Desfurarea procesului de audit

Orice proces generic de audit, indiferent de obiectivul su, se va desfura i va urmri procedurile generale de audit:

obinerea unei nelegeri a ariei de auditat,

evaluarea riscurilor i realizarea planului de audit;

detalierea planului de audit,

verificarea preliminar a ariei de audit;

realizarea testelor de conformitate (compliance test) (adesea referite ca teste de control);

realizarea testelor de fond (substantive test);

raportarea (comunicarea rezultatelor);

urmrirea recomandrilor (follow-up).

Programul de audit Programul de audit are la baz planul de

audit, stabilit n etapa de planificare, i el vaservi, pe de o parte, ca un set de instruciuniadresat asistenilor implicai n cadrul misiunii,iar pe de alt parte, ca un mijloc de control ieviden a desfurrii activitii.

Programul de audit identific scopul,obiectivele i procedurile de audit care se vordesfura pentru a se obine probe suficientei relevante, necesare pentru a susineconcluziile i opinia auditorului.

Tehnicile i metodele folosite de auditorul SI n evaluarea i testarea controalelor sistemului informaional sunt:

utilizarea software-ului generalizat de audit pentru analiza fiierelor de date (inclusiv fiierele de tip jurnal ale sistemului);

utilizarea software-ului specializat pentru a determina modul de configurare a sistemului de operare (sau pentru a detecta deficiene n stabilirea unor parametri);

tehnica organigramelor pentru documentarea fluxului de activiti din cadrul organizaiei, ct i a fluxurilor din cadrul aplicaiilor informatice;

utilizarea rapoartelor de audit din misiuni anterioare; verificarea documentaiei sistemului; observarea.

Eantionarea auditorul nu examineaz totalitatea informaiilor la

care are acces aplic o metod tradiional de selectare a datelor

numit eantionare. auditorul poate aplica eantionarea asupra: 1. testelor de control, pentru a se verifica rata de

apariie a ntreruperii funcionrii unui control. Tehnica de eantionare este cunoscut sub numele de eantionarea atributelor (attribute sampling).

2. testelor de fond, cnd auditorul urmrete verificarea unei anumite valori din situaiile financiare. Tehnica de eantionare este cunoscut sub numele de eantionarea variabilelor (variable sampling),

Utilizarea eantioanelor n aplicarea testelor de audit implic, de regul, urmtoarele etape:

determinarea obiectivelor testului ce va fi aplicat;

definirea populaiei din care se va extrage eantionul;

determinarea metodei de eantionare;

calcularea mrimii eantionului;

selectarea eantionului;

evaluarea rezultatelor.

Probele de audit

Probele pentru audit reprezint ansambluldocumentelor, fiierelor i observaiilorobinute n cursul misiunii de audit i utilizatepentru elaborarea concluziilor i formulareaopiniei auditorului.

Probele pe care auditorul SI le culege ntr-o misiune sunt variate, iar tehnicile folosite n procesul de culegere a probelor sunt:

verificarea structurilor organizatorice ale sistemului informatic. verificarea politicilor interne i procedurilor de lucru; verificarea standardelor ce vizeaz domeniul IT; verificarea documentaiei sistemului informatic. n mod practic,

auditorii SI vor analiza: Documentaia de dezvoltare a sistemului informatic (ex: studii de fezabilitate); Specificaiile de proiectare i cerinele funcionale; Documentele operaionale; Fiierele de tip jurnal i fiiere de tip istoric a modificrii programelor surs; Manualele utilizatorilor; Manualele de operare; Documentele relative la securitate (planuri de securitate, evaluarea riscurilor); Rapoartele de asigurare a calitii;

intervievarea personalului din departamentul IT; observarea performanei sistemului i a utilizatorilor si.

Testele de audit

Auditorul SI desfoar dou categorii de teste:

teste de conformitate (teste de control),pentru a verifica conformitatea controlului intern cu politicile, normele interne stabilite de managementul organizaiei;

teste de fond pentru a verifica integritatea tranzaciilor individuale, a datelor i a altor informaii din sistem.

Detectarea fraudei frauda poate fi definit ca un act de rea-

credin svrit de o persoan, de obiceipentru a realiza un profit material de pe urmaafectrii drepturilor altuia, adic o aciunecomis cu intenia de a nela.

Responsabilitatea pentru prevenirea idetectarea fraudelor aparin conducerii,auditorul SI putnd juca un rol pozitiv nprevenirea acestora, dar nu el areresponsabilitatea de a detecta i demonstrafrauda.

Tehnici de audit asistate de calculator (Computer Assisted Audit Techniques CAATs)

Instrumentele i tehnicile moderne pot asistaauditorul n orice etap a misiunii sale, fiind utilizatepentru:

testarea msurilor de securitate dintr-un sistem; analiza i controlul aplicaiilor informatice existente n

sistem; identificarea riscurilor unei organizaii i evaluarea

acestora; evaluarea controlului intern; verificarea integritii fiierelor; analiza informaiilor clientului auditat prin interogri

complexe ale bazelor de date, extrageri, stratificri, totalizri.

Software generalizat de audit (Generalized Audit Software: GAS ) este reprezentat de pachete de programe ce au capacitatea de a citi i extrage direct datele din platforme diferite. Funcionaliti:

selectarea eantioanelor; manipularea, sortarea datelor conform cerinelor

exprimate de auditor; astfel de operaii pot scoate n eviden, spre exemplu, plile duble, printr-o sortare a datelor dup numrul facturii i suma pltit;

testarea calculelor matematice; totalizri, stratificri; compararea datelor din fiiere diferite; listarea rapoartelor sau scrisorilor ntr-un format

specificat de auditor; detectarea tranzaciilor lips sau duplicate.

Raportul de audit

Raportul de audit reprezint instrumentul princare se comunic obiectivele auditrii,normele/standardele aplicate, constatrile iconcluziile misiunii.

Etapa de raportare are ca scop punerea neviden a slbiciunilor controalelor analizate deauditorul SI i aducerea lor la cunotin, prinintermediul raportului de audit, care va coninesinteza principalelor constatri i recomandri.