Auditul Informatiei Contabile In Conditiile Utiilizarii Sistemelor Informatice
INTRODUCERE
Informațiile furnizate de întreprinderi stau la baza a numeroase decizii economice și politice de importanță considerabilă. Din acest motiv, situațiile financiare întocmite și publicate de organizații interesează o gamă largă de utilizatori: investitori, manageri, salariați, clienți, creditori bancari, stat. Practica a demonstrat, în mod explicit, că există un conflict de interese între cei care culeg, prelucrează și sintetizeză informațiile contabile și utilizatorii acestor informații. Consecințele economice majore care pot rezulta, au făcut necesară interpunerea activității auditorilor financiari, aceștia având menirea de a mări credibilitatea situațiilor financiare publicate de către întreprinderi.
„Auditul informației contabile în condițiile utilizării sistemelor informatice” este o lucrare, structurată în șase capitole, prin intermediul căreia se urmărește accentuarea necesității informatizării unei misiuni de audit a informației contabile și evidențierea particularităților unui astfel de proces într-un mediu informatizat.
În cadrul primului capitol, intitulat „Auditul calității informației contabile: obiective, realizări și limite ” este analizat cadrul teoretic și conceptual al auditului, considerat a fi o referință rațională și logică pentru determinarea procedurilor de audit ce vor fi necesare atingerii obiectivului de audit definit. În acest context, se impune necesitatea prezentării acestor elemente pentru că auditul, indiferent de forma pe care o îmbracă: audit financiar, auditul mediului, auditul sistemelor informaționale, auditul calității, auditul capitalului intelectual – se bazează pe o teorie și, ca orice teorie, ea se fundamentează pe baza unor postulate, principii și reguli.
Capitolul 2 intitulat „Particularități ale controlului intern într-un mediu informatizat” constituie o dezbatere asupra necesității verificării și aprecierii acestui control, la nivelul unei organizații, acesta reprezentând „cheia” care îi conferă auditorului financiar încrederea asupra datelor ce urmeză a fi auditate. Verificarea integrității datelor este o etapă premergătoare îndeplinirii obiectivelor unei misiuni de audit, deoarece auditorii trebuie să se asigure că rezultatele din rapoartele finale sunt bazate pe date complete, precise și fiabile. Capitolul final denumit „Tendințe în dezvoltarea software-ului de audit” studiază o posibilă integrare a tehnicilor și metodologiilor Data Mining în cadrul aplicațiilor de audit, încercând să sublinieze analiza complexă pe care o pot oferi acestea asupra datelor clientului auditat.
CAPITOLUL 1
AUDITUL CALITĂȚII INFORMAȚIEI CONTABILE: OBIECTIVE, REALIZĂRI ȘI LIMITE
1.1. Repere istorice privind conceptul de audit
În sens etimologic, cuvântul "audit" își are originea în latinescul "audire", care însemna "a asculta, a audia". Acest termen și-a extins, în timp, aria semantică preluând sensuri precum "a examina, a verifica, a revizui conturi". Obiectivul primordial al auditului a evoluat de la detectarea fraudelor și erorilor la certificarea situațiilor financiare, la verificarea conformitații acestora cu anumite criterii prestabilite. Schimbarea obiectivului auditului a necesitat evoluția tehnicilor de audit. În condițiile globalizării economiilor și internaționalizării piețelor financiare, metodele tradiționale de verificare, care implicau un control exhaustiv al tranzacțiilor s-au dovedit mult prea costisitoare și de durată. Din acest motiv, ele au fost înlocuite cu tehnici de eșantionare și sondaj statistic, tehnici asistate de calculator, auditorul punând, în același timp, un accent deosebit pe eficiența și eficacitatea controlului intern.În plus, pentru a veni în întâmpinarea complexității informațiilor solicitate de utilizatori, auditorul nu trebuie să asigure numai o ameliorare a credibilității situațiilor financiare ci și servicii care să aducă un plus de valoare, precum raportarea iregularităților, identificarea riscurilor afacerii și oferirea unei consultanțe în ceea ce privește punctele nevralgice ale controlului intern. În auditul modern, evaluarea situațiilor financiare este, adesea, completată cu constatări rezultate din auditul fluxurilor financiare, ceea ce asigură un supliment de informații financiare fiabile.Elementele prezentate anterior evidențiază că paradigma auditului extern s-a modificat iar rolul auditorului a fost redefinit. Schimbările vizează, în principal, următoarele aspecte: scopul activității de audit; caracteristicile esențiale ale independenței misiunii de audit; promovarea tehnicilor statistice și matematice, iar mai recent și cele informatice; factorul definitoriu al responsabilităților auditorilor.
1.2. Arhitectura conceptului de audit
În mediul academic și practic nu există un punct de vedere comun în ceea ce privește definirea conceptului de audit. Definiția cea mai des invocată este însă cea prezentată în 1973 de Asociația Americană de Contabilitate (American Accounting Association: AAA) în cadrul "Declarației privind conceptele de bază ale auditului". În declarația respectivă se precizează că " auditul este un proces sistematic de obținere și evaluare obiectivă a unor afirmații privind acțiunile și evenimentele cu caracter economic, în vederea aprecierii gradului de conformitate a acestor afirmații cu criteriile prestabilite, precum și de comunicare a rezultatelor către utilizatorii interesați"
O analiză detaliată a acestei definiții evidențiază elementele principale ale activității de audit:
1. „Auditul este un proces sistematic” . Orice activitate de audit, indiferent de obiectivul său, include, din punct de vedere metodologic, etape fundamentale precum: planificarea, dezvoltarea unei strategii, selectarea probelor și evaluarea acestora în raport cu obiectivele specifice ale misiunii. Auditul are la bază o strategie, strategia respectivă se poate modifica pe parcursul misiunii, datorită schimbării condițiilor sau a apariției unor rezultate neașteptate ale procedurilor de audit.
2. „Obținerea și evaluarea în mod obiectiv a unor afirmații”. În esență, auditul constă în colectarea și evaluarea probelor care vor fi suportul opiniei auditorului. De exemplu, într-un audit financiar, exercițiul de „culegere a probelor” presupune, adesea, o verificare a principiilor și metodelor contabile folosite în întocmirea situațiilor financiare cu principiile contabile general acceptate (Generally Accepted Accounting Principles: GAAP), fapt ce implică o urmărire a informațiilor în documentele contabile și compararea acestora cu valorile obținute prin inventar, prin verificare încrucișată cu clienții sau prin investigare.
3. „Afirmații privind acțiunile cu caracter economic”: se referă la acele afirmații și estimări pe care managementul unei entități le face și care, de altfel, se regăsesc incluse în situațiile financiare supuse auditului.De exemplu, prezentarea în bilanț a sumei de 2000 u.m. la poziția „Terenuri” implică următoarele afirmații: terenurile există în întreprindere, 2000 u.m. reprezintă valoarea totală a terenurilor deținute de societate, valoarea de 2000 u.m. este valoarea cea mai mică dintre valoarea contabilă și valoarea recuperabilă, valoarea de 2000 u.m. reprezintă valoarea justă a terenurilor. În concluzie, se poate afirma că declarațiile făcute de conducerea unei entități se bazează pe contabilizarea tranzacțiilor și a evenimentelor economice, proces care implică colectarea, clasificarea, înregistrarea și raportarea informațiilor de natură contabilă.
4. „Aprecierea gradului de conformitate a afirmațiilor cu criterii prestabilite”. Orice misiune de audit are ca obiectiv principal formularea unei opinii de către auditor asupra afirmațiilor privind faptele și evenimentele economice ce urmează a fi auditate; în acest mod se va preciza în ce măsură afirmațiile amintite sunt conforme cu criteriile sau standardele existente.
5. „ comunicarea rezultatelor către utilizatorii interesați ”. „Episodul” final al oricărei misiuni de audit este întocmirea unui raport care informează cititorul asupra gradului în care afirmațiile clientului corespund cu criteriile agreate sau impuse. Într-un audit financiar, prin opinia sa neutră exprimată, auditorul devine un garant al situațiilor financiare în fața utilizatorilor externi, iar raportul de audit prezintă concluziile asupra gradului în care situațiile financiare sunt sau nu conforme cu principiile contabile general acceptate.În România, Normele Naționale de Audit, inspirate din referențialul internațional, au definit auditul ca fiind „examinarea profesională a unei informații în vederea exprimării unei opinii responsabile și independente, prin raportarea la un criteriu standard de calitate”.
1.3. Cadrul conceptual al auditului
„Auditul operează cu idei abstracte; el își are bazele în numeroase tipuri de învățare… are o structură rațională de postulate, concepte, tehnici și reguli, bazându-se pe un studiu intelectual riguros care merită să fie numită „disciplină” în sensul curent al acestui termen”. Altfel spus, auditul are la bază o teorie.În sens restrictiv, teoria auditului este o teorie normativă, deoarece furnizează un ghid despre cum ar trebui să fie practica de audit. Cu alte cuvinte, „scopul teoriei auditului este să furnizeze un cadru conceptual rațional și coerent pentru determinarea procedurilor de audit necesare pentru atingerea obiectivelor de audit definite și pentru evaluarea continuă a practicilor curente în scopul perfecționării lor”.
Postulatele cel mai frecvent invocate în lucrările de audit sunt:
1. Situațiile financiare și informațiile financiare sunt verificabile. Dacă această ipoteză fundamentală nu ar fi reală, auditul nu ar avea sens și nu ar exista. Verficarea nu implică probe de netăgăduit, dar sugerează conceptul de asigurare rezonabilă. Mautz și Sharaf subliniază că „doar pe baza acestui postulat, se identifică: teoria probei, procedeul de verificare, aplicarea probabilității teoriei de audit, stabilirea granițelor responsabilității auditorului”.
2. Pe termen lung, nu există un conflict de interese între auditori și conducerea entității auditate.
Atât auditorii cât și managerii ar trebui să fie interesați în prezentarea unei imagini fidele a situațiilor financiare, deoarece adoptarea unor decizii de investiții bazate pe informații pertinente este benefică întreprinderii pe termen lung. Trebuie însă precizat că, pe termen scurt, pot exista conflicte în ceea ce privește: dezacordul onest asupra aplicării unei politici contabile; încercarea managerilor de a cosmetiza situațiile financiare, prin ameliorarea performanței publicate sau a gradului de atingere a altor obiective, pentru a-și spori propria remunerație sau acordarea unor bonificații suplimentare; fraude manageriale.Din acest motiv, pe tot parcursul activității desfășurate, auditorii trebuie să manifeste o atitudine sceptică față de informațiile furnizate de conducerea entității.
3. Rezultatul unei misiuni furnizează asigurări rezonabile dar nu absolute că vor fi detectate erori semnificative cauzate, în special, de nereguli.
Standardul de audit ISA 200 ajută la corelarea acestui postulat cu responsabilitățile unui audit modern. Norma prevede că, un audit efectuat în conformitate cu standardele de audit, are ca scop detectarea erorilor semnificative, inclusiv a fraudelor care pot afecta situațiile financiare. Auditorul nu este un garant. Responsabilitatea sa constă în a-și exercita îndatoririle cu maximă grijă și competență, având un grad adecvat de scepticism profesional.
4. Existența unui sistem de control intern satisfăcător reduce posibilitatea fraudei și erorilor.
Un sistem de control intern se bazează pe două elemente definitorii: separarea responsabilităților în cadrul unei organizații și verificarea internă propriu-zisă. Aceste două elemente considerate împreună nu pot fi eficiente 100%, fapt care conduce la ipoteza că este mai corect a spune că un sistem de control intern bun reduce eroarea, frauda, manipularea rezultatelor, pierderea activelor, fără a elimina total riscul de apariție a acestora. În aceste condiții, auditorul are nevoie de probe suplimentare față de cele solicitate de un control intern, pentru a-și fundamenta aprecierea rezonabilă despre situațiile financiare auditate.
5. Aplicarea constantă a principiilor general acceptate de contabilitate oferă o imagine fidelă a situațiilor financiare.
În momentul în care auditorul își exprimă opinia sa în legătură cu situațiile auditate, el consideră ca element de referință aplicarea principiilor contabile general acceptate în evaluarea gradului de fidelitate a situațiilor sau informațiilor analizate. Fără un astfel de criteriu, ar fi deosebit de dificil să se stabilească, cu obiectivitate, dacă situațiile financiare prezintă sau nu o imagine fidelă.
6. Activitatea curentă de audit este structurată în funcție de experiența și cunoștințele acumulate din auditarea clientului în anii precedenți.
În conformitate cu acest postulat, în lipsa unei probe contrarii, auditorul poate să presupună că ceea ce a fost adevărat în trecut, pentru o societate auditată, va rămâne valabil și în viitor. Altfel spus, în absența unor schimbări în controlul intern operațional și de personal al clientului, auditorii își pot planifica angajamentele curente, pe probele cumulate din misiunile de audit anterioare, ceea ce mărește eficiența unei misiuni de audit.
7. Independența este esențială în misiunea de audit. Independența este „piatra de încercare” a profesiei de auditor. Fără o independență profesională de necontestat, opinia auditorului devine suspectă. Din punct de vedere teoretic, factorii care permit determinarea gradului de independență sunt integritatea și obiectivitatea auditorului.
8. Statutul profesional de auditor independent impune anumite obligații profesionale.În conformitate cu acest postulat, auditorul trebuie să respecte Codul privind conduita etică și profesională în domeniul auditului.
1.4 Obiectivele auditului financiar contabil și responsabilitățile auditorului
Obiectivul auditului a evoluat de la detectarea fraudelor și erorilor, proces care presupunea o verificare detaliată a tuturor operațiunilor patrimoniale și a înregistrării lor contabile, la exprimarea unei opinii asupra imaginii fidele a patrimoniului, a situației financiare și a rezultatelor obținute de către societate. Se urmărește, în acest sens, măsura în care informațiile înregistrate în contabilitate reflectă evenimentele economice care au avut loc într-o anumită perioadă, iar eforturile auditorului sunt intensificate pentru identificarea eventualelor manipulări ale informațiilor furnizate de sistemul financiar, pentru prevenirea cazurilor de contabilitate creativă sau fraudă. Conform standardelor de audit, “obiectivul unui audit al situațiilor financiare este acela de a da posibilitatea auditorului să exprime o opinie privind întocmirea situațiilor financiare respective, sub toate aspectele semnificative, în conformitate cu un cadrul general de raportare identificat. Cu toate că opinia auditorului sporește credibilitatea situațiilor financiare, utilizatorul nu trebuie să considere că această opinie este o garanție a viabilității viitoare a entității.” Utilizatorul extern nu trebuie să atribuie opiniei formulate de auditor o garanție absolută, pentru că este imposibil să nu conștientizăm că acesta nu-și va întoarce armele împotriva propriului client.
Pentru a înțelege ceea ce este un audit și modul în care acesta se desfășoară, este necesar să se cunoască rolul auditului și responsabilitățile profesionale ale auditorilor. O asemenea analiză implică, înainte de toate, o cunoaștere a mediului economic, social și instituțional în care se desfașoară procesul de audit. În plus, trebuie să se aibă în vedere faptul că scopul auditului, rolul său precum și mijloacele și tehnicile utilizate sunt într-o continuă evoluție și adaptare la transformările din mediul existent, ceea ce implică o pregătire continuă din partea auditorilor.
Auditul este privit nu numai ca o materie interdisciplinară dar și ca un domeniu de activitate în care, în mod implicit, se impun rigori, standarde de pregătire profesională, o anumită conduită etică, de la care auditorul nu se poate abate fără a suferi consecințe profesionale sau materiale. Rolul auditorilor financiari este crucial pentru consolidarea piețelor mondiale de capital, iar reglementarea independentă a profesiei este necesară pentru a câștiga încrederea publicului în informațiile conținute de situațiile financiare elaborate de societatea comercială”.
1.5 Necesitatea realizării activității de audit financiar-contabil
Situațiile financiare sunt elaborate și prezentate pentru a satisface cerințele comune de informare financiară ale unei game largi de utilizatori: investitori, manageri, salariați, clienți, creditori bancari, stat etc. Concordanța dintre conținutul și calitatea situațiilor financiare, pe de o parte, și exigențele referențialului contabil, pe de altă parte, este controlată de managementul societății și/sau auditorii interni, iar la nivel superior de organele de control financiar ale statului. Caracterul subiectiv al acestor forme de control, în condițiile asigurării nevoilor proprii de informare ale investitorilor, a constituit premisa apariției instituțiilor profesionale de auditori independenți. Necesitatea unei astfel de activități a fost accentuată de:
Conflictul de interese dintre utilizatorii externi de informații contabile (acționarii, creditorii bancari) și cei ce pregătesc și furnizează aceste informații (managerii).
Se poate afirma că interesul managerului este legat, în principal, de cota-parte care îi revine din profit. Acest interes îl determină să aibă un comportament oportunist, optând pentru procedurile care îi permit menținerea drepturilor proprii la un nivel ridicat.
Beneficiind de un acces imediat, complet și gratuit la informațiile contabile, managerii acordă o atenție deosebită felului în care informațiile publicate sunt percepute în exterior, pentru că aceste informații publicate informează terții despre felul în care societatea a fost gestionată.
Acționarii, în calitatea lor de proprietari, vor să se asigure că managerii nu au profitat de mandatul încredințat pentru a-și însuși o parte din bogăția societății. Acționarii nu reprezintă însă un grup omogen. Astfel, acționarii cu acțiuni privilegiate, sunt interesați de capacitatea întreprinderii de a produce câștiguri viitoare, de strategia adoptată de aceasta pentru asigurarea “sănătății” pe termen lung, în timp ce acționarii cu acțiuni ordinare, vor fi interesați de mărimea dividendului ce le revine. De asemenea, acționarii minoritari și majoritari nu au întotdeauna aceleași nevoi informaționale și nici aceleași interese. Acționarii minoritari sunt interesați de câștigul imediat sub formă de dividende, în timp ce acționarii majoritari sunt interesați de avantajele pe termen lung.
Creditorii, în special creditorii bancari, sunt interesați de capacitatea întreprinderilor de a produce profit, acesta reprezentând singura sursă de acoperire a dobânzilor și de rambursare a împrumuturilor. În acest context, se acordă o atenție deosebită ratelor de lichiditate și de îndatorare.Controlul conflictului de interese a fost asigurat de serviciile auditorului extern.
Fundamentarea deciziilor de investiții, împrumut și alte decizii necesită informații despre poziția financiară, performanțele și fluxurile de trezorerie ale unei societăți, furnizate de situațiile financiare publicate.Consecințele economice majore care pot rezulta, îi pot determina pe utilizatorii externi să solicite de la auditorul extern asigurarea că situațiile financiare sunt corecte, complete și conforme cu standardele contabile acceptate.
Complexitatea crescândă pe care o cunoaște contabilitatea determină riscul apariției erorilor neintenționate și a interpretărilor greșite. Din acest motiv, utilizatorii externi solicită opinia auditorului, pentru asigurarea credibilității informației financiar-contabile, auditul în sine permițând reducerea, într-o măsură semnificativă, a “riscului informației”.
Accesul selectiv la înregistrările contabile pe baza cărora sunt construite situațiile financiare, a accentuat în practică inegalitatea dintre categoriile de utilizatori. Acționarii și băncile au dreptul la informații specifice (altele decât cele publicate), adesea cu titlu gratuit, în timp ce alți utilizatori pot beneficia de astfel de informații contra cost. Chiar și în astfel de condiții, o examinare semnificativă a informațiilor, o evaluare a calității situațiilor finaciare nu este certă.
În condițiile în care informația contabilă permite redistribuirea bogăției, unele societăți încearcă să își cosmetizeze situațiile financiare prin utilizarea unor tehnici de contabilitate creativă.În accepțiunea lui Naser, contabilitatea creativă reprezintă:
„procesul prin care, dată fiind existența unor breșe în reguli, se manipulează cifrele contabile și, profitând de flexibilitate, se aleg acele practici de măsurare și informare ce permit transformarea documentelor de sinteză din ceea ce ele ar trebui să fie în ceea ce managerii doresc.
procesul prin care tranzacțiile sunt structurate de asemenea manieră încât să permită “producerea” rezultatului contabil dorit.”Tehnicile de contabilitate creativă se pot grupa în diverse categorii:
Uneori, normele permit alegerea între diferite metode contabile (prelucrări alternative), care pot conduce la rezultate diferite, la imagini diferite ale situațiilor financiare.
O serie de elemente necesită estimări sau previziuni. De exemplu, durata de utilitate a unui mijloc fix, în vederea calculării amortizării, reprezintă o estimare realizată de societate. Această estimare permite o abordare “pesimistă sau optimistă” ce poate conduce la reprezentări diferite ale situațiilor financiare.
Se pot realiza tranzacții artificiale pentru a manipula valorile din bilanț sau pentru a netezi rezultatul. De exemplu, se procedează la vânzarea unui utilaj și, concomitent, la preluarea imediată a acestuia în regim de închiriere pentru durata de viață rămasă. Prețul de vânzare poate fi mai mare sau mai mic decât valoarea actuală a utilajului, deoarece diferența se poate compensa prin chirii mai mici sau mai mari decât prețul pieței.
Momentul realizării unor tranzacții este ales cu grijă pentru a da o anumită imagine în conturi. De exemplu, societatea deține un imobil achiziționat cu 1.000 u.m., a cărei valoare de piață este 3.000 u.m. Conducerea întreprinderii va lua decizia de a vinde imobilul în anul în care intenționează să majoreze rezultatul.
În mod concret, utilizarea tehnicilor de contabilitate creativă este unul din aspectele urmărite de auditorul extern, datorită efectelor sale
Majorarea sau diminuarea cheltuielilor. Normele contabile lasă o anumită marjă de manevră în cuantificarea cheltuielilor care aparțin unui exercițiu. De exemplu, pentru anumite active se indică doar numărul maxim de ani în care trebuie amortizate. O durată mai mare sau mai mică de amortizare afectează mărimea rezultatului. În mod similar, se pot analiza provizioanele și posibilitatea activării anumitor cheltuieli.
Majorarea sau diminuarea veniturilor. In anumite cazuri, se poate grăbi sau încetini recunoașterea veniturilor prin aplicarea principiului prudenței sau a principiului conectării cheltuielilor la venituri.
Majorarea sau diminuarea activelor. Existența unei flexibilități, în ceea ce privește calculul amortizării si provizioanelor, crează posibilitatea majorării sau diminuării valorii nete a activelor. De asemenea, stocurile se pot evalua prin diferite metode și, ca urmare, valoarea lor poate fi diferită, cu efecte asupra contului de profit și pierdere.
Majorarea sau diminuarea fondurilor proprietarilor. Modificarea veniturilor și cheltuielilor afectează mărimea rezultatului, și în consecință, mărimea rezervelor. Se modifică, astfel, valoarea fondurilor proprietarilor și toate ratele calculate pe baza acestora.
Majorarea sau diminuarea datoriilor. În unele țări, normele contabile lasă posibilitatea regularizării anumitor datorii, precum cele legate de pensionare, pe un interval de timp. Ca urmare, o întreprindere interesată în majorarea rezultatului va proceda la repartizarea datoriei pe o perioadă maxim permisă.
Reclasificarea activelor și datoriilor. Uneori, pot exista dubii în ceea ce privește încadrarea unui element într-o categorie sau alta. Este, de exemplu, cazul titlurilor, care în funcție de intenția întreprinderii, trebuie înscrise în activele curente sau activele necurente.
Manipularea informațiilor prezentate în anexă. Lipsa unor informații relevante poate afecta deciziile utilizatorilor externi.
Prezentarea informațiilor. Criteriile utilizate în prezentarea informațiilor contabile pot reprezenta o portiță pentru manifestarea creativității.
Analiza elementelor prezentate relevă faptul că, adesea societățile profită de breșele existente în norme și de flexibilitatea acestora în vederea distorsionării informațiilor publicate. Deși există o diferență clară între contabilitatea creativă și încălcarea deliberată a legii, ambele fenomene apar în condiții de dificultate financiară a întreprinderilor și au la bază intenția de a înșela. În consecință, chiar dacă utilizarea contabilității creative nu este ilegală, ea indică faptul că managerii, aflați sub presiune financiară, caută soluții fără a-și mai pune problema respectării unor standarde etice.
CAPITOLUL 2
PARTICULARITĂȚI ALE CONTROLULUI INTERN ÎNTR-UN MEDIU INFORMATIZAT
2.1 Analiza mediului de control într-un sistem informatizat
Societatea actuală, o societate informatizată pentru care informația și tehnologia informației sunt cele mai importante valori, necesită astăzi sisteme de comunicație rapide, sigure și fiabile care să-i asigure confidențialitatea, integritatea și disponibilitatea resurselor informaționale.Înțelegerea mediului de control, a caracteristicilor sistemului informațional în ansamblul său este un pas important și hotărâtor pentru auditori, în vederea stabilirii gradului de credibilitate al sistemului însuși și a informațiilor pe care le furnizează. Obiectivul general și procesul de audit într-un mediu informatizat nu diferă, structural, de etapele și procedeele clasice. Excepțiile apar numai din necesitatea cunoașterii de către auditor a sistemului informatic existent, a înțelegerii aplicațiilor informatice utilizate în procesarea automată a datelor, precum și a modului în care acesta satisface cerințele utilizatorului. În etapa de “Planificare” a auditului, auditorii trebuie să-și formeze o imagine asupra semnificației și complexității mediului informatic, a accesibilității datelor în vederea auditării. Această imagine este definită de caracteristicile:
Structura organizatorică a mediului informatic, ce pune un accent deosebit pe necesitatea separării funcțiilor incompatibile adresate aceleiași persoane.
Complexitatea și importanța procesării automate a fiecărei aplicații semnificative.
Disponibilitatea datelor. Într-un mediu informatizat, anumite informații solicitate de auditor pot exista doar pentru o scurtă perioadă și/sau doar într-o formă electronică; în legătură cu acest aspect se impune a fi amintiă și vulnerabilitatea mediilor de stocare a datelor /informațiilor.
Utilizarea tehnicilor de audit asistate de calculator pentru o creștere a performanței procedurilor de audit.
Această analiză a importanței și complexității activităților mediului informatizat are un impact favorabil în evaluarea riscurilor inerente și de control.
Într-un mediu informatizat, amploarea riscurilor ia o altă dimensiune, natura lor fiind influențată de:
Densitatea informației este mult mai mare decât în sistemele clasice, bazate pe hărtie.
Dischetele, discurile optice și alte suporturi moderne ce sunt utilizate pentru salvarea acestui volum mare de informații, însumând zeci de mii de pagini de hărtie, pot fi subtilizate mult mai discret generând astfel fraude sau cel puțin afectând confidențialitatea acestor informații.
– Transparența documentelor privind desfășurarea unor operațiuni.
– Autorizarea tranzacțiilor. Într-un mediu informatizat se poate include și capacitatea calculatorului de a iniția și executa automat unele trazacții; altfel spus, este vorba de modul de proiectare a aplicației informatice care poate avea încorporate anumite autorizări implicite și funcții de generare automată.
– Procesarea uniformă a tranzacțiilor. O aplicație informatică procesează în mod uniform tranzacții similare, pe baza acelorași instrucțiuni program. În felul acesta, erorile de redactare a documentelor asociate unei procesări manuale sunt în mod virtual eliminate. În schimb, erorile de programare pot conduce la procesarea incorectă a tranzacțiilor, astfel încât auditorii își vor concentra atenția asupra acurateței și consistenței ieșirilor.
– Accesul neautorizat la date și fisiere se poate efectua cu o mai mare ușurință, ceea ce implică un mare potențial de fraudă și eroare.
– Remanența suporturilor de memorare a datelor, după ce au fost șterse poate constitui o cale sigură de a intra în posesia unor informații de valoare.
– Agregarea datelor. Noile sisteme de prelucrare automată a datelor, precum sunt cele de asistare a deciziei, au condus la valorificarea unor informații importante ale entității, generând prognoze,strategii și tactici de parcurs într-un anumit domeniu. Astfel, informațiile capătă valențe suplimentare decât cele avute prin păstrarea lor în mai multe locuri, separate unele de altele.
– Evoluția tehnologiei informaționale a cunoscut în ultimii ani un ritm accelerat, dar nu același lucru se poate spune despre progresele înregistrate în domeniul securității datelor.
– Integrarea puternică a sistemelor apare ca o consecință a îmbunătățirii formelor de comunicație și a proliferării rețelelor de calculatoare.
– Lipsa urmelor eventualelor atacuri criminale constituie un alt element îngrijorător al noului mediu de lucru ; în aces sens modificarea datelor, adăugarea sau chiar ștergerea lor au devenit operații mult mai ușor de realizat, dar în același timp, destul de greu de depistat.
2.2 Analiza riscului într-un mediu informatizat
Obiectivul unei analize a riscurilor informaționale (riscuri IT) este de a identifica modalitățile prin care datele și, implicit, sistemul informatic care le conține, este expus la risc. Elementele prezentate în paragraful anterior conduc la ideea că mediul informatizat generează noi riscuri și orice organizație, în vederea asigurării unei protecții eficiente a informațiilor, este necesar să dezvolte un proces complex de studiu și analiză a riscurilor.Riscul IT se manifestă prin intermediul componentelor sale proprii: amenințări, vulnerabilități și impact. Amenințările exploatează vulnerabilitățile unui sistem cauzând impactul și în esență, combinația celor 3 elemente determină mărimea riscului. Riscul la nivelul unei organizații nu poate fi eliminat, el va exista întotdeaua, managmentul societății fiind responsabil de reducerea lui la un nivel acceptabil. În acest sens, figura 2.1 pune în corespondență diferite elemente ce necesită a fi luate în calcul pentru reducerea riscului
Figura nr.2.1 Componentele riscului IT
În general, riscurile asociate unui sistem informațional, pe care orice auditor trebuie să le analizeze și evalueze (tehnica frecvent utilizată în acest caz este chestionarul), în vederea aprecierii sistemului în sine, vizează:
Riscul securității fizice ce va fi evaluat în funcție de informațiile culese, cu privire la: existența sistemelor de pază, detecție și alarmă a incendiilor, sistemelor de protecție împotriva căderilor de tensiune, protecția echipamentelor împotriva furturilor, protecția împotriva catastrofelor naturale (inundații, cutremure..), protecția fizică a suporților de memorare
Riscul de comunicație poate lua valențe diferite, în funcție de disponibilitatea sistemului la rețeaua publică, situație în care auditorul e necesar să analizeze măsurile de securitate adoptate: existența unui firewall, modul de configurare a acestuia, analiza modului de transmitere a datelor prin rețeaua publică (utilizarea tehnicilor de criptare, existența unei rețele virtuale private – VPN). Acest risc se poate manifesta și la nivelul unei rețele locale, atunci când configurarea acesteia lasă de dorit și prin “ascultarea” liniilor de comunicație, traficul acesteia poate fi compromis. Confidențialitatea informațiilor nu vizează doar memorarea acestora pe stațiile de lucru sau servere, ci și liniile de comunicație.
Riscul privind integritatea datelor și tranzacțiilor vizează toate riscurile asociate cu autorizarea, completitudinea și acuratețea acestora.
Riscul de acces se referă la riscul asociat accesului inadecvat la sistem, date sau informații. Implicațiile acestui risc sunt majore, el vizând confidențialitatea informațiilor, integritatea datelor sau bazelor de date și disponibilitatea acestora. În acest sens, acțiunile auditorului presupun o analiză a managementului parolelor la nivelul organizației (altfel spus atribuirea și schimbarea parolelor de acces fac obiectul unei aprobări formale?), o investigare a încercărilor de accesare neautorizată a sistemului (există o jurnalizare a acestora ?), o analiză a protecției stațiilor de lucru (sunt acestea dotate cu soft care să blocheze accesul la rețea, atunci când utilizatorul nu se află la stația sa ?).
Riscul privind protecția antivirus ce impune o analiză a existenței programelor antivirus în entitate, utilizarea lor la nivel de server și stații de lucru, upgrade-ul acestor programe (manual sau automat). Lupta cu virușii este esențială, dar nu ușor de realizat. În ciuda numărului mare de programe antivirus existente este necesară o analiză a caracteristicilor programului privind: scanarea în timp real a sistemului sau monitorizarea continuă a acestuia, scanarea mesajelor e-mail, scanarea manuală.
Riscul legat de documentația sistemului informatic. Documentația generală a unui sistem informatic vizează pe de o parte documentația sistemului de operare sau rețelei și, pe de altă parte, documentația aplicațiilor instalate. Această documentație poate fi diferită pentru administratori, utilizatori și operatori astfel încât să ajute la instalarea, operarea, administrarea și utilizarea produsului. Riscurile asociate documentației se pot referi la faptul că, aceasta nu reflectă realitatea în ceea ce privește sistemul, nu este inteligibilă, este accesibilă persoanelor neautorizate, nu este actualizată.
Riscul de personal poate fi analizat prin prisma următoarelor criterii:
Structura organizațională la nivelul departamentului IT ce va avea în vedere modul în care sunt distribuite sarcinile și responsabilitățile în cadrul acestuia. Alocarea unui număr prea mare de responsabilități la nivelul unei singure persoane sau unui grup de persoane este semnul unei organizări interne defectuoase.
Practica de selecție a angajaților. La baza unui mediu de control adecvat stau competența și integritatea personalului, ceea ce implică din partea auditorilor o analiză a politicilor și procedurilor organizației privind angajarea, specializarea, evaluarea performanțelor și promovarea angajaților.
Riscul de infrastructură se concretizează în faptul că organizația nu deține o infrastructură efectivă a tehnologiei informației (hardware, retele, software, oameni și procese) pentru a susține nevoile acesteia.
– Riscul de management al situațiilor neprevăzute (risc de disponibilitate) este riscul asociat pericolelor naturale, dezastrelor, căderilor de sistem care pot conduce la pierderi definitive ale datelor, aplicațiilor, în absența unor proceduri de monitorizare a activității, a planurilor de refacere în caz de dezastre.
2.3. Metode cantitative și calitative de evaluare a riscurilor IT
Modelele de risc, fie ele cantitative sau calitative, reprezintă instrumente deosebit de utile auditorilor IT pentru identificarea diferitelor tipuri de risc, oferind în același timp informații pentru a le determina și controla.Literatura de specialitate abordează două modele de analiză a valorii riscului: modelul cantitativ și modelul calitativ ; acestea pornesc de la premisa că orice organizație se poate aștepta la apariția unor pierderi cauzate de ineficiența unui sistem informatic, iar acest risc al pierderilor, rezultă din impactul pe care îl au amenințările asupra resurselor organizației. Modelul cantitativ se bazează pe următoarele elementele: valoarea monetară credibilă a activelor, “impactul” ca procent din valoarea activelor, probabilitatea pierderilor anuale, pierderea anuală așteptată, costul controlului și măsurilor de precauție, incertitudinea.
Impactul generat de o singură amenințare sau pierderea potențială asociată unei singure apariții se calculează astfel:
Impact=FV * VA sau PPA = FV * VA
Pierderea anuală anticipată este influențată de rata anuală a apariției riscului și poate fi determinată astfel:
PAA = PPA * RAA
unde: FV – factor de vulnerabilitate
VA – valoarea activului
PPA – pierderea potențială asociată unei apariții.
PAA – pierdearea anuală anticipată
RAA – rata anuala a apariției
O astfel de analiză include de asemenea o evaluare a raportului cost/beneficii ce va facilita proiectarea ratei de recuperare a investițiilor (ROI) pentru un anumit set de controale.
ROI=Benefiii nete/Cost
Aceste modele matematice furnizează un rezultat concret, dar care trebuie inclus în mediul economic și observat dacă el reprezintă realitatea.Specialistul Alan Oliphant propune un model calitativ de determinare a nivelului de risc, conform căruia sunt luați în calcul 4 factori de bază în aprecierea valorii riscului: impactul financiar, vulnerabilitatea, complexitatea și încrederea. În acest caz, valoarea riscului va fi exprimată prin valorile “Foarte Scăzut, Scăzut, Mediu, Înalt, Foarte Înalt” și nu în valori absolute ; formula de determinare a valorii riscului este următoarea :
VR= VF * [( Cv*Wv )+( Cc*Wc )+( Ct*Wt )]
unde: VR – valoarea de risc
VF – impactul financiar asupra organizației; acesta reprezintă un cost potențial al organizației în eventualitatea apariției unei erori, căderi de sistem, fraude sau alte evenimente negative. Valoarea materială va fi dată de valoarea financiară sau valoarea activelor. Impactul asupra organizației poate fi sporit prin intermediul unui multiplicator non financiar:
[(Cv*Wv)+(Cc*Wc)+(Ci*Wi)]
Acest model de calcul poate fi privit ca un punct culminant al analizei factorilor de risc: vulnerabilitate, complexitate și încredere.
Cv – vulnerabilitatea, se referă pe de o parte la modul în care utilizatorii autorizați au acces în sistem și pe de altă parte la accesibilitatea sistemului și a activelor organizației de către utilizatori neautorizați. Accesibilitatea unui sistem informațional se poate evalua în funcție de restricțiile fizice implementate în cadrul organizației și de modalitățile de acces prin intermediul rețelei de comunicație.
Cc – complexitatea – are în vedere riscul asociat tehnologiei informaționale în sine, numărul utilizatorilor din cadrul compartimentelor sau în termeni mai generici complexitatea organizațională.
Ci – încrederea, reflectă comportamentul uman din organizație și vizează două aspecte: integritatea personalului și gradul de implicare al managerilor.
Wv, Wc, Wi – reprezintă factori de greutate (importantă) care pot fi aplicați la discreția auditorului, în funcție de condițiile specifice. Inițial, acești factori pot fi stabiliți la o valoare de 0.33 în vederea determinarii unui multiplicator mediu general al riscului ; această valoare nu este fixă și atunci când se consideră că unul dintre elemente are un impact mai mare decât celelalte, se pot folosi valori diferite.Valoarea de risc calculată va fi transpusă într-un „tabel de traducere”, indicându-se nivelul de risc; în proiectarea acestui tabel, auditorii au în vedere următoarele reguli: valoarea cea mai scăzută de risc = 0 și valoarea cea mai ridicată se apreciază ca fiind valoarea totală (financiară) a organizației multiplicată cu 3.Un exemplu în acest sens, va elucida eventualele ambiguități create: se consideră o bancă a căror active sunt apreciate la 1 milion $. Modelul va fi aplicat asupra a două categorii de operații: conturi curente și operații cu schimburi valutare. Valoarea activelor bancare fiind apreciată la 1 milion $, maximul valorii de risc va fi deci de 3 milioane $. Pentru a construi tabelul de traducere se va împărți această plajă de valori în segmente, apreciate la nivelele de risc pe scara de la 1..5. Cea mai simplă metodă o va reprezenta împărțirea în intervale egale. Din nefericire, în practică lucrurile nu sunt chiar atât de simple. În mod evident, pierderea integrală a activelor poate fi considerată un risc înalt, dar inevitabil, apar întrebări de genul: De unde încep riscurile să crească? Unde ating riscurile nivelul mediu?
În general, în construirea acestui „tabel de traducere” auditorii solicită și consultarea managementului entității.
Tabelul 2.1 „Tabelul de traducere” a valorii riscului
Soluția prezentată anterior nu este general valabilă, auditorii putând să-și folosească experiența profesională în funcție de particularitățile situației analizate. Tabelul 2.2 prezintă informații relevante pentru analiza riscului, în cazul ales.
Tabelul 2.2 Informații de apreciere a ratelor de risc pentru cei 3 factori: complexitate, vulnerabilitate și încredere
Tabelul 2.2 Informații de apreciere a ratelor de risc pentru cei 3 factori: complexitate, vulnerabilitate și încredere
VR = VF * [(Cv*Wv)+(Cc*Wc)+(Ci*Wi)]
Deci,
1. VR=250.000.000*[(3*0.33)+(3*0.33)+(3*0.33)]=750.000.000 $
2. VR=400.000.000*[(2*0.33)+(1*0.33)+(3*0.33)]=266.666.666 $
Aceste valori vor fi interpretate cu ajutorul “tabelului de traducere” a valorii riscului (tabelul 2.1) astfel:
pentru sistemul conturi curente – riscul este considerat Foarte Înalt.
pentru sistemul asociat schimburilor valutare – riscul este considerat Înalt .
Concluziile finale ale acestei analize pot fi considerate drept premise pentru crearea planului de audit sau pentru determinarea nivelului de control care trebuie implementat.
2.4. Controlul general
Controlul general este destinat să supervizeze sistemul informațional în ansamblul său, având o incidență asupra tuturor aplicațiilor informatice ce funcționeză în mediul informatizat. Numai prezența acestui control nu oferă o garanție asupra fiabilității unei aplicații informatice și nici asupra completitudinii și acurateței ieșirilor acesteia, întrucât credibilitatea lor este dependentă de controlul aplicațiilor. Componentele controlului general sunt reprezentate în figura 2.2.
Figura nr.2.2 Componentele controlului general
2.4.1. Controlul organizațional evidențiază psihologia managerului și stilul său de operare, poziția acestuia față de sistemul informațional. Într-un mediu informatizat managerul trebuie să se asigure că există o separare a funcțiilor incompatibile la nivelul tuturor departamentelor informaționale. În domeniul prelucrării automate există numeroase funcții, care, din considerente de securitate, se recomandă să fie exercitate de persoane diferite, cum ar fi: operarea la calculator și programarea aplicațiilor, pregătirea datelor și prelucrarea lor, prelucrarea datelor și controlul calității prelucrării, operarea la calculator și gestiunea suporților de memorare, scrierea programelor de aplicații și administrarea bazei de date, proiectarea, implementarea și modificarea softului privind securitatea sistemului și exercitarea oricărei alte funcții, controlul privilegiilor de acces și exercitarea oricărei alte funcții.
Controlul organizațional urmărește să verifice dacă departamentul informatic ocupă locul care îi revine în cadrul entității, numărul de persoane aferent acestuia este suficient, iar sarcinile incompatibile să fie separate.
2.4.2. Controlul dezvoltării și întreținerii sistemului este conceput, să ofere o asigurare rezonabilă asupra faptului că sistemul este dezvoltat și întreținut într-o manieră autorizată și eficientă. Mediul concurențial și volatilitatea informațiilor reprezintă, adesea, factori ce impun modificări ale aplicațiilor de procesare automată a datelor tocmai pentru a ține pasul noilor exigențe (spre ex: modificarea impozitarului salariilor, noi modificări legislative pentru cota de tva). Orice modificare adusă aplicațiilor din cadrul sistemului informatic va fi subiectul unei autorizări stricte, unor proceduri de testare și control.
2.4.3. Controlul securității sistemului. Alegerea unei strategii corecte de abordare a securității unui sistem trebuie să pornească de la adevărul unanim acceptat că nu există un produs de securitate universal valabil. Practica a demonstrat că nu există o „rețetă unică” care, odată implementată, va asigura beneficiarul că datele nu vor fi modificate sau furate. Nici un sistem nu poate fi 100% securizat și utilizat în același timp – fapt care conduce la formularea unor afirmații de genul "ceea ce se câștigă în securitate, se pierde în funcționalitate".
2.4.4. Controlul continuității activității. Tot mai multe organizații realizează că informațiile reprezintă unul din activele critice ale unei companii și că supraviețuirea companiei depinde de disponibilitatea acestora, pentru că fără o refacere completă a datelor și informațiilor, sistemul hardware este irelevant. Un plan de continuitate a afacerii (Business Continuity) și recuperare în urma dezastrelor (Disaster Recovery) este soluția unei astfel de probleme. Orice astfel de plan trebuie să răspundă la următoarele întrebări:
Ce reprezintă un dezastru în opinia conducerii organizației?
Cine răspunde de punerea în practică a unui astfel de plan?
Ce acțiuni se întreprind?
Motivul principal pentru ca o entitate să se angajeze în planificarea continuității activității și a recuperării în caz de dezastre este asigurarea abilității organizației de a funcționa eficient în cazul unei întreruperi severe a operațiunilor normale. Întreruperile severe pot apărea din diferite surse: dezastre naturale (incendii, inundatii, cutremure etc.), căderi de echipamente sau procese (discuri, programe, baze de date etc.), greșeli de operare, sabotaj sau erori de apreciere, acte de terorism sau criminalitate informatică premeditate (de exemplu, atacuri de genul ''denial of service'', hacking, viruși viermi și cai troieni etc.). Prevenirea unor astfel de evenimente nu este posibilă, astfel încât existența unui astfel de plan permite reluarea operațiilor esențiale mult mai rapid. Important este să remarcăm încă de la început diferențele între planurile de prevenire a pierderilor și planurile de recuperare în caz de dezastre.
Planurile de prevenire a pierderilor se focalizează pe minimizarea expunerii organizației la elementele care pot amenința operațiunile normale, ele în esență incluzând activități planificate cu regularitate cum ar fi backup-urile de sistem, autentificarea și autorizarea în sistem, scanarea împotriva virușilor și monitorizarea utilizării sistemului.
În loc de încheiere…
Controlul intern într-un sistem informațional este menit să promoveze atât eficacitatea exploatării cât și fiabilitatea sistemului. Astăzi, într-un mediu informatizat, verificarea și aprecierea acestui control, la nivelul unei organizații, reprezintă „cheia” care îi conferă auditorului financiar încrederea asupra datelor ce urmeză a fi auditate. Verificarea integrității datelor este o etapă premergătoare îndeplinirii obiectivelor unei misiuni de audit, deoarece auditorii trebuie să se asigure că rezultatele din rapoartele finale sunt bazate pe date complete, precise și fiabile. Întrebarea care se ridică este însă: Cum poate un auditor să evalueze completitudinea, acuratețea și integritatea datelor furnizate de managementul unei entități, pentru asigurarea reușitei misiunii de audit? S-a observat în capitolul al II-lea, că elementele de fraudă și eroare cu ajutorul calculatorului nu sunt puține. Totuși, mulți auditori nu conștientizează necesitatea realizării unui control al sistemului informatic și nu percep această testare a validității și autenticității datelor ca fiind direct legată de obiectivele unei misiuni de audit financiar.
În general, controlul intern într-un sistem informațional vizează un control general care afectează mediul activităților informatizate și controlul aplicațiilor exitente în sistem. Din punct de vedere al practicii auditului, nu există însă o distincție între cele două tipuri de control pentru că în realitate ele se completează reciproc și, împreună, dau o imagine completă și corectă asupra sistemului informațional.
CAPITOLUL 3
TENDINȚE ÎN DEZVOLTAREA SOFTWARE-ULUI DE AUDIT
3.1. Data Mining
În ultimii ani, informatica a surprins omenirea printr-o serie de rezultate noi și inedite, cum au fost: apariția și extinderea Internetului la scară planetară, apariția tehnologiei agenților inteligenți, a algoritmilor genetici, a depozitelor de date, a sistemelor fuzzy, etc.
Accentuarea dramatică a concurenței, globalizarea comerțului, diminuarea crescândă a ciclurilor de viață a produselor datorită dinamicii tehnologiei, impunerea unor cerințe calitative extrem de ridicate au evidențiat și mai mult valoarea strategică a informației. Toate aceste schimbări asociate cu noile avantaje ale tehnologiilor informaționale moderne au avut un impact deosebit și asupra misiunilor de audit, auditorii recunoscând astăzi o creștere dramatică a volumului tranzacțiilor și a complexității sistemelor de contabilitate informatizată. Ultimii ani au marcat o reorientare în utilizarea volumelor de date acumulate, de la un proces de cercetare retrospectiv spre unul care abordează mai mult aspecte legate de viitor, schimbare ce s-a putut impune ca urmare a maturizării tehnologiilor legate de Data Mining.
Literatura de specialitate abundă în definiții pentru conceptul de Data Mining, dar în esență ele exprimă același lucru: un proces de extragere a noi informații din colecțiile de date existente, informații ce pot răspunde nu numai la întrebarea ce se întâmplă, ci și de ce se întâmplă ? Un Data Mining are, în general, două obiective: unul de descriere ce constă în determinarea variabilelor semnificative și a influențelor acestora, cât și unul de predicție. Prin contrast cu interogările obișnuite adresate bazelor de date curente, folosind un limbaj de interogare ca SQL, Data Mining clasifică și grupează date, din sisteme diferite și, eventual, incompatibile, căutând noi asociații. Tehnicile folosite în data mining permit utilizatorilor să analizeze datele la nivele de detaliere sau abstractizare diferite, ceea ce ușurează luarea deciziilor.
Analiza și exploatarea datelor unei baze de date multidimensionale se realizează folosind tehnici de analiză avansată ce includ algoritmi statistici, inteligență artificială, rețele neuronale, logică fuzzy, algoritmi genetici și vizualizarea datelor. Data Mining nu este, în fapt o “rețetă universală” pentru orice problemă de gestiune, ci am putea spune că aportul său se rezumă la următoarele categorii de operații: Descrierea datelor, Analiza dependențelor,Clasificări și predicții, Analiza cluster-elor, Analiza excepțiilor.
Descrierea datelor. Obiectivul descrierii datelor este de a asigura o prezentare completă a datelor de analizat. În acest sens, se disting două abordări în realizarea acestei operații: pe de o parte, caracterizarea datelor printr-o cumulare a caracteristicilor generale ale datelor, iar pe de altă parte, de o comparație a acestora la nivelul dintre contrastele grupelor sau claselor. În mod normal, cele două abordări se utilizează într-o manieră agregată. Cele mai utilizate tehnici data mining sunt: agregarea și generalizarea datelor, analize în timp, reguli de inducție și tehnici asociate conceptului de cluster.
Analiza dependențelor, numită și analiza asocierilor urmărește să determine care sunt obiectele care apar cel mai frecvent împreună. Exemplul tipic pentru acest gen de acțiune este determinarea articolelor care se cumpără uzual împreună, de unde și denumirea de “analiză a coșului gospodinei”. Tehnica se poate aplica pentru căutarea nedirijată de informații și nu este pretențioasă sub aspectul tipului și conținutului datelor tratate. Ea își găsește aplicabilitatea în analiza oricăror tranzacții comerciale, analiza mișcărilor de fonduri dintr-o bancă, analiza incidentelor de asigurare, etc. Tehnicile specifice asociate metodei sunt: regresii neliniare, eșantionări statistice, normalizarea datelor, reguli de inducție, algoritmi apriori, vizualizarea datelor.
Clasificări și predicții. “Clasificarea urmărește să plaseze obiectele prelucrate într-un grup limitat de clase predefinite. Predicția urmărește să claseze înregistrările tratate în funcție de un comportament sau o valoare estimată viitoare. În acest scop, se recurge la o colecție de exemple, bazate pe date din trecut, în care valorile variabilei de previzionat sunt deja cunoscute, elemente ce vor conduce la construirea unui model care să explice comportamentul observat”. Tehnicile Data Mining cele mai adecvate sunt: rețele neuronale, arbori de decizie, algoritmi genetici, regresii lineare sau nelineare, rețele de tip “Bayes”, raționamentul bazat pe cazuri. Particularizarea acestor categorii de opeații pe exemplul unei misiuni de audit se poate concretiza în analiza etapei de acceptare a clientului; în acest sens având drept fundament situațiile de sinteză aferente ultimilor 3 ani din activitatea entității analizate, poziția deținută pe piață în cadrul ramurii economice respective, clientul poate fi încadrat într-una din grupele:”favorabil” sau „nefavorabil”. Rezultatul acestei evaluări se va exprima prin acceptarea sau refuzul misiunii.
Analiza cluster-elor urmărește divizarea unei populații eterogene în grupuri mai omogene, numite “clustere”, fără a avea ca punct de pornire un anumit criteriu sau proprietate. Diferența dintre clasificare și analiza clusterelor se poate rezuma la faptul că, aici nu există un set predeterminat de clase și nici exemple trecute, segmentarea propriu-zisă realizându-se, în exclusivitate, pe baza similitudinilor sesizate între obiecte. Este o tehnică ce are capacitatea de a releva caracteristici ascunse – sub volumul și diversitatea detaliilor – într-un anumit set de înregistrări. Modelarea acestei operații în cadrul unei misiuni de audit își găsește aplicabilitatea, după opinia mea, în selectarea eșantioanelor. Astfel, tranzacțiile contabile ale clientului cu caracteristici similare sunt grupate în clustere, iar eșantioanele sunt selectate din fiecare cluster.
Analiza excepțiilor. Detectarea fraudei, utilizarea unor modele neobișnuite sunt doar câteva rezultate ale unei astfel de analize. O astfel de analiză nu se poate realiza în mod singular, ci aplicarea ei trebuie să fie precedată de analiza cluster-elor. În viziunea unui proces de audit, având drept sursă rezultatele exemplului anterior (obținute prin analiza cluster-elor) și completând aceste informații cu datele neobișnuite identificate prin metode de analiză a excepțiilor, auditorul poate selecta eșantioanele de analizat, eșantioane care putem afirma vor reprezenta cel mai fidel realitatea.Aceste operații descrise pot asigura o analiză complexă a tranzacțiilor clientului, identificarea tranzacțiilor neobișnuite, sau chiar frauduloase, definirea unor trenduri, previziuni, fapt pentru care, integrarea acestei tehnologii poate reprezenta un instrument extrem de util îndeosebi auditorilor interni din cadrul oricărei organizații.
Procesul Data Mining
În literatura de specialitate se disting diferite modele care au fost propuse pentru a servi drept ghid al procesului de exploatare a datelor. Între acestea, două modele se impun ca standarde în domeniu: CRISP – DM și SEMMA.
Abordarea propusă de SAS Institute este recunoscută sub apelativul SEMMA (Sample – Explore – Modify – Model – Assess) și ea se caracterizează prin următoarele etape: Eșantionarea – Explorarea – Modificarea – Modelarea – Evaluarea. Particularitatea acestei metode se concretizează în importanța pe care o acordă activităților tehnice tipice asociate unui proiect Data Mining.
O altă abordare – metodologia Six Sigma – recunoscută în industria americană, datorită implementării sale de succes, se distinge prin obiectivele pe care le abordează: eliminarea defectelor din date, rezolvarea problemelor de calitate a controlului pentru toate tipurile de afaceri. Aceasta stabilește o secvență de așa numiți pași DMAIC (Define – Measure – Analyze – Improve –Control): Definire – Măsurare – Analiză – Perfecționare – Control.
CRISP (CRoss Industry Standard Process for Data Mining) a fost propus la mijlocul anului 1990 de un consorțiu European de companii pentru a servi ca un standard asociat procesului de Data Mining. Această abordare propune o derulare secvențială a următoarelor etape, reprezentate schematic în figura 3.1:
1.analiza problemei
2.identificarea datelor
3.pregătirea datelor
4.modelarea
5.evaluarea
6.integrarea noilor cunoștințe
Figura nr. 3.1 Etapele procesului Data Mining în abordarea CRISP-DM (prelucrare după sursa:www.crisp-dm.org-process-index.htm)
Analiza problemei.
În abordarea CRISP, această etapă identifică următoarele faze:
Determinarea obiectivelor. Declanșarea unui astfel de proces este determinată de sesizarea unei oportunități sau necesități de afaceri, ceea ce impune delimitarea exactă a ceea ce se urmărește de rezolvat prin data mining, care sunt obiectivele urmărite și rezultatele așteptate. Problemele pot fi diverse: optimizarea răspunsului clienților în cadrul unei campanii de marketing, prevenirea utilizării frauduloase a cardurilor bancare, detectarea intrărilor ostile într-un sistem informațional.
Definirea criteriilor de succes. Odată problema conturată, CRISP recomandă definirea unor criterii ce pot asigura reușita proiectului; aceste criterii pot fi, atât de natură obiectivă (cantitativă): îmbunătățirea numărului abaterilor detectate, îmbunătățirea gradului de răspuns al clienților la campaniile de matketing, cât și de natură subiectivă (calitativă), situație în care expertul domeniului apreciază rezultatele utilizării tehnicilor data mining corespunzător obiectivelor problemei de rezolvat.
Evaluarea situației impune o analiză a costurilor implicate și a beneficiilor viitoare, a experienței deținute în rezolvarea problemei propuse.
Determinarea scopurilor Data Mining. Etapele anterioare au stabilit problema și criteriile de succes pentru o soluționare corectă a acesteia, astfel încât în acest moment este necesară o traducere a scopurilor problemei de rezolvat în termeni “data mining”. Practica a demonstrat adesea, că scopul general al unei probleme este diferit de scopul “data mining”, exemplele din tabelul 3.1. evidențiind acest aspect:
Tabelul 3.1 Exemple de transpunere a scopurilor generale ale unei probleme de rezolvat în scop „data mining”
Scopul „data mining” este într-o relație directă cu principalele categorii de operații, ce caracterizează acest proces: descrierea datelor, clasificarea, predicția, analiza dependențelor, analiza cluster-elor, analiza excepțiilor.
– Elaborarea unui plan al proiectului. Finalitatea acestei etape se rezumă în descrierea unui plan de acțiune, cu toate lucrările ce se vor executa, tehnicile ce se vor utiliza în cadrul acestora și obiectivele urmărite.
2. Identificarea surselor de date. Odată problema definită, este necesară stabilirea structurii generale a datelor cât și delimitării surselor acestor date. Practica a demonstrat adeseori că este vorba de date dispersate în diverse sisteme operaționale, stocate în formate diferite, administrate cu produse software diferite, uneori disponibile doar pe hârtie. Etapa în sine implică realizarea următoarelor acțiuni: colectarea inițială a datelor, descrierea datelor și verificarea calității acestora. Aceste acțiuni, în ansamblul lor, permit extragerea și plasarea tuturor datelor într-o bază comună ce urmează a fi folosită, verificarea conținutului fiecăreia dintre surse pentru o identificare a eventualelor incoerențe sau probleme de definire, “elemente” care ar putea compromite rezultatele analizelor viitoare.
3. Pregătirea datelor. Datele selectate în etapa anterioară trebuie supuse unui proces preliminar de pregătire înainte de a fi realizată extracția prin data mining. Acțiunile importante ce caracterizează această etapă se pot rezuma la: selectarea datelor, „curățirea datelor”, obținerea noilor date și formatarea lor. „Curățirea datelor” se distinge ca o fază importantă a etapei, recunoscută ca mare consumatoare de timp datorită tehnicilor diversificate ce pot fi implementate pentru asigurarea fiabilității datelor. Aceste tehnici vizează:
• normalizarea datelor
• omogenizarea datelor
• administrarea valorilor care lipsesc. Absența anumitor valori influențează negativ exploatarea optimă a tehnologiilor Data Mining, precum și aplicarea unor metode statistice. În general realizarea unor experimente cu și fără aceste atribute în etapa de modelare, evidențiază importanța valorilor lipsă. O soluție simplă de rezolvare a problemei presupune fie:
a) înlocuirea tuturor valorilor lipsă cu o constantă totală unică,
b) înlocuirea unei valori lipsă cu caracteristica sa medie,
c) înlocuirea unei valori lipsă cu caracteristica previzionată.
Adesea, însă, această soluție nu asigură valoarea optimă fapt pentru care datele vor fi afectate. Dacă valorile lipsă pot fi reduse la doar câteva caracteristici, atunci se poate încerca o soluționare prin ștergerea exemplelor continând valori lipsă, sau ștergerea atributelor ce conțin majoritatea valorilor lipsă. O altă soluție este de a se încerca predicția valorilor lipsă cu ajutorul unui instrument data mining. În acest caz previzionarea valorilor lipsă reprezintă un caz special al problemei de predicție data mining.
• reducerea datelor. Motivele pentru reducerea datelor sunt în majoritatea cazurilor duble: fie volumul datelor este prea mare pentru aplicație, fie timpul estimat pentru obținerea soluției este prea lung. Tehnicile pentru reducerea datelor sunt de regulă eficiente, dar imperfecte. Cel mai frecvent algoritm pentru reducerea dimensiunilor datelor este de a se examina atributele și de a lua în considerare doar potențialul predictiv. În general, o parte dintre atribute pot fi în mod obișnuit ignorate, fie pentru că sunt slab predictive, fie pentru că sunt suplimentare în raport cu alte atribute bune.
4. Modelarea este etapa de construire a unui model informatic care va efectua explorarea propriu-zisă a datelor. Analizând noutatea și abundența tehnicilor și algoritmilor utilizați în cadrul acestei etape, se poate considera că ea este cea mai interesantă parte a unui proces Data Mining. Selectarea tehnicii de modelare este hotărâtoare pentru construcția modelului în sine, fapt pentru care în tabelul 3.2 sunt prezentate cele mai importante tehnici de modelare asociate acțiunilor uzuale Data Mining
Tabelul 3.2. Tehnici Data Mining asociate celor mai importante operații Data Mining
Construirea modelului este însoțită de o fază de testare, care verifică calitatea și valabilitatea modelului. De exemplu, în acțiunile de clasificare a datelor este uzuală folosirea valorilor eronate ca o măsură a calității modelelor de data mining. Astfel, datele colectate în etapele anterioare vor fi divizate în seturi de „date de pregătire” și seturi de „date pentru testare”. Prima categorie de date va reprezenta baza construirii modelului, iar estimarea calității sale va fi abordată prin prisma celei de-a doua categorii. Odată ales instrumentul/tehnicile de modelare, acestea se vor utiliza pe setul de date de pregătire, generând diferite tipuri de modele. În general, toate instrumentele de modelare au un număr de parametri ce conduc procesul de generare al modelului, coeficienți ce pot fi modificați până la obținerea rezultatelor scontate.
5. Evaluarea modelului. Această etapă validează modelul din punct de vedere al datelor analizate. În fazele anterioare, cu precădere în faza de modelare, evaluarea presupunea o analiză a fiabilității și generalității modelelor generate, în timp ce această etapă realizeză o evaluarea a modelelor prin prisma obiectivelor inițiale ale problemei. Această fază permite relevarea motivelor ce fac ineficientă construirea modelelor, recomandându-se în acest sens testarea lor pe probleme reale. Se vor analiza și interpreta atât rezultatele direct legate de obiectivele de soluționare a problemei cât și alte constatări efectuate, acest lucru putând oferi sugestii pentru modelele viitoare și alte informații suplimentare.
6. Integrarea noilor cunoștințe. Această etapă finalizeză procesul prin expansiunea modelului obținut și a rezultatelor sale la nivelul sistemului informatic al organizației.
3.2. Analiza caracteristicilor software-ului de audit generalizabil și a pachetelor Data Mining
Caracteristicile software-ului generalizabil de audit (GAS)
În general, aceste aplicații au următoarele caracteristici:
Caracteristica “tot în unul” – pachetele GAS sunt concepute să asiste întregul proces de audit, putând fi utilizate în coordonarea tuturor procedurilor de audit.
Interfață prietenoasă cu utilizatorul – multe pachete GAS au o interfață prietenoasă, asistând utilizatorul în “punctele cheie” ale procesului de audit, și îi oferă o reprezentare clară și concisă a informațiilor complexe.
Aptitudini tehnice minime din partea utilizatorului – aceste instrumente, proiectate în mod special pentru activitatea de audit, nu solicită utilizatorului aptitudini tehnice deosebite pentru a-l folosi.
Viteza de lucru depinde de volumul tranzacțiilor supuse prelucrării.
Cerința raționamentului uman – caracteristicile auditului surprinse de pachetele GAS includ sortarea, interogarea, stratificarea, eșantionarea, analiza întârzierilor aferente termenelor scadente a plăților, etc. Multe firme de audit își bazează activitatea pe pachetele GAS, dar cu toate acestea, experiența și raționamentul auditorilor sunt încă indispensabile, aceste instrumente favorizând reducerea personalului specializat, dar nu înlocuirea acestuia la toate nivelele.
Trăsăturile pachetelor Data Mining
O serie de aplicații, precum DB2 Intelligent Miner for Data, DB Miner, Microsoft Data Analyzer, SAS Enterprise Miner, SAS Analytic Intelligence, având încorporate tehnici Data Mining și fiind recunoscute ca instrumente pentru analiza datelor, prezintă o serie de caracteristici cum ar fi:
Capabilități de automatizare. Obiectivul central al tehnologiilor Data Mining se rezumă în descoperirea automată a unor informații ascunse, utile într-un set de date. Astăzi, pachetele Data Mining nu sunt complet automatizate, prezentând doar caracteristici de ghidare a utilizatorului în descoperirea de noi informații.
Complexitate înaltă. Tehnicile de analiză avansată ce includ algoritmi statistici, inteligență artificială, rețele neuronale, logică fuzzy, algoritmi genetici sunt extrem de complexe și adesea, explicațiile sărace legate de logica acestora conduc la un grad redus de încredere în rezultatele lor.
Scalabilitatea. Faptul că, depozitele de date sunt fundamentul evoluției data mining, justifică aprecierea „scalabilității” ca fiind una din trăsăturile cheie ale pachetelor data mining.
Oportunitatea de a descoperi informații neașteptate, ascunse. În general, în cadrul unei misiuni de audit, auditorii știu concret ceea ce caută, fapt ce determină o limitare a ariei testelor de executat. Tehnologia Data Mining poate fi utilizată chiar și atunci când utilizatorii nu au o idee preconcepută despre ceea ce caută, deoarece prin intermediul ei orice informație interesantă, ascunsă în tranzacțiile contabile poate fi relevată.
Integrarea capacității de învățare. Mulți algoritmi data mining dispun de un ansamblu de caracteristici destinate „procesului de învățare”, astfel încât experiențe și greșeli din trecut pot fi utilizate pentru a îmbunătăți calitatea modelelor în mod automat.
– Aptitudini tehnice avansate. Utilizatorii software-ului Data Mining trebuie să dispună de trăsături tehnice substanțiale, acest lucru fiind motivat de cel puțin trei cerințe stringente:
utilizatorul e necesar să cunoscă diferențele între diversele tipuri de algoritmi data mining pentru a-l alege pe cel optim;
se presupune că utilizatorul va dirija întregul proces pentru a fi sigur că noile informații sunt interesante;
rezultatul procesului data mining trebuie evaluat, pe criterii de competență profesională.
Absența interoperabilității. Procesul Data Mining poate fi abordat prin prisma a numeroase tehnici și metode de algoritmizare. Cu toate acestea, pachetele software disponibile tind să se concentreze pe una din metode, angajând doar câteva tehnici. Interoperabilitatea între diferitele metode de algoritmizare data mining constituie încă o provocare semnificativă pentru dezvoltatorii de software data mining.
Absența capacității de auto-explicare. În general, procesul data mining este automat și motivele semnificative prin care se ajunge la un anumit rezultat, sunt în mod frecvent, subtile. Prin prisma auditului, acest lucru constituie o problemă majoră deoarece „traseul de audit”și replicabilitatea sunt cerințe cheie în misiunea de audit.
Cost relativ ridicat. În comparație cu alte aplicații, software-ul data mining este considerat scump, utilizatorii încorporând în acest preț și costul de pregătire a datelor, de analiză a lor și instruire a personalului.
Conceptele dezvoltate anterior sunt comparate în mod sintetic, în cadrul tabelului 3.3 și constituie fundamentul pentru integrarea tehnicilor Data Mining în cadrul aplicațiilor asociate unei misiuni de audit.
Tabelul 3.3 Sinteza caracteristicilor GAS – pachete Data Mining
3.3. Integrarea tehnicilor și metodelor Data Mining în cadrul procesului de audit
Detalierea analizei procesului de audit și a metodelor Data Mining au condus la identificarea unor posibile arii de integrare:
Tabelul 3.4 Posibile arii de integrare a tehnicilor Data Mining în cadrul procesului de audit
În urma analizei realizate se poate observa că fiecărei etape a unui proces de audit i se pot asocia tehnici și metode Data Mining. În realitate, cea mai periculoasă situație este dată de absența datelor disponibile, mai ales în cazul primului an de audit. În construirea unui model Data Mining este necesară utilizarea seturilor de date bazate pe informații istorice, informații ce pot include atât datele anului anterior, cât și date ale altor clienți ce aparțin aceleiași ramuri industriale. Singurele informații disponibile în mod cert, în cazul tuturor angajamentelor de audit sunt tranzacțiile contabile ale perioadei curente și situațiile financiare ale aceluiași an. În acest context, se subliniază ideea conform căreia anumite etape, precum acceptarea clientului și planificarea nu pot fi abordate întotdeauna prin prisma tehnologiei Data Mining. În schimb, realizarea etapelor de evaluare a controlului intern și aplicarea testelor de detaliu, permit o analiză complexă a datelor ce conduce adeseori la detectarea fraudelor, descoperirea informațiilor ascunse în spatele datelor clasice, oferind astfel noi oportunități auditorilor.
De exemplu, să considerăm următoarea situație furnizată auditorilor(numărul de tranzacții este de cel puțin 2000):
Tabelul 3.5 Situația tranzacțiilor de vânzare generate în perioada
01-01-03….31-12-03, în cadrul societății S.C. ALFA S.A.
Analiza acestui volum considerabil de date, cu ajutorul tehnologiilor Data Mining permite identificarea unor modele, șabloane deosebite.
– Abordarea etapei de evaluare a controlului intern, cu toate fazele ce o caracterizează, poate conduce la descoperirea următoarelor tipare:
tranzacțiile aprobate de o persoană neautorizată
tranzacțiile care sunt aprobate de o persoană autorizată, dar nu întotdeauna aceeași.
volumul tranzacțiilor aprobate de fiecare persoană autorizată
distribuția volumului tranzacțiilor pe fiecare lună/trimestru/semestru
disocierea termenelor scadente aferente tranzacțiilor pregătite de fiecare persoană autorizată.
– Abordarea procedurilor analitice, prin prisma acestor tehnologii avansate permite o previzionare a cifrelor următoarelor luni, pe baza perioadelor anterioare, a caracterului sezonier, ratei inflației, ratei dobânzii și indicelui industrial. Exemple de tipare interesante sunt:
cifrele așteptate în cazul existenței unei tendințe stabile
cifrele așteptate în cazul unei tendințe instabile
– În cazul testelor de detaliu a tranzacțiilor:
cifrele vânzărilor din anumite luni ce sunt considerate excesiv de ridicate sau scăzute în raport cu alte luni.
tranzacții mici ce sunt executate în mod repetat într-o anumită perioadă a lunii
tranzacții ce nu se încadrează în clustere (excepțiile)
grupul tranzacțiilor ce dețin un procentaj mare din populație
volum mare de tranzacții ce se desfășoară la aceeași dată
tranzacții neobișnuite, de valori similare, ce au loc repetat. Spre exemplu, vânzarea unor active fixe, de valori apropiate, la fiecare sfârșit de lună.
Șirul exemplelor poate continua, dar astfel de analize aduc, în mod cert, un plus de valoare clientului auditat.
În concluzie, se poate aprecia că integrarea tehnologiilor Data Mining în cadrul procesului de audit, merită cercetată și în condițiile în care rezultatele se dovedesc a fi eficiente, atunci se poate vorbi de o dezvoltare a pachetelor Data Mining individualizate pentru misiuni de audit. Așa cum se observă și în tabelul 3.4., selectarea eșantioanelor se detașează ca fiind funcționalitatea esențială care poate fi abordată prin prisma acestei tehnologii deoarece o analiză clustering va permite auditorilor identificarea eșantioanelor din câteva grupuri reprezentative clasificate într-un mod nesesizabil cu alte instrumente.
CONCLUZII
Lucrarea de față a urmărit, pe parcursul celor trei capitole, să ofere o imagine clară asupra unui proces de audit al informației contabile într-un mediu informatizat și, totodată, să sublinieze necesitatea crescândă a utilizării tehnicilor moderne de audit (tehnici informatizate), în vederea eficientizării acestui proces. Etimologic, termenul “audit” își are originea în limba latină, însemnând “a asculta, a audia”, dar practica anglo-saxonă l-a transformat, desemnând astăzi, într-un sens larg, o activitate de verificare a unei informații, desfășurată de experți independenți, în vederea exprimării unei opinii asupra sincerității și conformității acesteia cu criterii standard de calitate. Necesitatea realizării unui audit financiar, la nivelul unei organizații, este accentuată de conflictul de interese, de asimetria informațională creată între diverși utilizatori ai informațiilor financiare și, nu în ultimul rând, de caracterul din ce în ce mai complex al contabilității.
Studiul cadrului teoretic și conceptual al unei astfel de misiuni a constituit premisa abordării acestei lucrări.
Orice misiune de audit identifică, în general, următoarele etape: acceptarea clientului (misiunii), planificarea, evaluarea controlului intern, testarea detaliată a conturilor clientului și, în final, întocmirea raportului de audit. Eficiența unei misiuni de audit este asigurată – în viziunea Standardelor internaționale de audit – de planificarea acesteia. Această etapă presupune, în linii mari, o cunoaștere generală a entității de auditat, o apreciere a riscurilor existente și o analiză a continuității activității acesteia în vederea identificării conturilor și domeniilor semnificative de auditat.
O auditare exhaustivă este imposibil de realizat și, în esență, nu reprezintă un scop al procesului de audit. Testarea selectivă – prin eșantionare – reprezintă tehnica frecvent întâlnită atât pentru evaluarea controlului intern cât și pentru testarea detaliată a valorilor din conturi și a tranzacțiilor. Auditorul va examina elementele justificative care vor susține valorile și informațiile conținute în situațiile financiare, pe baza unei evaluări a principiilor, metodelor contabile și a estimărilor semnificative făcute de managementul entității pentru prezentarea situațiilor financiare. Activitatea de testare trebuie să pornească însă de la prezumția de completitudine, integritate și acuratețe a datelor de auditat. Acest lucru este asigurat tocmai de o înțelegere a mediului informatizat și o evaluare a controlului intern la nivelul sistemului informațional. Deși, aparent, prezumția invocată anterior poate fi considerată ca lipsită de semnificație, practica a demonstrat incidențele grave (fraude, alterarea datelor sau aplicațiilor, pierderea definitivă a datelor dintr-un sistem) ce pot apărea, într-un mediu informatizat, acolo unde amploarea riscurilor ia o altă dimensiune.
Realitatea practică impune abordarea riscului prin prisma a 3 factori: amenințările privite ca evenimente sau activități (în general, din exteriorul sistemului auditat) care pot să afecteze vulnerabilitățile existente în orice sistem cauzând astfel impactul, apreciat a fi o consecință pe termen scurt, mediu sau lung suportată de organizație. În general, riscurile asociate unui mediu informatizat, pe care auditorul trebuie să le analizeze și evalueze, în vederea aprecierii sistemului în sine, vizează: riscul securității fizice, riscul de comunicație a informațiilor atât la nivelul rețelei proprii cât și a rețelei publice, riscul privind integritatea datelor și tranzacțiilor, riscul de acces neautorizat, riscul privind protecția antivirus, riscul legat de documentația sistemului informatic, riscul de personal, riscul de infrastructură, riscul de disponibilitate. Această analiză va furniza punctele “sensibile” ale sistemului, auditorul urmărind în continuare o testare detaliată a acestora. Controlul intern la nivelul unui sistem informațional presupune abordarea unui control general și a unui control la nivelul aplicațiilor existente. Practica auditului nu relevă o distincție între cele două tipuri de control pentru că, în realitate, ele se completează reciproc, iar evaluarea acestui control va conferi auditorului financiar încrederea asupra datelor ce urmeză a fi auditate. Astăzi, într-o eră informatizată, în care complexitatea sistemelor de contabilitate informatizată și volumul tranzacțiilor au crescut semnificativ, este recunoscută necesitatea unor tehnici de audit asistate de calculator care să permită o creștere a eficienței misiunii de audit. Literatura de specialitate distinge două categorii de tehnici:
pentru analiza și testarea sistemului informatic;
pentru analiza datelor de auditat.
O opinie finală este dificil de avansat, având în vedere volumul informațiilor disponibile, deoarece procedurile enumerate trebuie să fie completate de proceduri manuale precum: participarea la inventarierea manuală, discuții cu managementul entității, aprecieri ale estimărilor managementului precum și de alte informații suplimentare.
Complexitatea contemporană a activităților economice subliniază necesitatea unor instrumente contabile și de audit evoluate, care să răspundă ”foamei” de informație relevantă a utilizatorilor. O asemenea responsabilitate nu poate fi realizată de tehnicile clasice de audit, singure. Alianța cu tehnicile de audit asistate de calculator este una naturală și benefică scopurilor auditului. Simbioza dintre audit și tehnologia informațională era una previzibilă și benefică.Cercetarea de față urmărește cu satisfacție acest proces și îndrăznește mai mult decât un pariu, o predicție: orice auditor al viitorului care va disprețui sau neglija tehnicile asistate de calculator va rata scopul ultim al misiunii sale: o opinie cu adevărat calificată într-un mediu cu dimensiuni informatice globale.
BIBLIOGRAFIE
Alan OliphantUsing Risk Models to determine information risk levels („www.theiia.org/itaudit”)
Alan OliphantModeling information risk elements („www.theiia.org/itaudit”)
Ali E., Albescu F., Bojan I.Auditul financiar – domeniu de aplicație a tehnologiilor inteligenței artificiale, Sesiune comunicări
Ali E., Stanciu V.Auditul sistemelor informaționale, suport de curs, ASE.
Bakshi Sunil Computer Assisted Audit Tools and Techniques (CAATT), CISA
Boritz J.E., PhD, CISA, FCAComputer Control & Audit Guide, Centre for information systems assurance, University of Waterloo
Camera Auditorilor din România Auditul financiar contabil 2000, Standarde, norme privind conduita etcă și profesională, Ed. Economică, București, 2000
Camera Auditorilor din Norme minimale de audit, Ed. Economică, București, 2001România
Cosserat G.W.Modern auditing, Ed. John Wiley & Sons, New York, 2000
Dobroteanu L., Dobroțeanu C.Audit – concepte și practici. Abordare națională și internațională, Ed. Economică, București, 2002
Feleaga N., Malciu L.Politici și opțiuni contabile, Ed. Economică, București, 2002
Fînaru L., Brava I.Visual Basic, primii pași…și următorii, Ed. Polirom, 2001
Florescu V. & colectivBaze de date, fundamente teoretice și practice, Ed. Infomega, București, 2002
Gray, S. MansonThe audit process: principles, practice and cases, Ed. Business Press, SUA.
Han J., Kamber M.Data Mining – Concepts and Techniques (www.cs.sfu.ca)
I.S.A.C.A.IS Standards, Guidelines and Procedures for Auditing and Control Professionals
INTOSAIPrinciples of Computer Assisted Audit techniques, Students Notes
Jacobson I.Applying UML in the Unified Process, Rational Software
Lanza Richard B.Getting to Realistic Estimates and Project Plans – A Monte Carlo Approach
Munteanu A.Auditul sistemelor informaționale contabile: cadru general, Ed. Polirom, Iași, 2001
Nigrini M.Digital Analysis: a computer-assisted data analysis technology for internal auditors „www.theiia.org/itaudit”)
Nitchi S., Nitchi R.Data mining, o nouă eră în informatică.
Oprea D.Protecția și securitatea informațiilor, Ed. Polirom, Iași, 2003
Patriciu V. V., Bica I., Văduva C.,Voicu N.Securitatea comerțului electronic, Ed. Bic All, București, 2001
Renard J.Théorie et practique de l’audit interne, Ed. d’Organisation, Paris, 2002
Rosca I., Zaharie D.Proiectarea obiectuală a sistemelor informatice, Ed. Dual Tech, 2002
Rusovici A., Cojoc F., Rusu G.Audit financiar la societățile comerciale, Regia autonomă Monitorul Oficial, București, 2003
Stoian A., Turlea E.Auditul financiar contabil, Ed. Economica, București, 2001
Udrică M.Modelare orientată obiect, Ed. CISON, București, 2000.
Vasiu I.Criminalitatea informatică, Ed. Nemira, București, 2001
Vilan A.Data warehouses, data marts si data mining
Wah T. Y., Kamal M.Data Mining in Computer Auditing, University of Malaya
Will OzierIntroduction to information security and risk management. („www.theiia.org/itaudit”)
Will YanceyData Mining (www.willyancey.com/datamining.htm)
Zaharie D. și colectiv Sisteme informatice pentru asistarea deciziei, Ed. Dual Tech, București, 2001
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Auditul Informatiei Contabile In Conditiile Utiilizarii Sistemelor Informatice (ID: 136934)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.