Auditul intern si auditul sistemelor informatice

Auditul intern si auditul sistemelor informatice

Auditul, ca activitate specifica, poate fi definit ca un proces in care activitatile, procesele, inregistrarile acestora sunt examinate si comparate cu criterii de audit prestabilite.

Criteriile de referinta ale activitatii de audit sunt dependente de tipul de audit. Dintre ele se pot aminti:

procedurile legale

norme de reglementare interne sau externe organizatiilor

proceduri si practici de desfasurare a activitatilor

scopurile activitatii de management

obiectivele strategice ale afacerii

În cadrul activitatilor de audit se distinge in mod special auditul intern al societatilor sau al organizatiilor publice.

Auditul intern este, conform definitiei internationale adoptate de IFACI in anul 2000, 'o activitate independenta si obiectiva, care da unei organizatii o asigurare in ceea ce priveste gradul de control al operatiunilor, o indruma pentru a-i imbunatatii operatiunile si contribuie la adaugarea unui plus de valoare'.

Auditul intern ajuta aceasta organizatie sa isi atinga obiectivele evaluand, printr-o abordare sistematica si metodica procesele sale de management al riscurilor, de control si de guvernare a intreprinderii, si facand propuneri pentru a le consolida eficacitatea.

Conform legislatiei romane ' auditul intern reprezinta activitatea de examinare obiectiva a ansamblului activitatii entitatii economice in scopul furnizarii unei evaluari independente a managementului riscului, controlului si proceselor de conducere a acestuia'.

Auditul intern, ca arie de aplicabilitate si ca obiective, difera in mod substantial in functie de marimea si structura entitatii auditate precum si de cerintele administratorilor si a managementului fata de modul de desfasurare al activitatii de audit, al prioritatilor acestuia si al modului de prezentare al rezultatelor.

Activitatile de audit intern reprezinta in principal activitati ce au ca scop:

Controlul sistemelor contabile, al modului de calcul si prezentare al principalilor indicatori financiar-contabili;

Revizuirea modului de organizare al controlului intern;

Identificarea riscurilor activitatilor desfasurate de catre entitate, evaluarea riscurilor si a vulnerabilitatii entitatii la fenomenele ce determina aparitia riscurilor

Revizuirea eficientei si operativitatii operatiilor de control de orice natura, altele decat controalele financiare

Controlul modului de respectare al prevederilor legale si al hotararilor strategice si operative ale Consiliului de Administratie si Adunarilor Generale ale Actionarilor care fac parte din cerintele guvernantei corporative

Control cu destinatie precisa, impusa de cerintele de management ale entitatii sau de necesitatile lor de a apara drepturile si proprietatile actionarilor.

Activitatea de audit intern, obiectivele, aria de aplicabilitate si termenii de referinta ai auditului intern sunt obiectul unei aprobari formale a administratiei entitatii.

Entitatile trebuie sa-si adapteze permanent gradul de acoperire a auditului intern asupra activitatilor desfasurate in cadrul entitatii si asupra tuturor categoriilor de risc la care este supusa aceasta.

Auditul intern are in principal urmatoarele obiective:

- stimularea si promovarea eficientei si eficacitatii tuturor functiilor si aplicatiilor

entitatii;

- asigurarea credibilitatii asupra raportarilor de orice natura, in special a celor

financiare;

- mentinerea conformitatii cu legile si normele de reglementare aplicabile.

Aceste obiective se realizeaza prin organizarea unui control intern adecvat.

Controlul intern poate fi definit in aceasta situatie ca 'un proces de furnizare a unei asigurari rezonabile privind indeplinirea obiectivelor activitatii.

Aceasta cerinta permanenta fata de auditul intern, impune o abordare speciala a functiei IT din cadrul entitatii.

Functia IT este o functie dinamica, dependenta atat de evolutia entitatii, cat si de evolutiile tehnologice. În conditiile existentei unui mediu IT complex, structura principalelor controale interne se schimba.

In afara procedurilor de control si a domeniilor de control specifice activitatilor entitatii, mediul IT impune o structura de control specifica care se refera la:

Strategia si planificarea resurselor informatice

Implementarea si gestionarea sistemului de aplicatii

Software de baza

Implementarea bazei de date

Operatii si proceduri specifice IT

Securitatea IT.

Este evident ca la riscurite legate de procesele specifice desfasurate in cadrul entitatii se adauga riscurile specifice IT. Aceste riscuri se refera in special la:

Confidentialitatea datelor: Protejare impotriva dezvaluirii neautorizate

Integritatea datelor: Folosirea unor informatii precise, corecte, completate de factorul decizional

Disponibilitatea datelor: Existenta datelor necesare in momentul in care trebuie utilizate in procesul decizional.

Auditul IT este o parte a auditului intern al entitatii si el este impus de evolutiile

spectaculoase in domeniul IT cum ar fi:

. Sistemele informatice de aplicatii au din ce in ce mai multe programe de control incorporate. Trebuie identificate eficienta acestora si factorii de risc in domeniu.

Procedurile de prelucrare sunt din ce in ce mai automatizate si integrate. O eroare se propaga in tot sistemul.

. Erorile umane, atunci cand se produc, sunt cu consecinte din ce in ce mai grave.

. Managementul entitatii impune standarde mai ridicate privind confidentialitatea, disponibilitatea si integritatea datelor.

. Accesul la mediile publice (INTERNET) impune tehnici speciale de detectare a intruziunilor, de protejare impotriva atacurilor din afara sub diferitele lor forme.

. Imbunatatirea continua a performantelor si capacitatilor hardware.

. Functionalitatea crescuta a programelor de aplicatii.

. Evolutia in comunicare.

. Evolutia si perfectionarea factorului uman.

Auditul IT ca si auditul intern adauga valoare mediului in care se aplica.

Printre elementele care reprezinta valoarea adaugata se pot include:

- Informatii corecte, disponibile, in suficienta cantitate pentru fundamentarea deciziilor, pe baza auditului aplicatiilor

- Întelegerea mai buna a capacitatilor de prelucrare ale propriului sistem informatic prin evaluarea si controlul general al sistemului informatic.

- Evaluarea corecta a nivelului de securitate al sistemului informatic, insotita de masuri eficiente care sa protejeze informatiile

- Asigurarea continuitatii prelucrarii datelor pe baza unor planuri in caz de dezastre corect intocmite.

- Recomandarile ce insotesc rapoartele de audit, recomandari ce potenteaza capacitatile de prelucrare ale sistemului