Auditul sistemelor informatice

Auditul sistemelor informatice

Tipologia metodelor de evaluare si analiza a riscurilor

Majoritatea entitatilor, fie ca activeaza in sectorul economic sau sectorul public, nu detin in mod curent resursele sau cunostintele necesare identificarii, analizarii si controlului riscurilor cu care se confrunta, din perspectiva sistemului informational. Implementarea proceselor care vizeaza evaluarea riscurilor permit utilizarea resurselor de audit intr-o maniera mai eficienta si asigura gestionarea unei game variate de riscuri. Prin evaluarea riscurilor auditorul sistemelor informationale se familiarizeaza cu operatiunile, procesele si activitatile entitatii ceea ce ii permite acestuia sa identifice si sa evalueze riscurile semnificative legate sau generate de sistemul informational.

Auditorii trebuie sa aiba in vedere si comportamentul diferentiat pe care managerii il au in raport cu riscurile identificate. Unii manageri privesc riscul ca o cerinta fundamentala pentru obtinerea profitului., pe cand altii, considera riscurile ca o piedica pentru supravietuirea sau dezvoltarea entitatii si din aceste motive sunt preocupati de reducerea acestora sub un nivel considerat acceptabil. Atitudinea managerilor sau a entitatilor fata de risc definita in literatura de specialitate sub titulatura de "toleranta la risc". Pornind de la "toleranta la risc" a entitatii si a modului in care aceasta gestioneaza riscurile identificate de auditorul sistemelor informationale exista trei categorii de riscuri:

Riscuri controlabile. Riscurile prezente in activitatea entitatii dar pentru care managementul dispune de mijloace pentru a le reduce;

Riscuri necontrolabile. Riscurile provenite din exteriorul entitatii care nu pot fi controlate sau diminuate prin masuri directe si care solicita atentia sporita a managementului si luarea unor masuri preventive;

Riscuri influentabile. Riscurile provenite din exteriorul entitatii pentru care entitatea are implementate masuri pentru diminuarea sau contracararea efectelor negative.

Auditorul trebuie sa inteleaga gradul de toleranta al entitatii la risc pentru a evita disensiunile intre masurile propuse de ei si politica sau intentia managementului pentru remedierea situatiilor.

In procesul de evaluare a riscurilor auditorul poate folosi una din nenumaratele metode, modele sau tehnici de evaluare propuse de literatura de specialitate. Variantele multiple care stau la dispozitia auditorului se circumscriu in doua mari categorii:

metode sau tehnici cantitative; si

metode sau tehnici calitative.

Metodele cantitative presupun cuantificarea in sume absolute a impactului pe care l-ar avea exploatarea vulnerabilitatilor de catre amenintarile la care se supune entitatea. In cadrul metodelor cantitative se desprind o serie de subcategorii in functie de orizontul de timp luat in calcul in cuantificarea riscurilor sau de natura informatiilor necesare pentru realizarea evaluarii. Metodele cantitative sunt de regula preferate de catre auditorii sistemelor informationale care realizeaza misiuni de natura auditului intern sau la solicitarea managerilor pentru ca le ofera acestora o imagine asupra costurilor pe care le implica riscurile la care se expune entitatea si le asigura o baza solida in justificarea costurilor viitoare pentru implementarea masurilor de control sau combatere a riscurilor, costuri care trebuie luate in calcul la intocmirea bugetelor de venituri si cheltuieli.

Metodele calitative se bazeaza pe folosirea unor indicatori sau parametri care reflecta intensitatea, gravitatea sau importanta vulnerabilitatilor, probabilitatilor, impacturilor si a riscurilor in general. Parametrii luati in considerare pot fi evaluati pornind de la atribuirea de valori pe o scara de la unu la trei, pe o scara de la unu la cinci sau prin alocarea unor atribute de natura "scazut/a", "mediu/e", "ridicat/a". Pentru fiecare vulnerabilitate/ probabilitate si impact asociat producerii unui risc se intocmeste o matrice din care se desprinde gravitatea sau severitatea riscului aferenta nivelurilor identificate pentru parametrii luati in considerare. Metodele calitative sunt preferate de catre auditorii sistemelor informationale angrenati intr-o misiune de audit financiar deoarece acestea le ofera posibilitatea de a evalua o gama variata de riscuri, nefiind incorsetati de necesitatea evaluarii monetare specifica metodelor cantitative.

Un model cantitativ de evaluare a riscurilor

Literatura de specialitate nu ofera un model sau o metoda cantitativa unanim acceptata ci doar o grupare a acestora in doua mari categorii: modele care evalueaza pierderile potentiale unitare si metode care cuantifica pierderile anualizate. Prin utilizarea acestor modele se pot cuantifica costurile directe si cele indirecte generate de materializarea riscurilor. In continuarea acestui subcapitol vom trata o metoda cantitativa de evaluare a riscurilor care se incadreaza in prima categorie, cea a pierderilor anualizate.

Etapele modelului cantitativ de analiza a riscurilor poate sunt urmatoarele:

realizarea unei analize a entitatii si a mediului in care aceasta activeaza pentru identificarea vulnerabilitatilor;

evaluarea bunurilor informationale;

estimarea factorului de expunere pentru fiecare risc identificat (probabilitatea de pierdere a valorii bunurilor informationale);

calcularea pierderilor unitare asteptate;

stabilirea ratei anualizate a aparitiilor;

stabilirea pierderilor asteptate anualizate.

Analiza activitatii entitatii si a mediului acesteia este o faza preliminara importanta in procesul de evaluare a riscurilor indiferent de metoda folosita in acest scop. Finalitatea acestei etape consta in identificarea vulnerabilitatilor, riscurilor si a bunurilor informationale care sunt afectate de riscurile identificabile.

Evaluarea bunurilor informationale vizate de riscurile identificate. Prin bunuri informationale se inteleg atat elementele de natura activelor corporale sau necorporale cat si o serie de elemente cum ar fi: informatiile vehiculate prin sistemul informational, prestigiul, reputatia entitatii, secretele industriale si de cercetare-dezvoltare etc. Aceasta etapa este una dintre cele mai importante din algoritmul metodei dar este si una dintre cele mai dificil de realizat.

Pentru elementele de natura activelor corporale sau necorporale evaluare se poate face pornind de la informatiile desprinse din contabilitatea entitatii. Astfel pentru acestea se poate stabili o valoare neta, tinand cont de costul de achizitie, durata de utilizare, deprecierea fizica si morala si eventualele ajustari in functie de valoarea activelor similare de pe piata. O alta posibilitate modalitate de evaluare este utilizarea costului de inlocuire, daca se considera ca materializarea riscurilor duce la un blocaj al activitatilor. In stabilirea costului de inlocuire trebuie avute in vedere: costul de achizitie al echipamentelor si aplicatiilor informatice, costurile de instalare, salariile aferente personalului in perioada de intrerupere a activitatii si cheltuielile generate de intreruperea activitatii in raport cu clientii.

Pentru bunurile informationale "intangibile" se pot folosi doua abordari in evaluarea acestora:

abordarea bazata pe costuri: care presupune stabilirea valorii juste a acestor elemente. In stabilirea acesteia trebuie avute in vedere deprecierea fizica si morala. Aceasta abordare nu ia in considerare, in mod direct, beneficiile economice care pot fi obtinute si nici perioada de timp in care aceste elemente pot genera aceste beneficii;

abordare bazata pe fluxurile de numerar: se axeaza pe capacitatea elementelor de a genera fluxuri de numerar. Valoarea acestor elemente se stabileste pornind de la valoarea actualizata a beneficiilor economice  pe care elementul le genereaza pe toata durata de utilizare a acestuia.

Estimarea factorului de expunere [F.e.] (probabilitatea de pierdere a valorii bunurilor informationale): are in vedere valoarea bunurilor informationale stabilita in etapa anterioara si istoricul entitatii in ceea ce priveste situatiile de risc similare. Factorul de expunere este influentat o serie de masuri de securitate si de control pe care entitatea le are sau nu implementate. Printre elementele care pot influenta factorul de expunere se numara: existenta copiilor de siguranta si implementarea procedurilor de realizare a acestora; implementarea si utilizarea aplicatiilor gen firewall; rata de succes a atacurilor anterioare. Factorul de expunere se calculeaza ca procent din valoarea bunurilor informationale care s-ar pierde sub influenta vulnerabilitatilor la care este expus sistemul informational sau valoarea pierderilor inregistrate. In demersul de estimare a factorului de expunere se poate porni de la situatia specifica a entitatii sau de la statisticile realizate la nivel national sau international pentru vulnerabilitatile inregistrate. Ca urmare aceasta etapa este una optionala.

Calcularea pierderilor asteptate unitare (P.a.u.): presupune calcularea impactului pe care il are materializarea unui risc asupra bunurilor informationale ale entitatii. In stabilirea valorii bunurilor informationale trebuie avute in vedere si urmatoarele elemente: distrugerea sau furtul echipamentelor, pierderea datelor, furtul informatiilor, pierderilor datorate intreruperii activitatilor (Gregg, 2007).

P.a.u. = Valoarea bunurilor informationale x factorul de expunere

Stabilirea ratei anualizate a aparitiilor [R.a.a.]: este etapa in care se estimeaza numarul de ocazii de aparitie a riscurilor pe durata unui an calendaristic. De exemplu, daca riscul apare odata la 10 ani R.a.a. va fi de 0,1, daca riscul apare de o data pe an R.a.a. va fi de 1.

Pierderile asteptate anualizate [P.a.a.]: reprezinta pierderile financiare anuale cu care entitatea se poate confrunta ca urmare a vulnerabilitatilor la care este expus sistemul informational al acesteia.

P.a.a. = P.a.u. x R.a.a.

Pentru exemplificarea acestei metode de evaluare a riscurilor propunem urmatorul scenariu: O entitate economica a implementat un sistem informational pentru gestiunea mai eficienta a relatiilor cu clientii in valoare de 10.000 RON (echipamente, date si informatii, instruirea personalului etc.) In aceasta faza a utilizarii sistemului entitatea nu are instalate aplicatii antivirus sau antispam. Din statisticile existente si din evaluarea sistemului informational auditorul stabileste ca exista o probabilitate de infectare a sistemului de 80%. Daca o asemenea infectare s-ar produce entitatea ar pierde 60% din datele despre clienti.

Pe baza acestor date se pot urma pasii mentionati in metoda de evaluare a riscurilor.

Factorul de expunere [F.e.] = 60% din datele scenariului care presupunea o pierdere de 60% din datele entitatii in cazul in care infectarea sistemului ar avea loc. Pentru simplificare facem abstractie de pierderile de imagine sau de credibilitate din partea clientilor;

Pierderile asteptate unitare [P.a.u.] = Valoarea sistemului x F.e. = 10.000 x 60% = 6.000 RON;

Rata anualizata a aparitiilor [R.a.a.] = 0,80 pornind de la datele din scenariu care au indicat ca probabilitatea de infectare a sistemului este 80%;

Pierderea asteptata anualizata [P.a.a.] = P.a.a. x R.a.a. = 6.000 x 0,80 = 4.800 RON

Utilizarea metodei cantitative de evaluare a riscurilor poate parea relativ simplu de aplicat totusi aceasta ridica o serie de probleme cand este aplicata pentru evaluarea riscurilor legate de sistemele informationale. Un prim aspect care trebuie luat in vedere este cel al evaluarii bunurilor informationale si al costurilor indirecte (pierderea productiei, costuri de refacere, valoarea informatiilor divulgate sau distorsionate) pe care defectarea, intreruperea sau denaturarea acestuia il poate genera pentru entitate si mediul in care aceasta isi desfasoara activitatea. In al doilea rand, determinarea factorului de expunere se face deseori subiectiv si fara a lua in considerare o serie de elemente care individual sau colectiv pot genera un efect de sinergie in manifestarea vulnerabilitatilor, ceea ce poate duce la o evaluare eronata a pierderilor asteptate fie ele unitare sau, mai departe, anualizate. Din aceste considerente metodele cantitative de evaluare si analiza a riscurilor sunt folosite cu precadere de catre companiile de asigurare sau alte institutii financiare. Totusi, daca metoda este implementata corespunzator si exista date statistice relevante privind vulnerabilitatile si impacturile anterioare la nivelul unor sisteme informationale similare, metoda cantitativa de analiza a riscurilor poate fi utilizata eficient si in cazul sistemelor informationale.

Metode cantitative vs. metode calitative

Avantajul principal al metodelor cantitative de evaluare a riscurilor este ca permit masurarea intensitatii impactului datorat materializarii unui risc, lucru care permite managerilor realizarea unei analize cost-beneficii pentru controalele recomandate a fi implementate. Marele dezavantaj al acestor metode este ca in functie de lungimea si numarul intervalelor de valori care uneori pot fi folosite in cadrul diferitelor scenarii rezultatele evaluarii pot deveni neconcludente. In acest caz se impune o ierarhizare si o interpretare calitativa a rezultatelor evaluarii. Un alt dezavantaj al care trebuie luat in calcul este subiectivitatea la care se apeleaza daca cu exista date certe despre unele elemente cum ar fi:

factorul de expunere;

valoarea bunurilor informationale influentate de materializarea unui risc;

rata anualizata a aparitiilor;

Avantajul principal al metodelor calitative este ca asigura o ierarhizare, o prioritizare a riscurilor si o identificare a zonelor, activitatilor sau proceselor cele mai expuse care trebuie protejate prin implementarea controalelor sau a altor masuri. Dezavantajul acestor metode este lipsa cuantificarilor monetare, specifice metodelor cantitative.

Intr-o forma sintetica avantajele si dezavantajele celor doua metode pot fi prezentate astfel:

Tabel 1. Avantajele si dezavantajelor metodelor de evaluare a riscurilor

Auditul sistemului informational si misiunile de audit financiar

Dezvoltarea rapida a tehnologiilor informationale a dus la cresterea complexitatii proceselor si activitatilor care sunt gestionate cu ajutorul sistemelor informatice. Acest lucru a pus intr-o noua lumina rolul auditorului financiar care este chemat sa-si exprime opinia asupra unor situatii financiare care au fost realizate mai mult sau mai putin cu ajutorul unor sisteme informationale moderne. Astfel s-au pus bazele  unui nou domeniu: auditul sistemelor informationale.

La nivel international exista o serie de standarde de audit care au incorporat problemele ridicate de tehnologia informatiei in atingerea obiectivelor auditului financiar precum si o serie de standarde sau cadre generale care trateaza modul in care sistemele informationale sunt utilizate in activitatea entitatii din perspectiva controlului intern (IIA, 2005), guvernantei IT (ISACA, 2006) sau a securitatii informatiilor (ISO, 2005).

In cadrul standardelor internationale de audit emise de IFAC se fac referiri la situatiile in care auditorul financiar apeleaza la cunostintele si abilitatile unor experti pentru atingerea obiectivelor misiunii de audit. ' Auditorul poate raspunde riscurilor identificate de denaturari semnificative datorate fraudei , spre exemplu, prin desemnarea unor persoane suplimentare cu aptitudini si cunostinte de specialitate, cum ar fi experti specializati in domeniul IT, sau prin desemnarea unor persoane cu mai multa experienta care sa participe la misiune.' (IFAC - ISA 240, 2007:21 par. A34). Un alt organism profesional care a emis standarde de audit care trateaza impactul tehnologiei sistemelor informationale asupra situatiilor financiare este American Institute of Certified Public Accountants [AICPA] care prin documentul de lucru AU Section 319 (2006) 'Considerarea controlului intern intr-un audit al situatiilor financiare': 'Auditorul (financiar n.a.) trebuie: sa determine daca sunt necesare cunostinte specializate in determinarea riscurilor IT asupra auditului, sa inteleaga controalele IT sau sa stabileasca si sa aplice teste ale controalelor IT sau teste substantive. Un expert care sa aiba abilitati in domeniul IT poate fi fie un membru al echipei sau un profesionist extern. Pentru a stabili daca e nevoie de un asemenea profesionist in echipa de audit, auditorul (financiar n.a.) ia in considerare urmatorii factori:

complexitatea sistemelor utilizate de entitate si a controalelor IT precum si maniera in care acestea sunt utilizate in activitatea entitatii;

schimbarile semnificative aduse sistemelor existente sau implementarea noilor sisteme;

masura in care datele sunt utilizate in comun de mai multe sisteme;

masura in care entitatea este implicata in comertul electronic;

utilizarea tehnologiilor emergente;

importanta dovezilor de audit care sunt disponibile numai in format electronic."

Procedurile pe care auditorul (financiar n.a.) le pune in sarcina profesionistului care detine cunostinte IT includ: interogarea personalului IT asupra modului in care tranzactiile sunt initiate, inregistrate, procesate si raportate; analiza controalelor IT descrise de entitate; inspectarea documentatiei de sistem; observarea controalelor IT; planificarea si realizarea testelor de control IT.

Daca se ia in calcul apelarea la un profesionist auditorul trebuie sa aiba suficiente cunostinte in domeniul IT pentru a putea comunica profesionistului obiectivele auditului, pentru a putea stabili daca procedurile specificate vor duce la atingerea obiectivelor si pentru a evalua rezultatul procedurilor IT in corelatie cu natura si durata altor proceduri planificate. (AICPA - AU 319, 2006, par. 31-32, pag. 9)

In realizarea misiunii sale auditorul trebuie sa identifice si evalueze riscurile unor denaturari semnificative, indiferent daca sunt datorate unor fraude sau erori, la nivelul situatiilor financiare si a declaratiilor in vederea proiectarii si implementarii raspunsurilor pentru riscurile identificate. In acest proces de identificare si de evaluare a riscurilor un loc important il ocupa sistemul informational in calitatea sa de componenta a controlului intern. "Auditorul va obtine o intelegere a sistemului informational, inclusiv a proceselor aferente ale intreprinderii, relevante pentru raportarea financiara, inclusiv urmatoarele domenii:

(a)   Clasele de tranzactii din operatiunile entitatii care sunt semnificative pentru situatiile financiare;

(b)  Procedurile, atat cele din domeniul tehnologiei informationale (IT), cat si sistemele manuale prin care sunt initiat, inregistrate, procesate, corectate, daca este necesar, transferate in registrul general si raportate in situatiile financiare.

(c)   Inregistrarile contabile aferente, informatiile de sustinere si conturile specifice din situatiile financiare care sunt folosite pentru a initia, inregistra, procesa si raporta tranzactiile; aceasta include corectarea informatiilor incorecte si modul in care sunt transferate informatiile in registrul general. Inregistrarile se pot face fie manual, fie in forma electronica;

(d)  Modul in care sistemul capteaza evenimentele si conditiile, altele decat tranzactiile, care sunt semnificative pentru situatiile financiare;

(e)   Procesul de raportare financiara folosit pentru intocmirea situatiilor financiare ale entitatii, inclusiv estimarile si evidentierile contabile semnificative;

(f)   Controalele care sunt in jurul inregistrarilor in jurnale, inclusiv inregistrarile din jurnale care nu sunt standard si care sunt folosite pentru a inregistra tranzactiile care nu apar in mod frecvent, cele neobisnuite sau ajustarile."(ISA 315, 2007:par.18)

Riscurile in activitatea de audit al sistemelor informationale

In alegerea celei mai potrivite metode de evaluare a riscurilor, auditorul financiar sau expertul desemnat trebuie sa ia in considerare urmatoarele elemente (GAO, 1999:8): informatiile care trebuiesc colectate (unele sisteme utilizeaza efectul financiar ca singura unitate de masura, ceea ce nu este folositor intotdeauna pentru auditor); costul aplicatiilor si licentelor care trebuiesc utilizate pe parcursul utilizarii unei metode; masura in care informatiile necesare sunt disponibile; informatiile suplimentare care trebuiesc stranse inainte de prezentarea rezultatului auditului, precum si costul culegerii acestor informatii (inclusiv timpul necesar in procesul de culegere); opiniile altor utilizatori ai metodei si punctul lor de vedere asupra modului in care metoda le-a permis cresterea eficientei si acuratetei auditului; dorinta managementului de acceptare a metodei din prisma eforturilor implicate in realizarea auditului.

Pentru evaluarea riscului de audit standardele ISACA, preiau si adapteaza modelul de risc formulat de AICPA in 1988 care incorporeaza cele trei componente deja cunoscute: riscul inerent, riscul de control si riscul de nedetectare

Riscul inerent reprezinta disponibilitatea unei zone auditate de a contine erori care pot fi semnificative individual sau in combinatie cu alte erori pornind de la ipoteza ca nu exista controale interne. (ISACA, G13, 2008:65). De exemplu, riscul inerent asociat sistemului de operare de pe un server este considerat a fi mare deoarece modificarea sau divulgarea datelor (intentionata sau accidentala, din interiorul entitatii sau din exterior) poate duce la denaturarea informatiilor contabile si la "patarea" imaginii entitatii. Pe de alta parte riscul inerent asociat utilizarii unui calculator izolat, pe care nu ruleaza aplicatii vitale sau importante este de regula fixat la un nivel mai redus.

In evaluarea riscului inerent auditorul trebuie sa aiba in vedere atat controalele generale cat si controalele de detaliu. Controalele generale sunt proiectate cu scopul de a administra si a monitoriza sistemul informational si care afecteaza toate activitatile. Controalele generale sunt acele controale care "se refera la toate aspectele functiei TI, inclusiv administrarea sistemelor, achizitia si intretinerea programelor informatice, securitatea fizica si securitatea accesului electronic la echipamente, programe si datele asociate acestora, planificarea crearii copiilor de siguranta in cazul producerii unor evenimente neprevazute si conceperea de mecanisme de control integrate in echipamentele informatice."

In ceea ce priveste controalele generale ce actioneaza in zona supusa evaluarii auditorul trebuie sa aiba in vedere: integritatea, experienta si cunostintele managementului compartimentului de specialitate; schimbarile intervenite la nivelul conducerii compartimentului; presiunile la care sunt supusi managerii acestui compartiment (termene scurte de realizare a activitatilor, atacurile externe asupra sistemului etc.); domeniul de activitate al firmei si natura sistemului informational (planuri privind participarea la comertul electronic, implementarea solutiilor ERP sau lipsa acestor sisteme); factorii care afecteaza domeniul tehnologiilor informationale la scara mondiala (aparitia unor tehnologii noi, lipsa specialistilor care sa detina noile cunostinte); gradul de influenta al tertilor asupra controalelor (outsourcing); disponibilitatea informatiilor din auditarile precedente.

Controalele detaliate sunt controalele efectuate asupra achizitiei/dezvoltarii, implementarii si intretinerii sistemului informational. In componenta lor intra controalele aplicatiilor si controalele generale care nu sunt considerate dominante. Arens&Loebbecke (2003:383) considera controalele detaliate ca fiind controale de aplicatie care "se exercita asupra prelucrarii operatiunilor individuale cum ar fi controlul prelucrarii vanzarilor sau al incasarilor. Prin urmare, controalele de aplicatie sunt specifice anumitor programe informatice si, de regula, nu afecteaza toate functiile care folosesc tehnologii informationale."

La nivelul controalelor detaliate, auditorul trebuie sa tina cont de: complexitatea sistemului; nivelul interventiilor manuale in sistem; susceptibilitatea bunurilor controlate de catre sistem de a fi furate sau utilizate necorespunzator(evidenta stocurilor, salarizarea); aparitia perioadelor de varf al activitatii in timpul desfasurarii misiunii de audit; integritatea, experienta si cunostintele managementului si angajatilor implicati in aplicarea controalelor la nivelul sistemului informational.

Riscul de control este riscul ca o eroare ce poate sa apara intr-o zona auditata care poate fi semnificativa individual sau combinata cu alte erori sa nu fie prevenita sau detectata si corectata de catre sistemul de control intern intr-o perioada rezonabila de timp (ISACA, 2008:65). De exemplu, riscul pe care il implica interventia manuala asupra controalelor automate implementate la nivelul unui server va fi considerat mare din cauza volumului mare de informatii pe care le gestioneaza si a predispozitiei la eroarea pe care le presupune o astfel de interventie. Riscul de control asociat cu procedurile computerizate de validare a datelor poate fi stabilit la un nivel scazut daca aceste proceduri sunt aplicate consecvent.

Auditorul va stabili un nivel de control la nivelul maxim posibil daca considera ca controalele generale ale entitatii nu sunt functionale sau eficiente ceea ce poate duce la disfunctionalitati in sfera controalelor de aplicatie.

Evaluarea riscului de control intr-un mediu de control informatizat depinde in mare masura de numarul de controale automate implementate in sistem. Daca entitatea se bazeaza pe astfel de controale atunci auditorul trebuie sa testeze daca rapoartele automate generate de controale privind abaterile sau erorile sesizate sunt gestionate si solutionate de cei responsabili de o maniera care sa duca la reducerea riscurilor si la imbunatatirea sistemului de control intern.

Auditorul va stabili un risc de control sub nivelul maxim in situatiile in care controalele relevante sunt: identificate, functionale si testate pentru a dovedi ca acestea functioneaza corespunzator.

Riscul de nedetectare reprezinta riscul ca procedurile substantive ale auditorul sistemului informational sa nu detecteze o eroare care poate fi semnificativa, individual sau combinata cu alte erori (ISACA, 2008:66).

Un exemplu privind riscul de nedetectare este cel asociat identificarii punctelor slabe ale securitatii unei aplicatii va fi mai mare atat timp cat logurile/jurnalele pentru intreaga perioada supusa auditarii nu vor fi disponibile in totalitate in momentul efectuarii verificarii. Pe de alta parte, riscul de nedetectare asociat identificarii existentei unui plan de refacere in caz de dezastre va fi considerat redus daca existenta acestui document este usor de verificat. Pentru determinarea numarului de teste substantive (independente) necesare, auditorul trebuie sa tina cont de: nivelul la care a fost evaluat riscul inerent si concluziile la care a ajuns in urma efectuarii testelor de conformitate.

Daca auditorul identifica controale de aplicatie specifice care ar putea fi utilizate pentru a reduce riscul de control, atunci va proceda la reducerea testelor substantive (substantiale). In plus controalele de aplicatie eficace executate de computere vor fi aplicate mai uniform decat controalele manuale, datorita absentei erorilor umane accidentale. De asemenea, auditorul ar putea reduce costurile de audit legate de testarea mecanismelor de control prin utilizarea programelor informative ale firmei pentru a efectua aceste teste.

Aplicarea testelor substantive (substantiale) pentru reducerea riscului de nedetectare este deseori ingreunata de interventia neautorizata in sistemul informational al entitatii in vederea modificarii procedurilor interne de prelucrare ceea ce poate avea un impact semnificativ asupra mecanismelor de control automate implementate in sistem. De asemenea utilizarea unor sisteme integrate pentru prelucrarea majoritatii informatiilor generate de activitatea unei entitati de la sursele de date pana la situatiile financiare poate crea reale probleme in crearea si aplicarea testelor substantive (substantiale). Un astfel de exemplu este cel al unui furnizor de servicii de internet sau de telefonie care are implementat un sistem informational bazat pe tehnologia informatiei pentru inregistrarea serviciilor oferite clientilor, emiterea facturilor pentru serviciile prestate, procesarea facturilor si inregistrarea in contabilitate a creantelor fata de clienti, urmarirea platilor si stingerea creantelor si formarea pozitiilor de venituri.