Studiu de caz privind procedurile auditului sistemului informatic financiar-contabil

STUDIU DE CAZ PRIVIND PROCEDURILE AUDITULUI SISTEMULUI INFORMATIC FINANCIAR-CONTABIL

In desfașurarea unei acțiuni de audit, echipa de audit trebuie sa aleaga și sa aplice acele proceduri de audit ce satisfac standardele de audit și in același timp sa raspunda obiectivelor auditului.

Efectuarea procedurilor de fond

Pentru a detecta toate erorile și neregularitațile esențiale din punct de vedere cantitativ, echipa de audit trebuie sa se asigure ca tehnicile și procedurile utilizate sunt suficiente și relevante și acestea pot fi utilizate in toate etapele auditului.

Procedurile de fond reprezinta testele efectuate de auditori pentru a obține probe de audit in scopul detectarii erorilor semnificative din situațiile financiare. Procedurile de fond sunt de doua tipuri: proceduri analitice și teste de fond.

Pentru a evalua corect calitatea și corectitudinea funcționarii sistemelor informatice financiar contabile desfașurate intr-o entitate, și pentru a se pronunța asupra realitații și exactitații cu care au fost intocmite situațiile financiare pentru perioada analizata, auditorii trebuie sa faca o serie de investigații:

a) Descrierea procedurilor in sistemul de culegere și prelucrare a datelor, cu scopul de a stabili, pentru fiecare domeniu semnificativ (achiziții de bunuri și servicii, stocari, producție, vanzari), care sunt procedurile folosite de societate pentru culegerea informațiilor, intocmirea registrelor, prelucrarea datelor, inregistrarea operațiunilor din contabilitatea sintetica și analitica, in evidența cronologica și sistematica.

Standardele Naționale de Contabilitate precizeaza: „Documentele justificative care stau la baza inregistrarilor in contabilitate angajeaza raspunderea persoanelor care le-au intocmit, vizat, aprobat sau inregistrat in contabilitate”, aceasta precizare se regasește și in legea contabilitații.[1]

Procedurile descriptive se bazeaza pe manualul de proceduri interne și chestionare de control intern la care raspund persoanele din interior ce au atribuții in acest sens.

b) Testele de conformitate

Testele de conformitate au rolul de a stabili daca procedurile descrise mai sus exista, indiferent daca ele se aplica sau nu. In aceasta etapa nu se pune problema descoperirii erorilor in funcționarea sistemului informatic financiar contabil, ci numai de a stabbili daca sistemul descris mai sus este, bineințeles, cel real.

c) Evaluarea preliminara (a riscului de erori)

Dupa ce s-a obținut o descriere a sistemului de culegere și prelucrare a datelor contabile in sistemul financiar, se procedeaza la o evaluare preliminara a fiabilitații acestei organizari pentru a putea pune in evidența punctele forte și punctele slabe ale procedurilor sistemului.

In aceasta etapa se analizeaza daca sistemul este bine conceput, pentru a pune in evidența riscurile de concepție, urmțnd ca in etapa urmatoare sa verifice modul de funcționare a acestui sistem.

Punctele forte sunt constituite din controale plasate in fluxul de prelucrare a datelor, care garanteaza o corecta contabilizare a acestora.

Punctele slabe sunt reprezentate de deficiențe ale sistemului, care pot da naștere unor riscuri de erori sau fraude.

Auditorul va analiza daca:

- dispozitivele de control ale intreprinderii sunt efective și permanente (realitatea punctelor forte);

- care sunt punctele slabe datorate conceperii defectuoase a sistemului;

- care sunt punctele slabe datorate aplicarii greșite a procedurilor (funcționarii sistemului).

d) Teste de permanența

Acestea urmaresc daca procedurile sunt aplicate intr-o maniera permanenta fara defecțiuni. Aceste teste trebuie sa fie suficient de mari pentru a oferi certitudini asupra modului de funcționare a sistemului.

Pentru depistarea riscurilor in funcționarea sistemului se procedeaza la analiza controalelor de prevenire și a controalelor de detectare prevazute de intreprindere.

Efectuarea și documentarea procedurilor analitice

Auditorii concep și efectueaza proceduri de fond pentru a raspunde la evaluarea aferenta cu privire la riscul de audit semnificativa la nivel de aserțiune. Procedurile de fond aplicate de auditori la nivel de aserțiune pot fi derivate din testele de detaliu, din procedurile analitice de fond, sau din combinarea ambelor.

In conformitate cu Standardele Internaționale de Audit, procedurile analitice sunt utilizate in urmatoarele scopuri[2]:

a)      Ca proceduri de evaluare a riscului in vederea obținerii unei ințelegeri asupra entitații și a mediului;

b)     Ca proceduri de fond, atunci cand utilizarea lor poate fi mai funcționala și eficienta decat testele detaliilor pentru reducerea riscului de audit la nivel de aserțiune, la un nivel acceptabil scazut;

c)      Ca o revizuire generala a sistemelor informatice si a situațiilor financiare la sfarșitul anului.

Procedurile analitice constituie un instrument util, care ajuta auditorul sa evalueze daca anumite cifre sunt rezonabile. Acestea sunt potrivite pentru categoriile de opeațiuni in care cifrele sunt ușor de preliminat.

Prima etapa a unei proceduri analitice este aceea de a stabili diferența acceptabila dintre prognoza facuta de auditor și cifrele care apar in situațiile financiare. De asemenea, auditorul va ține cont de relația dintre valoarea totala a categoriei de operațiuni și baza materialitații, calculand diferența acceptabila conform urmatoarei formule[3]:

Exemplu

Un auditor stabilește nivelul materialitații la 450.000 euro pentru entitatea X. Cheltuielile totale in valoare de 50 milioane euro reprezinta baza materialitații. Auditorul dorește sa efectueze o revizuire analitica pentru categoria de operațiuni privind salariile personalului, care au o valoare de 40 mil euro.

Calcul

40 mil. Euro (valoarea categoriei de operațiuni) imparțit la 50 mil. Euro (baza materialitații) egal cu 0,8, din care auditorul extrage radacina patrata (0,8944). Apoi, inmulțește acest rezultat cu nivelul materialitații (450.000 euro) obținand diferența acceptabila de 402.292 euro.

A doua etapa a unei proceduri analitice este aceea de a face o estimare. Auditorul trebuie sa efectueze aceasta procedura inainte de a cunoaște valoarea care apare in situațiile financiare. De aceea prognoza pe care auditorul o realizeaza trebuie sa rezulte din date independente de inregistrarile contabile. Rezulta ca in acest caz informațiile din surse din afara entitații sunt mai valoroase decat cele obținute din interior.

Exemplu

Daca auditorul verifica o școala cu 150 cadre didactice angajate, care caștiga 2000 euro pe an fiecare, atunci el se va aștepta ca valoarea totala a cheltuielilor cu salariile sa fie 300.000 (150 x 2.000).

Daca o entitate auditata colecteaza taxe locale de la populație, atunci auditorul va fi in masura sa estimeze care ar trebui sa fie veniturile totale. Astfel, daca entitatea colecteaza 100 euro pentru fiecare apartament din zona și 150 euro pentru fiecare casa și sunt 20.000 apartamente și 5.000 de case atunci venitul așteptat va fi:

A treia etapa a procedurilor analitice este aceea de a compara prognoza cu valoarea contului. Aceasta constituie o operație simpla pe care auditorul trebuie sa o inregistreze in documentele de lucru, ulterior trebuind sa evalueze daca cifrele efective se incadreaza in limitele acceptabile, aceasta insemnand ca diferența dintre prognoza și cifrele din cont este mai mica decat diferența acceptata. In situația in care ne incadram intre aceste limite auditorul are certitudinea ca operațiunile verificate sunt in conformitate cu reglementarile in vigoare. Se accepta doar o mica diferența intre cifra reala și cea estimata (toleranța maxima de 1 procent) in situația in care respectivele diferențe nu pot avea explicații adecvate.

Daca cifrele se situeaza in afara limitelor auditorul trebuie sa solicite explicații punctuale. Va folosi intrebari deschise precum: „ce factori au afectat veniturile respective ?”, și nu va intreba „de ce venitul rezultat este mai mare sau mai mic in acest an”.

Exemplu

Daca veniturile inregistrate in sistemul informatic financiar contabil aferente concesiunilor și inchirierilor persoanelor juridice sunt de 4.000.000 euro iar situațiile previzionate fusesera de 2.750.000 euro, atunci echipa de audit va cere explicații pentru variația de 1.250.000 euro. Sistemul infomatic ar trebui prevazut cu un sistem de atenționare asupra variației mari (de 45%). Daca ordonatorul de credite va explica echipei de audit ca aceasta creștere se datoreaza noilor spații date in folosița in timpul anului, atunci echipa va trebui sa afle cate spații au fost construite și care a fost suprafața disponibila inchiriata, precum și data inceperii incasarii chiriilor.

Considerente privind evaluarea procedurilor analitice și a testelor de control ale sistemului informatic:

Evaluarea procedurilor analitice

Daca procedurile analitice permit formularea unei previziuni in limitele unei diferențe acceptabile, atunci auditorul poate sa se bazeze pe asigurarea planificata. In cazul in care procedurile analitice nu indica o previziune in limitele diferenței acceptabile, atunci asigurarea planificata nu poate fi preluata iar auditorul trebuie sa adopte proceduri alternative de audit menite sa conduca la obținerea asigurarii planificate.

Evaluarea testelor de control

Daca auditorii constata ca unele controale nu au funcționat corespunzator vor analiza posibilitatea testarii altor controale (alternative). In cazul in care nu se pot identifica controale alternative sau daca acestea se dovedesc ineficace, auditorul trebuie sa revizuiasca planul de audit. In mod uzual, aceasta situație conduce la efectuarea unui volum sporit de proceduri directe de fond. Daca testele de control ale auditorului eșueaza, asta nu inseamna in mod obligatoriu ca exista erori banești sau neregularitați in categoria de operațiuni testata. De exemplu, daca nu se realizeaza o analiza a variației lunare a salariilor individuale aceasta nu inseamna neaparat ca ștatul de plata al salariilor pe acea luna este greșit.

Raportul de audit

Raportul de audit trebuie sa cuprinda o exprimare clara a opiniei pe baza evaluarii concluziilor trase conform probelor obtinute in cursul auditului.

Potrivit Standardului de audit nr. 700, „Raportul de audit”[4], acesta „trebuie sa contina in scris o exprimare clara a opiniei asupra situatiilor financiare considerate un tot unitar”.

Inainte de a incepe activitatea de redactare a raportului de audit nu este lipsit de interes sa se verifice arborele deciziei care ar putea avea urmatoarea forma

Pentru a selecta cele mai potrivite proceduri de audit, care sa fie utilizate pentru verificarea sistemului informatic financiar contabil, consideram ca auditorii ar trebui sa utilizeze arborele deciziei.

Pornim de la evaluarea riscului pentru sistemul informatic in ansamblu precum si pentru fiecare modul in parte. In cazul in care au fost identificate riscul de erori semnificative, auditorii trebuie sa verifice controalele interne ale entitatii efectuate pentru prevenirea si diminuarea riscurilor. In cazul in care auditorii in urma evaluarii au constatat ca nu exista riscuri semnificative acestia trebuie sa examineze controalele interne relevante pentru a se asigura de un nivel corespunzator de incredere privind continutul datelor analizate prin sistemul informatic.

CONCLUZII

In urma analizei efectuate si a compararii standardelor europene utilizate in auditarea sistemelor informatice financiar contabile am constat o serie de elemente comune necesare a fi introduse si folosite in standardele romanesti.

In acest sens auditul sistemelor informatice financiar contabile ar trebui sa fie

a)               usor de inteles – trebuie sa se utilizeze un limbaj cat mai clar, simplu bineinteles in masura in care obiectivele auditului o permit.

Formularea continutului raportului de audit trebuie sa fie accesibila celor carora li se adreseaza.

b)              lipsit de ambiguitate – auditorul se va asigura ca toate constatarile sunt exprimate cu acuratete si nu lasa loc de interpretari, cel mai usor mod de a fi pe deplin inteles este acela de a folosi formule standard care sunt general acceptate.

c)               complet – un audit trebuie sa cuprinda toate informatiile necesare pentru a satisface in primul rand obiectivele auditarii si apoi exigentele entitatii auditate.

d)              exact – o prezentare corecta presupune descrierea cu acuratete a sferei de cuprindere a auditului si a metodelor folosite. O inexactitate aparuta in raportul de audit poate crea indoieli asupra validitatii integului raport si poate atrage atentia de la esenta raportului.

e)              obiectiv – un raport de audit are o credibilitate considerabil mai mare daca probele de audit sunt prezentate intr-o maniera impartiala.

f)                convingator – utilizatorul trebuie sa fie convins de realitatea constatarilor de rezonabilitatea concluziilor si de beneficiul aplicarii recomandarilor formulate.

g)               concis – auditul trebuie sa fie concis si sa cuprinda concluzii si recomandari care sa sprijine probele prezentate.

Un raport de audit trebuie sa precizeze natura si intinderea lucrarii, a stadardelor internationale de audit IFAC si a Normelor de Audit Intern sau International pe baza carora s-au realizat aceste lucrari.

BIBLIOGRAFIE

1.     Boulecu Mircea, Doina Fusaru, Zenovic Gherasim- Auditul Sistemelor Informatice Financiar- Contabile, Editura Tribuna Economica, 2005, Bucuresti.

2.     Stefan Popa, Claudia Ionescu- Audit in medii informatizate, Editura Expert, 2005, Bucuresti.

3.     Ali Eden, Victoria Stnciu- Auditul Sistemelor informatice, Editura Dual Tech, 2004, Bucuresti.

4.     Munteanu A.- Auditul sistemelor informationale contabile, Editura Polirom, 2001, Iasi.

5.     Andronie Maria- Analiza si Proiectarea sistemelor informatice de gestiune, Editura Fundatiei Romania de Maine, 2007, Bucuresti.

6.     O. Ray Whittington, Kurt Pany, Walter B. Meigs, Robert F. Meigs- Principles of Auditing, Tenth Edition, IRWIN Boston.

7.     Jack J. Champlain- Auditing Information Systems, Second Edition, John Wiley & Sons, Inc. , 2003, USA.

8.     Victor Munteanu- Control si Audit Financiar Contabil, Editura LUMINALEX, 2003, Bucuresti.

9.     Violeta Tataru – Auditul financiar, Editura Cavallioti, 2007, Bucuresti

10.  Renard Jacques – Teoria si practica auditului intern, Ministerul Finantelor publice, 2004

11.  Curtea europeana de conturi – Standardele europene de audit ale Organizatiei Europene a Institutiilor Supreme de audit, 2002

12.  Curtea europeana de conturi – Liniile directoare europene de implementare a standardelor de audit INTOSAI, Curtea de Conturi a Romaniei, 2002