electronice; utilizarea tehnicilor și instrumentelor de audit asistat de calculator; documentarea pe Internet în scopul informării asupra unor evenimente, comunicări, evoluții legate de sistemul IT sau pentru consultarea unor documentații tehnice.
Colectarea și inventarierea probelor de audit se referă la constituirea fondului de date în format electronic și în format tipărit pe baza machetelor, chestionarelor și a listelor de verificare completate, precum și la organizarea și stocarea acestora.
Documentarea probelor de audit. Obținerea probelor de audit și înscrierea acestora în documentele de lucru reprezintă activități esențiale ale procesului de audit. Documentele de lucru se întocmesc pe măsura desfășurării activităților din toate etapele auditului. Documentele de lucru trebuie să fie întocmite și completate cu acuratețe, să fie clare și inteligibile, să fie lizibile și aranjate în ordine, să se refere strict la aspectele semnificative, relevante și utile din punctul de vedere al auditului.
Documentarea corespunzătoare a activității de audit are în vedere următoarele consi-derente: confirmă și susține opiniile auditorilor exprimate în raportul de audit; imbunătățește per-formanța activității de audit; constituie o sursă de informații pentru pregătirea raportului de audit sau pentru a răspunde oricăror întrebări ale entității auditate sau ale altor părți interesate; constituie dovada respectării de către auditor a standardelor și a manualului de audit; facilitează moni-torizarea auditului; furnizează informații privind expertiza în audit.
Documentele de lucru, elaborate în format tipărit, vor fi organizate în dosare, iar docu-mentele elaborate în format electronic vor fi organizate în colecții de fișiere și baze de date.
Pentru descrierea sistemelor entității auditate se utilizează următoarele tipuri de docu-mente: diagrame de tip flowchart, prezentări narative, machete și chestionare. Alegerea acestor tehnici variază în funcție de practicile locale de audit, de preferința personală a auditorului și de complexitatea sistemelor auditate.
Diagramele flowchart exprimă în mod grafic descrierea sistemului auditat. Diagramele flowchart înregistrează ciclul de viață al unei tranzacții, de la inițiere până la stocarea acesteia și evidențiază controalele și procedurile automate și manuale.
Descrierea narativăa ciclului de prelucrare a tranzacțiilor este utilizată, de asemenea, în documentarea sistemelor. Se utilizează în conjuncție cu alte metode de documentare a sistemelor. Descrierea narativă include: obiectivele sistemului și țintele, procesele și procedurile, legături și interfețe cu alte sisteme, controale, proceduri pentru condiții speciale.
Listele de verificare. În cazul evaluărilor efectuate pentru auditarea infrastructurii IT, se vor utiliza următoarele liste de verificare: lista de verificare privind evaluarea controalelor generale IT; lista de verificare privind evaluarea riscurilor generate de funcționarea sistemului IT.
Aceste liste de verificare se vor utiliza și în cadrul misiunilor de audit financiar sau de audit al performanței, pentru evaluarea controalelor generale IT și a riscurilor generate de func-ționarea sistemului informatic.
Listele de verificaregenerice nu exclud adăugarea altor categorii de probleme considerate semnificative de către auditor, în funcție de obiectivele specifice ale auditului.
În cazul misiunilor de audit financiar, care presupun evaluarea sistemului informatic financiar-contabil pentru a formula o opinie privind încrederea în informațiile furnizate de sistemul informatic, auditorul public extern va elabora lista de verificare pentru testarea controalelor IT specifice aplicației financiar-contabile, care conține următoarele categorii de controale de aplicație:
controale privind integritatea fișierelor; controale privind securitatea aplicației; controale ale da-telor de intrare; controale de prelucrare; controale ale ieșirilor; controale privind rețeaua și comu-nicația; controale ale fișierelor cu date permanente.
Chestionarele conțin întrebări despre sistemele entității auditate și constituie suportul pentru colectarea informațiilor despre acestea.
Chestionarele conțin, în general, opinii ale actorilor implicați în sistem referitoare la: acceptarea sistemului, calitatea instruirii, efectele sistemului asupra activității entității, calitatea documentației tehnice, încrederea în sistemul informatic, dificultatea utilizării sistemului, efectele în planul modernizării activității, necesitatea extinderii sistemului.
În cazul în care chestionarele sunt proiectate pentru efectuarea unor analize statistice, acestea conțin întrebări formulate astfel încât să poată fi agregate și analizate în funcție de criterii stabilite. Răspunsurile pot fi de tip DA/NU, note, ponderi, și altele.
Pe baza informațiilor colectate se pot elabora diagrame și grafice care să exprime sugestiv concluzii referitoare la percepția unei populații despre efectele implementării și utilizării sistemului informatic supus evaluării.
Machetele sunt elaborate de auditorii publici externi șiconstituie suportul pentru colec-tarea informațiilor legate de: bugetul IT, configurația hardware/software, infrastructura de rețea, sistemul aplicativ, instruirea personalului, utilizarea sistemului informatic, costuri, furnizori.
Sintetizarea, analiza și interpretarea probelor de audit. Auditorii publici externi vor face o evaluare a sistemelor informatice și a aplicațiilor, prin analiza, interpretarea și sinteza infor-mațiilor obținute în cadrul interviurilor sau colectate din sursele documentare și prin intermediul machetelor, chestionarelor și listelor de verificare. Aceste operațiuni se bazează în principal pe ela-borarea și utilizarea unor tabele sintetice, reprezentări grafice, indicatori de performanță, matrici de corelație etc. În acest scop se utilizează, pe scară din ce în ce mai largă, instrumentele și tehnicile bazate pe calculator.
Formularea constatărilor și recomandărilor. Evaluarea și revizuirea sistemului infor-matic se fac prin analiza constatărilor rezultate și interpretarea acestora. În funcție de impactul pe care îl au neconformitățile constatate, se formulează recomandări pentru remedierea acestora și reducerea nivelului riscurilor. Aceste recomandări reflectă opiniile auditorului asupra entității auditate prin prisma obiectivelor misiunii de audit. Sintetic, constatările se vor referi la următoarele aspecte: evaluarea complexității sistemelor informatice, evaluarea generală a riscurilor entității în cadrul mediului IT, evaluarea riscurilor în cadrul fiecărei aplicații, precum și un punct de vedere al auditorului privind fezabilitatea unui de mers de audit bazat pe controale.
3.3. Evaluarea sistemelor informatice financiar-contabile bancare
În conformitate cu standardul ISA 400, “Evaluarea Riscului și Controlului Intern”, auditorul va analiza dacă mediul de control și procedurile de control aplicate de entitate activităților propriidesfășurate în mediul informatizat, în măsura în care acestea sunt relevante pentru aserțiunile situațiilor financiare, este un mediu sigur. În cazul sistemelor informatice, atunci când procedurile sunt automatizate, când volumul tranzacțiilor este mare sau când probele electronice nu pot fi urmărite pe tot parcursul fluxului de prelucrare, auditorul poate decide că nu este posibil să reducă riscul de audit la un nivel acceptabildecât prin utilizarea testelor detaliate de audit. În astfel de cazuri sunt frecvent utilizate tehnici de audit asistat de calculator.
De asemenea, pentru sistemele informatice financiar-contabile sunt deosebit de impor-tante următoarele aspecte ale controlului intern:
a) menținerea integrității procedurilor de control în mediul informatizat și
b) asigurarea accesului la înregistrări relevante pentru a satisface necesitățile entității, precum și în scopul auditului.
Auditorul va analiza exhaustivitatea, acuratețea și autorizarea informațiilor furnizate pen-tru înregistrarea și procesarea înregistrărilor financiare ale bǎncii (integritatea tranzacției). Natura și complexitatea aplicațiilor influențează natura și amploarea riscurilor referitoare la înregistrarea și procesarea tranzacțiilor electronice.
Procedurile de audit referitoare la integritatea informației, aferente tranzacțiilor elec-tronice, se axează în mare parte pe evaluarea credibilității sistemelor utilizate pentru prelucrarea tranzacțiilor. Utilizarea serviciilor informatice inițiază, în mod automat, alte secvențe de prelucrare a tranzacției față de sistemele tradiționale. Procedurile de audit pentru sistemele informatice tre-buie să se concentreze asupra controalelor automate referitoare la integritatea tranzacțiilor, pe măsură ce acestea sunt înregistrate și apoi procesate imediat.
În general, tranzacțiile electronice nu au asociate înregistrări scrise și pot fi mult mai ușor de distrus sau de alterat decât cele scrise, fără a lăsa nici o urmă a distrugerii sau alterării.
Riscul procesării de tranzacții neautorizate poate fi redus prin prezența unor controale care identifică utilizatorii individuali și întreprind acțiuni de contracarare a eventualelor acțiuni ostile ale acestora, riscul poate fi redus prin obligativitatea autentificării la accesarea sistemului și prin introducerea unor controale suplimentare, sub formă de semnături electronice.
Având în vedere faptul că datele tranzacțiilor electronice se regăsesc într-o formă intan-gibilă pe diverse medii de stocare, acestea pot fi modificate fără a lăsa nici o urmă. Auditorii tre-buie să evalueze existența și eficiența controalelor care previn efectuarea de modificări neautori-zate. Controale neadecvate pot conduce la situația ca auditorul să nu poată acorda încredere în-registrărilor din calculatoare sau integrității parcursului auditului.
Programul de aplicație și datele tranzacției trebuie să fie protejate față de modificări ne-autorizate prin utilizarea de controale adecvate ale accesului fizic și logic.
Plățile prin calculator, ca și transferurile electronice de fonduri, sunt mult mai ușor de modificat decât instrumentele de plată pe hârtie și de aceea trebuie sa aibă o protecție adecvată. Integritatea tranzacțiilor electroni ce poate fi protejată prin tehnici precum criptarea datelor, semnături electronice sau prin utilizarea unui algoritm de dispersare a datelor.
Conectarea sistemelor de calculatoare la rețeaua globală Internet mărește substanțial riscul de acces neautorizat de la distanță și de atacuri cu viruși sau alte forme de alterare a informației sau de distrugere a unor sisteme informatice.
În cazul tranzacțiilor electronice, în care parcursul auditului se reconstituie din înre-gistrări stocate pe un calculator, auditorul trebuie să se asigure că datele privind tranzacțiile sunt păstrate un timp suficient și că au fost protejate față de modificări neautorizate. Capacitatea limi-tată de stocare a unor calculatoare poate restricționa cantitatea de date istorice aferente tranzacțiilor care trebuie păstrate. În aceste cazuri, auditorul trebuie să impună arhivarea regulată a evidențelor contabile și acestea să fie păstrate într-un mediu sigur. Auditorul poate, de asemenea, să analizeze impactul posibil al regulilor de arhivare a datelor clientului atunci când planifică auditul.
Calculatoarele în rețea au capacitatea de a stoca aplicații financiare și fișiere de date pe orice dispozitive de stocare din rețea. Auditorul se poate afla în fața unui sistem care rulează o aplicație financiară pe un calculator și stochează fișierele cu tranzacții procesate pe un calculator din altă
Evaluarea sistemelor IT cuprinde trei părți:
A. Colectarea informațiilor de fond privind sistemele IT ale entității auditate impun auditorului sǎ culeagă informații de fond privind sistemele IT hardware și software ale bǎncii. Informații privind dimensiunea, tipul și complexitatea tehnică a sistemelor informatice permit auditorilor să evalueze dacă este necesar sprijinul unui auditor IT specialist. De asemenea, audi-torul identifică sistemele financiare în curs de dezvoltare, care necesită în continuare implicarea auditului.
Colectarea informațiilor de fond privind sistemele IT ale entității auditate trebuie să fie finalizată înainte ca auditorul să realizeze o evaluare a mediului de control IT sau a procedurilor de control ale aplicației.
B. Evaluarea mediului de control IT și evaluarea riscului bǎncii este utilizată pentru a evalua controalele și procedurile care operează în cadrul mediului de control IT. Punctele slabe identificate în mediul de control IT pot submina eficacitatea procedurilor de control în cadrul fiecărei aplicații financiare.
C. Evaluarea controalelor aplicației și evaluarea riscului zonei contabile: auditorul trebuie
să utilizeze evaluarea controalelor aplicației și evaluarea riscului zonei contabile pentru a examina procedurile de control, sistemele de control intern și riscurile de audit în cadrul fiecărei aplicații financiare.
În cadrul evaluării controalelor de nivel înalt, adoptate de management pentru a se asigura că sistemele informatice funcționează corect și satisfac obiectivele afacerii, auditorul poate determina dacă activitățile IT sunt controlate adecvat iar controalele impuse de entitatea auditată sunt suficiente.
Politicile IT de nivel înalt, procedurile și standardele sunt foarte importante în stabilirea unui cadru de control intern adecvat.
Obiectivele de control aferente mediului informatizat se axează pe: evaluarea calității ma-nagementului, securitatea fizică și controalele de mediu, securitatea informației și a sistemului IT, continuitatea sistemului, managementul schimbării și al dezvoltării sistemului, funcționalitatea aplicațiilor, calitatea auditului intern cu privire la sistemul IT.
Evaluarea mediului de control IT. Evaluarea controalelor IT generale vizează iden-tificarea punctelor tari, a punctelor slabe și a riscurilor în cadrul mediului general de control IT. Riscurile identificate în mediul general de control IT pot submina eficiența controalelor în aplica-țiile care se bazează pe acestea și deci pot fi descrise ca riscuri la nivelul bancii. Evaluarea IT v-a fi utilizată de auditor pentru a identifica extinderea și natura riscurilor generale de audit IT asociate cu utilizarea de către client a sistemelor informatice în domeniul financiar-contabil.
Evaluarea începe cu întrebări privind cadrul procedural implementat de banca auditată. Aceasta permite auditorului să examineze oportunitatea strategiei IT, a managementului, auditului intern și politicilor de securitate ale clientului. Răspunsurile la aceste întrebări în faza inițială vor da auditorului o vedere preliminară rezonabilă asupra mediului de control IT. Experiența a arătat că entitățile cu reguli IT puține sau necorespunzătoare nu sunt în măsură să aibă un mediu de control intern adecvat.
Analiza include, de asemenea, o evaluare a controalelor generale în cadrul departamen-tului IT, referitoare la configurația hardware, software și de comunicații, precum și la resursele umane care au atribuții în domeniul IT: controlul privind accesul fizic, controlul privind accesul logic, controlul operațional, procedurile de management al schimbărilor, planificarea recuperării după dezastru, utilizarea de prestatori externi de servicii IT, controlul asupra aplicațiilor dezvoltate și rulate de utilizatorii înșiși, separarea sarcinilor.
Punctele slabe identificate în mediul general de control IT vor influența eficacitatea tuturor controalelor din cadrul aplicațiilor care rulează pe configurația respectivă.
Odată finalizată, analiza va permite auditorului să facă o evaluare a riscurilor în cadrul mediului general de control IT al clientului. În general, pentru o banca cu un mediu de control IT insuficient, evaluarea riscurilor IT va conduce în mod normal la o concluzie de risc înalt de audit. Dacă mediul general de control IT este evaluat ca insuficient, poate fi încă posibil să se acorde o oarecare încredere controalelor de compensare sau controalelor foarte puternice în cadrul apli-cațiilor. Este de asemenea posibil ca o aplicație financiară să aibă controale foarte slabe cu toate că mediul de control IT suport are controale puternice.
3.4. Evaluarea aplicației și evaluarea riscurilor
Controalele de aplicație. Aplicațiile reprezintă unul sau mai multe programe de calculator care realizează o funcționalitate orientată către un scop precizat. Aplicațiile pot fi dezvoltate speci-al pentru un client, respectiv sisteme la comandă, sau pot fi cumpărate sub formă de pachete/soluții software de la furnizorii externi.
Cele mai răspândite pachete de aplicații întâlnite de auditorii financiari sunt: pachete integrate de contabilitate, sisteme state de plată / personal / pensii, registre de active fixe, sisteme de management al împrumuturilor nerambursabile.
Toate aplicațiile financiare trebuie să conțină controale proprii care să asigure inte-gritatea, disponibilitatea și confidențialitatea, atât a datelor tranzacției, cât și a datelor permanente. În realitate, sistemele nu conțin toate controalele posibile pentru fiecare componentă. Banca tre-buie să evalueze riscurile pentru fiecare aplicație și să aibă instalate controale adecvate, eficiente din punct de vedere al costurilor pentru a reduce riscurile la un nivel acceptabil. Acest principiu trebuie avut în vedere când se formulează recomandările auditului.
Controalele de aplicație sunt particulare pentru o aplicație și pot avea un impact direct asupra prelucrării tranzacțiilor individuale. Ele se referă, în general, la acele controale incluse în aplicație pentru a asigura că numai tranzacțiile valide sunt prelucrate și înregistrate complet și corect în fișierele aplicației, precum și la controalele manuale care operează în corelație cu apli-cația.
Proprietarii aplicației, administratorii și utilizatorii aplicației. În special în cazul aplica-țiilor financiare există trei tipuri de utilizatori: proprietarii aplicației, administratorii și utilizatorii aplicației care îndeplinesc următoarele sarcini:
proprietarii aplicațiilor sunt în mod normal coordonatorii administrativi ai depar-tamentului în care funcționează aplicația și au responsabilitatea privind contribuția strategică a sistemului de a satisface obiectivele afacerii. Proprietarii aplicației fac parte din managementul en-tității și asigură, de asemenea, funcționarea sistemului în concordanță cu cerințele și operarea aces-tuia de către personalul desemnat;
administratorul aplicației are următoarele sarcini tipice: menține lista utilizatorilor autorizați ai aplicației, adaugă sau șterge utilizatori din profilele de securitate a aplicației, asigură că departamentul IT a salvat datele în concordanță cu politicile de back-up, rezolvă cerințe ale uti-lizatorilor aplicației, identifică, monitorizează și raportează proprietarului aplicației sau depar-tamentului IT problemele semnificative care apar, deține și distribuie documentația aplicației, menține legătura cu departamentul IT, cu alți administratori de aplicații sau cu furnizori de soft-ware.
În cazul aplicațiilor financiar-contabile, administratorul nu trebuie să facă parte din acest departament, decât numai dacă nu are cunoștințe despre procedurile manuale specifice domeniului, având în vedere principiul separării atribuțiilor.
Utilizatorii aplicației asigură operarea zilnică a aplicației având acces numai la acele resurse ale sistemului aferente sarcinilor proprii. Instruirea lor privind sistemul este limitată, de asemenea, la funcțiile necesare realizării sarcinilor proprii.
Încrederea în controalele de aplicație. În etapa de studiu preliminar, auditorul trebuie să obțină o înțelegere suficientă a sistemului pentru a determina dacă sistemul de control intern este de încredere și furnizează informații corecte despre acuratețea înregistrărilor.
În acest scop auditorul poate utiliza tehnici și metode de testare variate. Acestea pot fi bazate pe programe de test al conformității care conțin informații privind: descrierea controlului care va fi testat, proba de audit estimată pentru satisfacerea condițiilor, teste extinse, descrierea funcționării eronate a controlului, câte eșecuri pot fi tolerate. Probele de audit se colectează prin combinarea unor tehnici cum ar fi observarea, interviul, examinarea și eșantionarea, cu tehnici de auditare asistată de calculator.
Relația între controalele generale și controalele de aplicație. O modalitate de a privi relația dintre controalele generale și cele de aplicație este aceea de a aloca adecvat controalele generale pentru a proteja aplicațiile și bazele de date și pentru a asigura resursele necesare funcționării continue.
Testarea aplicației financiar-contabile. În ceea ce privește determinarea volumului de teste necesare pentru obținerea asigurării privind funcționarea controalelor, auditorul își bazează decizia pe o combinație între raționamentul profesional și o modelare statistică pe care o poate opera în acest scop. Dacă auditorul își propune să planifice ca testele de control să se efectueze pe un număr mare de tranzacții, atunci va aplica metoda eșantionării datelor și va stabili dimensiunea eșantionului.
În ceea ce privește controlul asupra informațiilor de intrare, ieșire sau memorate în baza de date, pentru o aplicație financiar-contabilă verificările uzuale privind satisfacerea cerințelor legislative sunt:conformitatea conturilor cu Planul de conturi; denumirea în limba română a in-formațiilor conținute în documentele de intrare și în situațiile de ieșire; interdicția deschiderii a două conturi cu același număr; interdicția modificării numărului de cont în cazul în care au fost înregistrate date în acel cont; interdicția suprimării unui cont în cursul exercițiului curent sau aferent exercițiului precedent, dacă acesta conține înregistrări sau sold; respectarea formatului prevăzut de lege pentru documentele și situațiile generate de aplicația contabilă; acuratețea balanței sintetice, pornind de la balanța analitică; generarea balanței pentru orice lună calendaristică; reflectarea corectă a operațiunilor în baza de date, în documente și în situații de ieșire; existența și corectitudinea situațiilor prevăzute de lege ca fiind obligatorii; alte controale de curgând din speci-ficul aplicației.
Analiza riscului într-un mediu informatizat Mediul informatizat introduce riscuri noi, pe lângă alte categorii de riscuri cu care se confruntă organizația.
În vederea asigurării protecției informațiilor și sistemelor IT este necesară dezvoltarea unui flux continuu activități privind identificarea, analiza, evaluarea și gestionarea riscurilor specifice.
Riscurile generate de funcționarea sistemului informatic pot fi puse în evidență prin analiza unor factori cu impact în desfășurarea activității bancii auditate, respectiv: dependența de sistemul informatic, resursele și cunoștințele în domeniul tehnologiei informației, încrederea în sistemul informatic,schimbări ale sistemului informatic, externalizarea activităților de tehnologia informației, securitatea informației, respectarea legislației în vigoare.
Erorile și omisiunile umane sunt cele mai mari surse de probleme. Pentru reducerea riscurilor cauzate de acestea, banca trebuie să implementeze controale și proceduri care să contribuie la diminuarea/eliminarea efectelor generate de ignorarea unor aspecte care determină modul de utilizare a angajaților, calitatea acestora, motivarea în activitatea desfășurată, fluctuația personalului, structura conducerii, volumul de muncă.
Evoluția tehnologiei informației a cunoscut în ultimii ani un ritm accelerat, dar nu același lucru se poate spune despre progresele înregistrate în domeniul securității datelor.
Integrarea puternică a sistemelor apare ca o consecință a îmbunătățirii formelor de comunicație și a proliferării rețelelor de calculatoare. Aplicațiile de comerț electronic sunt doar un exemplu în acest sens, dar se poate afirma că această evoluție a deschis și mai mult apetitul “specialiștilor” în ceea ce privește frauda informațională.
Capitolul 4 Concluzii
Auditul sistemului informatic financiar-contabil constă în verificarea și controlul ac-tivităților sistemului respectiv. Sistemul informatic economic reprezentand un caz particular de sistem informatic, tehnicile și mecanismele de auditare a sistemelor informatice sunt valabile și pentru sistemele informatice economice, inclusiv pentru sistemele financiar- contabile.
Etapele auditului sistemelor informatice sunt: planificarea auditului, efectuarea auditului, raportarea și revizuirea auditului.
Auditul activităților sistemului informatic, utilizat de un organism economic în desfă-șurarea activităților sale economice, are ca scop: asigurarea corectitudinii, completitudinii și preci-ziei datelor introduse în sistem, deoarece afectează rezultatele prelucrărilor efectuate de acesta; asigurarea corectitudinii prelucrărilor efectuate asupra datelor introduse în sistem, în sensul că rezultatele acestora respectă regulile de gestiune specifice organismului economic respectiv și le-gislația în vigoare; asigurarea corectitudinii și integrității ieșirilor sistemului, în sensul că acestea sunt cele solicitate de managerii organismului economic respectiv și de organismele de control fi-nanciar; asigurarea corectitudinii procedurilor de control folosite pentru auditarea sistemului in-formatic respectiv.
Avantajele economice și informaționale oferite de utilizarea sistemelor informatice în desfășurarea activităților lor sunt mult mai importante pentru organismele economice decât deza-vantajele utilizării acestor sisteme, motiv pentru care acestea preferă să le folosească și să ia toate măsurile impuse de necesitatea eliminării, reducerii sau compensării efectelor dezavantajelor res-pective.
Pentru efectuarea controlului intern într-un sistem informatic sunt folosite măsuri, metode și tehnici de verificare a corectitudinii rezultatelor prelucrărilor realizate în interiorul său, cunos-cute sub denumirea de controale, mai precis controale de audit având în vedere rolul lor în procesul de audit al sistemului informatic respectiv.
Documentația completă a sistemului informatic este necesară analiștilor de sistem, ingi-neri de sistem și programatori analiști, pentru depanare sau realizarea unor modificări. Operatorii calculatorului trebuie să aibă acces numai la manualul de operare, care conține instrucțiunile pen-tru introducerea datelor în sistem și pentru prelucrarea acestora. Dacă operatorii au acces la infor-mații de detaliu cu privire la software-ul de aplicație utilizat, cresc probabilitatea și posibilitatea ca aceștia să efectueze schimbări neautorizate în programul respectiv, care stau la baza fraudelor computerizate, cele mai periculoase pentru un organism economic.
Scopul controlului intern într-un sistem informatic îl constituie verificarea corectitudinii rezultatelor prelucrărilor realizate în interiorul său și distribuirea acestora, manual sau prin inter-mediul sistemului de prelucrare automată a datelor folosit, numai către utilizatorii autorizați. Prin urmare, nu se poate vorbi de control intern într-un sistem informatic fără controale de ieșire, fo-losite de grupul de control al organismului economic, de utilizatori și/sau de auditori pentru a veri-fica dacă sistemul informatic utilizat respectă cerințele utilizatorilor pentru care a fost proiectat și implementat.
Auditorul poate folosi pentru testarea și monitorizarea controalelor interne implementate într-un sistem informatic așa-numitul sistem integrat de testare, ce constă în integrarea unui set de fișiere de test, programe și date de test în sistemul informatic respectiv. Sistemul integrat de testare poate fi folosit de auditor și pentru monitorizarea prelucrărilor datelor de test în vederea studierii efectelor produse de prelucrările efectuate asupra fișierelor de test, listelor de erori și ieșirilor siste-mului informatic. Ei comunică concluziile personalului autorizat sau grupului de control care efec-tuează controlul zilnic.
Folosirea sistemelor integrate de testare prezintă riscul de manipulare eronată a datelor reale, prin transferarea lor în sau din fișierele fictive. Pentru eliminarea acestui dezavantaj, audi-torul trebuie să monitorizeze toate activitățile în fișierele fictive utilizate și să impună măsuri riguroase de prevenire a accesului neautorizat la aceste fișiere.
Credit scoring reprezintă procesul de modelare a deciziei de acordare a unui credit. Acest proces este desfășurat de bănci sau alte instituții financiare și implică metode statistice cum sunt analiza discriminantă sau a seriilor cronologice. Bazat pe analiza statistică a datelor istorice, anumite variabile financiare sunt considerate a fi importante în procesul de evaluare a stabilității financiare și puterii solicitantului de credit.
Motivația acordării creditelor pe baza metodei scorurilor constă în identificarea avan-tajelor si dezavantajelor legate de riscurile implicate în aceasta. Aceasta este însă o concepție su-perficială despre obiective și, deci, trebuie examinat îndeaproape ceea ce se dorește a fi făcut.
Scoring-ul este legat de acordarea creditului unui agent economic sau de analiza sta-bilității financiare a firmelor. Această metodă nu presupune elaborarea unui clasament final al solicitanților de credit. Rating-ul este adesea asociat, iar uneori confundat cu noțiunea de scoring. Indicatorii utilizați pot fi grupați în următoarele categorii principale de indicatori sintetizați în sistemul uniform de rating bancar CAAMPL: adecvarea capitalului; calitatea acționariatului; ca-litatea activelor; managementul bancar; profitabilitatea sistemului bancar si lichiditatea sistemului bancar.
In concluzie scopul misiunilor de audit al sistemelor informatice îl reprezintǎ obținerea unei asigurări rezonabile cu privire la implementărea și funcționarea sistemului, conform cu pre-vederile legislației în vigoare, cu reglementările în domeniu, cu standardele internaționale și ghidurile de bune practici, precum și evaluarea sistemului din punctul de vedere al furnizării unor servicii informatice de calitate sau prin prisma performanței privind modernizarea administrației și asigurarea încrederii în utilizarea mijloacelor electronice.
Bibliografie
1) Aslău T., Bazele teoretice ale controlului finanaciar, ediția a-II-a revizuită, Editura Concordia, Arad, 2002.
2) Aslău T., Elemente și noțiuni introductive de audit contabil și financiar, 2003
3) Andronie Maria- Analiza și Proiectarea sistemelor informatice de gestiune, Editura Fundației Romania de Maine, 2007, București.
3) Boulescu M., Ghiță M., Expertiză contabilă și audit financiar contabil, Editura didactică și pedagogică, București, 1999.
4) Boulescu Mircea, Doina Fusaru, Zenovic Gherasim- Auditul Sistemelor Informatice Financiar- Contabile, Editura Tribuna Economică, 2005, București.
5) Brândaș C, Necesitatea și conținutul auditului sistemelor informaționale, Revista de Audit Financiar, nr. 3/2003.
6) Eden A., Riscurile de audit în condițiile utilizării sistemelor informatice de prelucrare a datelor; Revista de Audit Financiar, nr. 2/2003.
7) Eden A., Victoria Stnciu- Auditul Sistemelor informatice, Editura Dual Tech, 2004, București.
8) Gheorghe D., Impactul tehnologiilor informaționale asupra activităților de audit financiar, Revista de Audit Financiar, nr. 4/2003.
9) Ghiță M., Mareș V., Auditul performanței finanțelor publice, Editura CECCAR, București 2002.
10) Mitroi F., Auditul de performanță, Editura Adevărul S.A., București, 1999
11) Munteanu A., Auditul sistemelor informaționale contabile – cadru general, Editura Polirom, Iași, 2001.
12) Munteanu Victor – Control și Audit Financiar Contabil, Editura LUMINALEX, 2003, București.
13) Popa Stefan, Claudia Ionescu- Audit în medii informatizate, Editura Expert, 2005, București.
14) Tataru Violeta – Auditul financiar, Editura Cavallioti, 2007, Bucuresti.
15) *** Norme generale de organizare și funcționare a auditului public intern, OMF 332 /2000, MOF nr. 96 /2000.
16) *** Legea 672 privind auditul public intern, MOF 953 /2002.
17) *** Norme generale privind exercitarea activității de audit public intern, OMF nr. 38 /2003 /MOF 1364 /2003.
18) *** Codul privind conduita etică a auditorului intern – OMF 252 /MOF nr. 128 /2004.
19) *** Activitatea de audit financiar – OUG nr. 75 /1999 /R /MOF /598 /2003.
20) *** International Auditing Practice Statements (IAPS), EFAC, 2003.
21) *** International Standards on Auditing (ISA)t EFAC, 2003.
22) *** IS Standards, Guidelines and Procedures for Audit and Control Professionals,* ISACA, Roiling Meadows – Illinois, 2004.
23) *** Codul privind conduita etică a auditorului intern – OMF 252 /MOF nr. 128 /2004.
24) *** Modificări la OUG 75, privind auditul intern, aduse prin OG nr. 37 /2004, MOF nr. 91 /2004.
25) *** Norme proprii privind executarea auditului public intern în cadrul Ministerului Finațelor Publice – OMF nr. 445 /2004.
26) *** Hotărârea nr. 36 – Camera Auditorilor financiari din România – Asimilarea standardelor Internaționale de audit ale Institutului Internațional de audit. MOF nr. 1245 /2004.
27) *** Manualul de audit IT, Curtea de Conturi a României.
28) *** Curtea europeana de conturi – Standardele europene de audit ale Organizatiei Europene a Institutiilor Supreme de audit, 2002.
29) *** Curtea europeana de conturi – Liniile directoare europene de implementare a standardelor de audit INTOSAI, Curtea de Conturi a Romaniei, 2002
Bibliografie
1) Aslău T., Bazele teoretice ale controlului finanaciar, ediția a-II-a revizuită, Editura Concordia, Arad, 2002.
2) Aslău T., Elemente și noțiuni introductive de audit contabil și financiar, 2003
3) Andronie Maria- Analiza și Proiectarea sistemelor informatice de gestiune, Editura Fundației Romania de Maine, 2007, București.
3) Boulescu M., Ghiță M., Expertiză contabilă și audit financiar contabil, Editura didactică și pedagogică, București, 1999.
4) Boulescu Mircea, Doina Fusaru, Zenovic Gherasim- Auditul Sistemelor Informatice Financiar- Contabile, Editura Tribuna Economică, 2005, București.
5) Brândaș C, Necesitatea și conținutul auditului sistemelor informaționale, Revista de Audit Financiar, nr. 3/2003.
6) Eden A., Riscurile de audit în condițiile utilizării sistemelor informatice de prelucrare a datelor; Revista de Audit Financiar, nr. 2/2003.
7) Eden A., Victoria Stnciu- Auditul Sistemelor informatice, Editura Dual Tech, 2004, București.
8) Gheorghe D., Impactul tehnologiilor informaționale asupra activităților de audit financiar, Revista de Audit Financiar, nr. 4/2003.
9) Ghiță M., Mareș V., Auditul performanței finanțelor publice, Editura CECCAR, București 2002.
10) Mitroi F., Auditul de performanță, Editura Adevărul S.A., București, 1999
11) Munteanu A., Auditul sistemelor informaționale contabile – cadru general, Editura Polirom, Iași, 2001.
12) Munteanu Victor – Control și Audit Financiar Contabil, Editura LUMINALEX, 2003, București.
13) Popa Stefan, Claudia Ionescu- Audit în medii informatizate, Editura Expert, 2005, București.
14) Tataru Violeta – Auditul financiar, Editura Cavallioti, 2007, Bucuresti.
15) *** Norme generale de organizare și funcționare a auditului public intern, OMF 332 /2000, MOF nr. 96 /2000.
16) *** Legea 672 privind auditul public intern, MOF 953 /2002.
17) *** Norme generale privind exercitarea activității de audit public intern, OMF nr. 38 /2003 /MOF 1364 /2003.
18) *** Codul privind conduita etică a auditorului intern – OMF 252 /MOF nr. 128 /2004.
19) *** Activitatea de audit financiar – OUG nr. 75 /1999 /R /MOF /598 /2003.
20) *** International Auditing Practice Statements (IAPS), EFAC, 2003.
21) *** International Standards on Auditing (ISA)t EFAC, 2003.
22) *** IS Standards, Guidelines and Procedures for Audit and Control Professionals,* ISACA, Roiling Meadows – Illinois, 2004.
23) *** Codul privind conduita etică a auditorului intern – OMF 252 /MOF nr. 128 /2004.
24) *** Modificări la OUG 75, privind auditul intern, aduse prin OG nr. 37 /2004, MOF nr. 91 /2004.
25) *** Norme proprii privind executarea auditului public intern în cadrul Ministerului Finațelor Publice – OMF nr. 445 /2004.
26) *** Hotărârea nr. 36 – Camera Auditorilor financiari din România – Asimilarea standardelor Internaționale de audit ale Institutului Internațional de audit. MOF nr. 1245 /2004.
27) *** Manualul de audit IT, Curtea de Conturi a României.
28) *** Curtea europeana de conturi – Standardele europene de audit ale Organizatiei Europene a Institutiilor Supreme de audit, 2002.
29) *** Curtea europeana de conturi – Liniile directoare europene de implementare a standardelor de audit INTOSAI, Curtea de Conturi a Romaniei, 2002
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Auditul Componentei Financiar Contabile a Sistemului Informatic (ID: 136905)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.