Professional Documents
Culture Documents
11
22
33
1.2.
pot fi rezultatul experienelor tiinifice de laborator. Dimpotriv, ele fac obiectul schimbrii,
deoarece se bazeaz pe un mediu, pe o structur a utilizatorilor de informaii financiare i pe
necesitile lor de informare, care evolueaz n mod continu.( Feleag, 1996.)
Postulatele cel mai frecvent invocate n lucrrile de audit sunt:
Situaiile financiare i informaiile financiare sunt verificabile. Dac aceast ipotez
fundamental nu ar fi real, auditul nu ar avea sens i nu ar exista. Verficarea nu implic probe
de netgduit, dar sugereaz conceptul de asigurare rezonabil. Mautz i Sharaf subliniaz c
doar pe baza acestui postulat, se identific : teoria probei; procedeul de verificare; aplicarea
probabilitii teoriei de audit; stabilirea granielor responsabilitii auditorului.
Pe termen lung, nu exist un conflict de interese ntre auditori i conducerea
entitii auditate. Att auditorii ct i managerii ar trebui s fie interesai n prezentarea unei
imagini fidele a situaiilor financiare, deoarece adoptarea unor decizii de investiii bazate pe
informaii pertinente este benefic ntreprinderii pe termen lung. Trebuie ns precizat c, pe
termen scurt, pot exista conflicte n ceea ce privete: dezacordul onest asupra aplicrii unei
politici contabile; ncercarea managerilor de a cosmetiza situaiile financiare, prin ameliorarea
performanei publicate sau a gradului de atingere a altor obiective, pentru ai spori propria
remuneraie sau acordarea unor bonificaii suplimentare;fraude manageriale. Din acest motiv,
pe tot parcursul activitii desfurate, auditorii trebuie s manifeste o atitudine sceptic fa
de informaiile furnizate de conducerea entitii.
Rezultatul unei misiuni furnizeaz asigurri rezonabile dar nu absolute c vor fi
detectate erori semnificative cauzate, n special, de nereguli. Standardul de audit ISA 200
ajut la corelarea acestui postulat cu responsabilitile unui audit modern. Norma prevede c,
un audit efectuat n conformitate cu standardele de audit, are ca scop detectarea erorilor
semnificative, inclusiv a fraudelor care pot afecta situaiile financiare. Auditorul nu este un
garant. Responsabilitatea sa const n a-i exercita ndatoririle cu maxim grij i competen,
avnd un grad adecvat de scepticism profesional.
Existena unui sistem de control intern satisfctor reduce posibilitatea fraudei i
erorilor. Un sistem de control intern se bazeaz pe dou elemente definitorii: separarea
responsabilitilor n cadrul unei organizaii i verificarea intern propriu-zis. Aceste dou
elemente considerate mpreun nu pot fi eficiente 100%, fapt care conduce la ipoteza c este
mai corect a spune c un sistem de control intern bun reduce eroarea, frauda, manipularea
rezultatelor, pierderea activelor, fr a elimina total riscul de apariie a acestora. n aceste
condiii, auditorul are nevoie de probe suplimentare fa de cele solicitate de un control intern,
pentru a-i fundamenta aprecierea rezonabil despre situaiile financiare auditate.
Aplicarea constant a principiilor general acceptate de contabilitate ofer o
imagine fidel a situaiilor financiare. n momentul n care auditorul i exprim opinia sa n
legtur cu situaiile auditate, el consider ca element de referin aplicarea principiilor
contabile general acceptate n evaluarea gradului de fidelitate a situaiilor sau informaiilor
analizate. Fr un astfel de criteriu, ar fi deosebit de dificil s se stabileasc, cu obiectivitate,
dac situaiile financiare prezint sau nu o imagine fidel.
Activitatea curent de audit este structurat n funcie de experiena i cunotinele
acumulate din auditarea clientului n anii precedeni. n conformitate cu acest postulat, n
lipsa unei probe contrarii, auditorul poate s presupun c ceea ce a fost adevrat n trecut,
pentru o societate auditat, va rmne valabil i n viitor. Altfel spus, n absena unor
schimbri n controlul intern operaional i de personal al clientului, auditorii i pot planifica
angajamentele curente, pe probele cumulate din misiunile de audit anterioare, ceea ce mrete
eficiena unei misiuni de audit.
Independena este esenial n misiunea de audit. Independena este piatra de
ncercare a profesiei de auditor. Fr o independen profesional de necontestat, opinia
auditorului devine suspect. Din punct de vedere teoretic, factorii care permit determinarea
gradului de independen sunt integritatea i obiectivitatea auditorului.
55
AUDIT
66
Audit de conformitate
Criteriul:
Obiectivul specific al organizatiei
Auditul financiar
Auditul performantei
Criteriul:
Princiipiile contabile general acceptate
Criteriul:
Politicile, regulamentele interne
Audit extern
Auditul intern
Auditul guvernemental
si auditul operational
1.3.2
1414
n general, riscurile asociate unui sistem informaional, pe care orice auditor trebuie s
le analizeze i evalueze (tehnica frecvent utilizat n acest caz este chestionarul), n vederea
aprecierii sistemului n sine, vizeaz:
Riscul securitii fizice ce va fi evaluat n funcie de informaiile culese, cu privire la:
existena sistemelor de paz, detecie i alarm a incendiilor, sistemelor de protecie mpotriva
cderilor de tensiune, protecia echipamentelor mpotriva furturilor, protecia mpotriva
catastrofelor naturale (inundaii, cutremure..), protecia fizic a suporilor de memorare.
Riscul de comunicaie poate lua valene diferite, n funcie de disponibilitatea
sistemului la reeaua public, situaie n care auditorul e necesar s analizeze msurile de
securitate adoptate: existena unui firewall, modul de configurare a acestuia, analiza modului
de transmitere a datelor prin reeaua public (utilizarea tehnicilor de criptare, existena unei
reele virtuale private - VPN). Acest risc se poate manifesta i la nivelul unei reele locale,
atunci cnd configurarea acesteia las de dorit i prin ascultarea liniilor de comunicaie,
traficul acesteia poate fi compromis. Confidenialitatea informaiilor nu vizeaz doar
memorarea acestora pe staiile de lucru sau servere, ci i liniile de comunicaie.
Riscul privind integritatea datelor i tranzaciilor vizeaz toate riscurile asociate cu
autorizarea, completitudinea i acurateea acestora.
Riscul de acces se refer la riscul asociat accesului inadecvat la sistem, date sau
informaii. Implicaiile acestui risc sunt majore, el viznd confidenialitatea informaiilor,
integritatea datelor sau bazelor de date i disponibilitatea acestora. n acest sens, aciunile
auditorului presupun o analiz a managementului parolelor la nivelul organizaiei (altfel spus
atribuirea i schimbarea parolelor de acces fac obiectul unei aprobri formale?), o investigare
a ncercrilor de accesare neautorizat a sistemului (exist o jurnalizare a acestora ?), o
analiz a proteciei staiilor de lucru (sunt acestea dotate cu soft care s blocheze accesul la
reea, atunci cnd utilizatorul nu se afl la staia sa ?).
1515
de operaii: conturi curente i operaii cu schimburi valutare. Valoarea activelor bancare fiind
apreciat la 1 milion $, maximul valorii de risc va fi deci de 3 milioane $.
Pentru a construi tabelul de traducere se va mpri aceast plaj de valori n segmente,
apreciate la nivelele de risc pe scara de la 1..5. (Tabelul 2.1) Cea mai simpl metod o va
reprezenta mprirea n intervale egale. Din nefericire, n practic lucrurile nu sunt chiar att
de simple. n mod evident, pierderea integral a activelor poate fi considerat un risc nalt, dar
inevitabil, apar ntrebri de genul: De unde ncep riscurile s creasc? Unde ating riscurile
nivelul mediu?
n general, n construirea acestui tabel de traducere auditorii solicit i consultarea
managementului entitii.
Valoarea de risc
De la
0
10.000.001
100.000.001
200.000.001
400.000.001
Nivelul de risc
La
10.000.000
100.000.000
200.000.000
400.000.000
3.000.000.000
1
2
3
4
5
Complexitatea
Conturi curente
Operaii de schimb valutar
250.000.000$
400.000.000$
Accesul la sistem poate fi obinut deAccesul intern este restricionat de la
la majoritatea terminalelor dinterminale speciale, aflate n ncperi
interiorul
bncii,
ct
si
acu un acces controlat . Se poate
sucursalelor.n plus accesul poate fi aprecia c pentru acest sistem
realizat prin sistemul Internetaccesul utilizatorilor este mult
Banking si pe arii limitate de lalimitat.
terminalele ATM (Automat Teller
Machine).n concluzie majoritatea
utilizatorilor pot accesa sistemul.
Rata vulnerabilitii :nalt
Rata vulnerabilitii: Medie
Sistemul este vechi, utilizat de pesteSistemul este utilizat de 3 ani. Este
15 ani , actualizat in timp.Cel puin un sistem proprietar care nu a suferit
10 specialiti IT au cunotinemodificri.
Documetaia
este
detaliate
despre
sistem,actualizat de proprietar i numai 2
documentaia existent nu a fostspecialiti IT au fost instruii n buna
actualizat cu noile modificri.intreinere a sistemului. Sistemul se
Sistemul se caracterizeaz princaracterizeaz prin cateva funcii i
multiple funcii, este integrat cupoate fi integrat doar cu sistemul
multe alte sisteme bancare i contabil. Departamentul Trezorerie
furnizeaz
informaii
oricruieste singurul utilizator.
departament.
Rata complexitii: Sczut
Rata complexitii : nalt
1818
ncrederea
1919
2323
Un "mesaj clar" este supus unei transformri (criptare) prin intermediul unei chei (K)
rezultnd un text cifrat numit criptogram. Textul cifrat este transmis prin mediul de
comunicaie ctre un destinatar, care cu ajutorul unei chei de descifrare (K) obine "mesajul
clar". Sistemele criptografice se pot clasifica n sisteme simetrice i asimetrice.
Sistemele de criptare simetrice: folosesc o singur cheie att pentru incriptare, ct i
pentru decriptare solicitnd o ncredere reciproc a prilor implicate. Altfel spus, expeditorul
cripteaz textul clar cu ajutorul unei chei secrete, iar destinatarul va decripta mesajul criptat
folosind aceeai cheie, reuita fiind asigurat de secretizarea cheii. Ideal ar fi ca o astfel de
cheie simetric s fie utilizat o singur dat. Nu n ultimul rnd succesul sistemului se
bazeaz pe dimensiunea cheii. Astfel, dac ea are mai mult de 128 bii, este o cheie sigur,
ceea ce nseamn siguran n exploatare. Cel mai cunoscut sistem bazat pe chei simetrice este
Data Encryption Standard (DES), conceput n 1972, ca o dezvoltare a algoritmului Lucifer
al firmei IBM.
Sistemele de criptare asimetric folosesc dou chei: una public i una privat, ele
reprezentnd o soluie elegant n ceea ce privete distribuirea cheii. Dou sisteme de criptare
asimetric, se fac astzi recunoscute: RSA Data Security i Pretty Good Privacy , ambele
folosesc acelai algoritm: cheia public este produsul a dou numere prime, iar cheia privat
este unul dintre cele 2 numere prime. Un utilizator care cunoate cheia privat poate verifica
dac pentru crearea cheii publice s-a folosit cheia privat.
Astzi se acord o atenie deosebit dezvoltrii de standarde i reguli juridice pentru
rezolvarea principalei slbiciuni a sistemelor de criptare cu cheie public: alturarea unei chei
publice a unui utilizator cu identitatea acelui utilizator. Cum poate ti cu siguran un receptor
dac, cheia public a destinatarului aparine cu adevrat acelei persoane i nu unui impostor?
Soluia o reprezint asocierea unei semnturi digitale la cheia public. O semntur
digital32 este un bloc de date (alctuit din cifre binare) ce se ataeaz unui mesaj sau
document pentru a ntri ncrederea unei alte persoane sau entiti, legndu-le de un anumit
emitor. n esen, semntura digital stabilete autenticitatea sursei mesajului. Dincolo de
managementul cheilor de criptare, criptografia trebuie nsoit de un set de reguli, politici sub
care sistemele criptografice pot opera aa numita infrastructur : Public Key Infractructure
(PKI).
PKI este o combinaie de produse hardware i software, politici i proceduri care
asigur securitatea de baz necesar astfel nct doi utilizatori, care nu se cunosc sau se afl n
puncte diferite de pe glob, s poat comunica n siguran. La baza PKI se afl certificatele
digitale, un fel de paapoarte electronice ce mapeaz semntura digital a utilizatorului la
cheia public a acestuia, la care se mai adaug autoritile de certificare, autoritile de
nregistrare, politicile i procedurile cu chei publice, revocarea certificatelor, nerepudierea,
aplicaiile de securitate.
ar fi: permisiunea de a citi, scrie, terge sau afia date. Auditorul va verifica sistemul de
restricii impus de administratorul reelei - sistem ce trebuie s asigure un filtru adecvat al
utilizatorilor n procesele de prelucrare a datelor i nu n ultimul rnd, va analiza proiectarea
reelei ct i instrumentele de securitate folosite n cadrul ei.
O bun gestiune a accesului utilizatorilor presupune ca n fiecare moment s se
cunoasc cine are acces n reea, ce execut, de ct timp acceseaz resursele sistemului.
Accesul utilizatorilor la un sistem presupune identificarea, autentificarea i autorizarea
acestuia n sistem.
O serie de vulnerabiliti, precum gestionarea incorect a drepturilor utilizatorilor de
ctre administratorul retelei, nedeconectarea utilizatorilor dup un numr de logri euate,
gestionarea incorecta a parolelor, ineficiena mecanismului de control al utilizatorilor, lipsa
unui jurnal care s memoreze ultima logare reuit sau nereuit, lipsa unui sistem de control
al accesului la fiiere n funcie de nivelul de autorizare, conduc la un acces neautorizat,
impropriu la resusele reelei. Accesul neautorizat const n accesul fr drept la un sistem sau
la o reea informatic prin violarea regulilor de securitate. Controlul accesului prin parole
reprezint un instrument utilizat frecvent de auditor n cadrul misiunii sale. Parola, cel mai
simplu accesoriu folosit n asigurarea securitii, reprezint adesea o vulnerabilitate uor
atacabil a unui sistem informatic. Adesea utilizatorii nu sunt educai n alegerea unei parole
corecte, ei necontientiznd faptul c securitatea fiecrui utilizator este important pentru
securitatea ntregului sistem.
Auditorul va verifica dac sunt stabilite proceduri pentru schimbarea lor periodic,
pstrarea confidenialitii parolei, "transparena" parolelor, accesul la fiierele cu parole este
protejat. Astzi nimnui nu-i mai este strin termenul de "sprgtor de parole" care nu este
altceva dect un program ce poate decripta parole sau poate dezactiva protecia prin parole.
Acesta ar putea reprezenta chiar unul din instrumentele auditorului pentru a descoperi parolele
slabe care exist n sistem.
Sistemul parolelor, orict de complex ar fi el, utilizat singur nu reprezint instrumentul
ce asigur securitatea unui sistem. Pentru prentmpinarea unor aspecte vulnerabile din
sistemul de protecie prin parole, se recomand ca o parol s fie nsoit de un alt instrument
de securitate ce va permite identificarea utilizatorului (o cheie de acces la consol, spre
exemplu).
Momentul 11 septembrie 2001 a schimbat sensul controlului accesului n sistem,
att prin prisma mijloacelor de exercitare, ct i a domeniilor de aplicare. O tendin
pregnant n acest sens o constituie sistemele de identificare biometric a persoanelor, care
exist la ora actual; nsi firma Microsoft realizeaz identificarea angajailor si prin
intermediul unei cartele inteligente, cu elemente biometrice incluse.
Controlul accesului n mediile publice: pentru a supravieui pe piaa competitiv de
astzi, firmele trebuie s-i fac simit prezena pe Internet. Vulnerabilitile reelei Internet
pot genera atacuri surpriz din partea utilizatorilor reelei conducnd la un acces neautorizat la
reeaua privat cu consecinele de rigoare. Auditorul unei astfel de organizaii, ce folosete
servicii Internet, va verifica existena i configurarea instrumentelor specifice cum ar fi:
firewall-urile, VPN (Virtual Private Network), instrumente de detectare a intruziunilor
(Intrusion Detection System), tehnici de criptare i PKI, programe antivirus.
Firewall-urile sunt produse software sau hardware care restricioneaz accesul ntre o
reea protejat i Internet sau alte seturi de reele, mpiedicnd astfel accesul neautorizat n
interiorul reelei. Un firewall este un sistem plasat ntre dou reele care se individualizeaz
prin urmtoarele caracteristici: tot traficul dinspre interior spre exterior i viceversa trebuie
s treac prin acesta; este permis trecerea numai a traficului autorizat prin politica local de
securitate; sistemul nsui este imun la ncercrile de penetrare a securitii acestuia.
Deoarece un firewall este dispus la intersecia dintre dou reele, acesta poate rezolva
i alte probleme, dect acela de control al accesului, cum ar fi: o bun monitorizare a
traficului i o uoar detectare a ncercrilor de penetrare n reea. n acest sens, un firewall
2828
poate jurnaliza serviciile folosite i cantitatea de date transferate prin conexiuni TCP/IP ntre
propria organizaie i lumea exterioar; poate permite sau interzice anumite servicii, blocarea
accesului de sau pe anumite staii, accesul anumitor utilizatori; poate bloca complet traficul
ntr-un anumit sens; poate fi folosit pentru interceptarea i nregistrarea tuturor comunicaiilor
dintre reeaua intern i exterior poate izola complet reeaua intern de cea public.
Avantajele prezentate nu trebuie s ne conduc la idea c un firewall este o soluie
pentru toate problemele de securitate, dar el reprezint o "prim linie" de aprare mpotriva
atacurilor externe. Acest mediu de securitate avansat, poate implementa msuri de securitate
prea stricte genernd o funcionare necorespunzatoare a reelei. n acest sens, spre exemplu,
nu este indicat un firewall n mediile care folosesc aplicaii distribuite, deoarece politica de
securitate strict implementat, va conduce la o exploatare greoaie a acestora. Evaluarea unui
firewall impune: verificarea configurrii corecte a acestuia; verificarea regulilor de filtrare a
informaiilor; verificarea canalelor de comunicaie deschise; verificarea aplicaiilor de tip
IRC (Internet Relay Chat) sau Instant Messaging, pentru c acestea constituie ci prin
intermediul crora se lanseaz diferite atacuri.
Reele private virtuale (VPN). Vulnerabilitile reelei Internet pot fi eliminate prin
utilizarea unui VPN, instrument ce asigur confidenialitatea datelor prin criptarea i
ncapsularea datelor n timpul transmiterii. O reea privat virtual conecteaz componentele
i resursele unei reele private prin intermediul unei reele publice. Altfel spus, o reea privat
virtual este o extensie a Intranetului unei firme peste o reea public, cum este Internetul.
VPN permite utilizatorilor s comunice prin aa numitele tuneluri care strbat Internetul,
oferind participanilor s se bucure de aceeai securitate ca a reelei private. Tunelul este
invizibil utilizatorilor din afara reelei i n plus toate datele transmise prin el sunt criptate.
Fiecare utilizator al VPN-ului este verificat i comparat cu o baz de date existent pentru a i
se aplica nivelul de securitate specific. n esen, soluia trebuie s asigure securitatea i
integritatea datelor cnd traverseaz Internetul.
O reea privat virtual va oferi garania urmtoarelor funcionaliti:
autentificarea utilizatorului, accesul prin VPN fiind permis numai utilizatorilor
autorizai; mai mult instrumentul va permite monitorizarea i jurnalizarea
activitilor, pentru a arta cine i cnd a accesat o informaie.
gestionarea adreselor: unui utilizator autorizat i se va asocia o adres din reeaua
privat, iar soluia trebuie s garanteze confideialitatea lor.
criptarea datelor: datele transferate prin reeaua public trebuie fcute invizibile
utilizatorilor neautorizai.
gestiunea cheilor de criptare; Soluia trebuie s genereze i s actualizeze cheile de
criptare pentru client i pentru server.
recunoaterea protocoalelor existente n reeaua public (cum ar fi Internet Protocol,
Internet Paccket Exchange.) Implementarea unui VPN ofer unei organizaii o serie de
avantaje importante: flexibilitate, uurina administrrii, ignorarea uzurii morale a
tehnologiei, conectivitate global. n acest context, tehnologia VPN vine n
ntmpinarea noilor cerine impuse de operarea afacerilor de la distan, operaii de
parteneriat interdependente, n care participanii trebuie s se poat conecta la
resursele centrale, s comunice unul cu altul.
- analiza mediilor de stocare a datelor. Existenta unor programe gen Easy Recovery sau Lost
& Found care permit recuperarea datelor terse de pe mediile de stocare pot genera prejudicii
importante.
- echipamentelor trebuie s li se asigure condiiile de mediu specificate n documentaia
tehnic.
- sisteme de supraveghere i alarm;
- controlul personalului de securitate.
3434
3535
3636
3838
Auditorii pot efectua astfel de analize att asupra cantitilor pentru a determina dac
clienii au tendina de a cumpra n cantiti mici sau mari articole, ct i asupra numrului de
tranzacii pe client pentru a verifica dac acetia sunt clieni fideli.
Avantajele tehnicilor de audit asistate de calculator sunt numeroase, utilizarea lor
implicnd testarea ntregului volum de date (testare 100%); printre procedurile de audit
folosite frecvent se pot evidenia:
Recalcularea totalurilor rapoartelor tiprite era una din activitile manuale cu un consum
mare de timp i cu un aport informaional destul de sczut; utiliznd software de audit, acest
proces se realizeaz n numai cteva secunde. O alt tehnic ce se poate automatiza uor i
eficient este construirea de cmpuri calculate, spre exemplu pentru stabilirea cheltuielilor cu
amortizarea sau a valorii stocurilor, rezultatele obinute urmnd a fi comparate cu valorile din
contabilitatea clientului.
Vechimea creanelor i datoriilor se poate calcula aproape instantaneu i poate genera,
mai departe, o analiz a clasificrii acestora pe intervale de vechime.
Analiza excepiilor poate urmri numeroase tipuri de erori acolo unde este foarte dificil s se
parcurg manual rapoarte tiprite pentru a depista tranzaciile neobinuite.
Fuziunea datelor (Joining) servete la analiza datelor din tabele sau baze de date diferite.
Prin fuzionarea a dou fiiere de date, cum ar fi costurile stocurilor i preurile la care acestea
au fost vndute, aplicaia de audit poate analiza instantaneu care stocuri au fost vndute la
preuri mai mici dect costurile, genernd pierderi.
Depistarea fraudelor presupune analiza eventualelor coincidene suspecte din baza de date.
Pret Minim
Rata
4141
Produs 1
230 u.m
125 u.m
1.84
Produs 2
275 u.m
270 u.m
1.01
Furnizor
SC. A SRL
SC. B SRL
101.000 u.m
Rata
5
1.01
Frecventa primei
cifre
0,30103
0,17609
0,12494
0,09691
0,07918
0,06695
0,05799
0,05115
0,04576
4242
ntregului sistem informatic. Pe de alt parte, tehnicile CAAT orientate pe date ignor
programele utilizate n generarea datelor i se concentreaz exclusiv pe analiza datelor.
Rezultate
Date test
Comparatii
4545
Procesare computerizata:
Procesare manuala:
4646
4747
ACL permite asistena auditorului n orice faz a procesului de audit, figura 3.5
ilustrnd funciile ACL i modul n care ele pot fi utilizate.
Etape Audit
I. Planificare
- evaluarea riscului
II. Evaluarea controlului intern
- teste de control
- selectarea esantioanelor
evaluarea rezultatelor
Functii ACL
Statistics-realizeaza o analiza statistica a datelor
unui fisier
Meniul Sampling cu comenzi specifice a
marimii esantionului si a criteriului de selectie.
Meniul Analyze include functii de numarare,
totalizare, statistice, duplicate, verificari , cautari,
expresii construte de auditor pentru filtrarea
datelor.
Statistics
Merge
Analyze
Filter
File History
Document Notes
figura 3.7. Utilizatorului i se solicit cheile de cutare a nregistrrilor duplicate (spre exemplu
s se afieze toate facturile care au aceeai valoare i data de emisiune).
5252
5353
ProAudit Advisor este o alt aplicaie utilizabil ntr-o misiune de audit care permite:
crearea universului entitii auditate; determinarea abordrii unui audit; evaluarea riscului i a
controalelor
5454
5555
5656
5757
obiectivele de soluionare a problemei ct i alte constatri efectuate, acest lucru putnd oferi
sugestii pentru modelele viitoare i alte informaii suplimentare.
f. Integrarea noilor cunotine. Aceast etap finalizez procesul prin expansiunea
modelului obinut i a rezultatelor sale la nivelul sistemului informatic al organizaiei.
greeli din trecut pot fi utilizate pentru a mbunti calitatea modelelor n mod
automat.
Aptitudini tehnice avansate. Utilizatorii software-ului Data Mining trebuie s dispun
de trsturi tehnice substaniale, acest lucru fiind motivat de cel puin trei cerine
stringente:
utilizatorul e necesar s cunosc diferenele ntre diversele tipuri de algoritmi data
mining pentru a-l alege pe cel optim;
se presupune c utilizatorul va dirija ntregul proces pentru a fi sigur c noile
informaii sunt interesante;
rezultatul procesului data mining trebuie evaluat, pe criterii de competen
profesional.
Absena interoperabilitii. Procesul Data Mining poate fi abordat prin prisma a
numeroase tehnici i metode de algoritmizare. Cu toate acestea, pachetele software
disponibile tind s se concentreze pe una din metode, angajnd doar cteva tehnici.
Interoperabilitatea ntre diferitele metode de algoritmizare data mining constituie nc
o provocare semnificativ pentru dezvoltatorii de software data mining.
Absena capacitii de auto-explicare. n general, procesul data mining este automat i
motivele semnificative prin care se ajunge la un anumit rezultat, sunt n mod frecvent,
subtile. Prin prisma auditului, acest lucru constituie o problem major deoarece
traseul de auditi replicabilitatea sunt cerine cheie n misiunea de audit.
Cost relativ ridicat. n comparaie cu alte aplicaii, software-ul data mining este
considerat scump, utilizatorii ncorpornd n acest pre i costul de pregtire a datelor,
de analiz a lor i instruire a personalului. Conceptele dezvoltate anterior sunt
comparate n mod sintetic i constituie fundamentul pentru integrarea tehnicilor Data
Mining n cadrul aplicaiilor asociate unei misiuni de audit.
Caractersistici
Orientare pe activitate de audit
Asistarea tuturor procedurilor de audit
Interfata prietenoasa cu utilizatorul
Aptitudini tehnice cerute
Automatizare
Capabil de invatare
Cost
GAS
Da
Da
Mai mult
Mai mult
Nu
Nu
Mai scazut
Data mining
Nu
Nu
Mai putin
Mai putin
Da
Da
Mai ridicat
Clasificarea i predicia
Analize de evaluare
2.Planificarea
Evaluarea riscului
Analiza dependenelor
Clasificarea i predicia
Clasificarea i predicia
6161
Proceduri analitice
5. Raportul de audit
Formularea concluziilor
Analiza excepiilor
Analiza dependenelor
Clasificarea i predicia
Tabelul 4.3 Posibile arii de integrare a tehnicilor Data Mining n cadrul procesului de
audit
n urma analizei realizate se poate observa c fiecrei etape a unui proces de audit i se
pot asocia tehnici i metode Data Mining. n realitate, cea mai periculoas situaie este dat de
absena datelor disponibile, mai ales n cazul primului an de audit. n construirea unui model
Data Mining este necesar utilizarea seturilor de date bazate pe informaii istorice, informaii
ce pot include att datele anului anterior, ct i date ale altor clieni ce aparin aceleiai ramuri
industriale. Singurele informaii disponibile n mod cert, n cazul tuturor angajamentelor de
audit sunt tranzaciile contabile ale perioadei curente i situaiile financiare ale aceluiai an. n
acest context, se subliniaz ideea conform creia anumite etape, precum acceptarea clientului
i planificarea nu pot fi abordate ntotdeauna prin prisma tehnologiei Data Mining. n schimb,
realizarea etapelor de evaluare a controlului intern i aplicarea testelor de detaliu, permit o
analiz complex a datelor ce conduce adeseori la detectarea fraudelor, descoperirea
informaiilor ascunse n spatele datelor clasice, oferind astfel noi oportuniti auditorilor.
De exemplu, s considerm urmtoarea situaie furnizat auditorilor(numrul de
tranzacii este de cel puin 2000):
6262
dac, ulterior, implementarea se va realiza utiliznd o baz de date relaional.Inceputul anilor 90 este
momentul apariiei metodelor de proiectare orientate obiect, dintre care amintim:
- OMT (Object Modeling Technique) James Rumbaugh
- OOD (Object Oriented Design) Greedy Booch
- OOSE (Object-Oriented Software Engineering) Ivar Jacobson
Caracteristic metodelor orientate obiect este faptul c sistemul informatic este gndit ca un
ansamblu de obiecte care se organizeaz i coopereaz ntre ele. Toate aceste metode urmresc, n
ultim instan, s permit formularea cerinelor sistemului, n faza de analiz i n timpul proiectrii,
s dezvolte un model al claselor de obiecte. n acest context, este de remarcat abordarea simultan a
datelor i prelucrrilor, prin comparaie cu metodele generaiilor precedente (Metoda Merise, spre
exemplu), cnd o proiectare i o implementare separat a lor conducea adesea la sisteme instabile,
vulnerabile la erori.
Fiecare din metodele amintite se bucurau de o recunoatere mondial, la acea dat, ele avnd
propriile puncte forte i slbiciuni, dup cum autorii puneau accentul pe anumite idei de modelare fapt ce crea, adeseori, n rndul utilizatorilor, confuzii. Experiena acumulat i va determina pe autori
s-i uneasc eforturile n vederea realizrii unei unificri complete a metodelor proprii, aceast
ncercare de standardizare aducnd un cadru de stabilitate n industria software i pe piaa limbajelor
de modelare. Limbajul UML este rezultatul muncii depuse i literatura de specialitate l definete
drept o colecie a celor mai bune practice aplicate n modelarea sistemelor informatice de mari
dimensiuni i complexitate. n acest sens, paradigma obiectual aduce, printre altele, avantajul de a
utiliza un limbaj comun i standardizat de reprezentare a conceptelor utilizate (UML). UML
introduce un set de 8 diagrame pentru descrierea unui sistem informatic, cu semantica asociat, dar
nu propune i un proces de utilizare a acestora n construcia unei aplicaii. Cele opt tipuri de
diagrame propuse de UML sunt: diagrama cazurilor de utilizare; diagrama de clase (cea mai
utilizata); diagrama de activiti; diagrama de stri; diagrama de colaborare; diagrama de secven;
diagrama de componente;diagrama de amplasare.Datorit complexitii lor, metodele orientate obiect
impun o analiz mai detaliat a realitii i un efort mai mare din partea proiectanilor pentru
elaborarea acestor diagrame.
6464
- trebuie s ndeplineasc anumite scopuri de logic a problemei (dac nu se poate gsi un astfel de
obiectiv atunci cazul de utilizare trebuie regndit);
- realizarea cazului, trebuie s ofere sistemului o stare stabil (nu poate fi ndeplinit doar pe
jumtate). Ca o concluzie a elementelor prezentate, o diagram a cazurilor de utilizare este proiectat
prin studierea actorilor i determinarea operaiilor pe care ei le vor putea realiza cu sistemul, ea
reprezentnd n fapt adevratul dirijor al ntregului proces de dezvoltare. UML prevede pentru acest
tip de diagram o gam diversificat de legturi ce se pot stabili att ntre actori i cazuri de utilizare,
ct i ntre cazuri de utilizare diferite sau actori diferii.
Relaii ntre actori i cazuri de utilizare: relaia de asociere (participare) indic participarea
unui actor la un caz de utilizare, direcia de navigare a relaiei sugernd cine iniiaz comunicarea.
Relaii ntre cazuri de utilizare: relaia de incluziune indic faptul c o instan a unui caz de
utilizare cuprinde i comportamentul specificat printr-un alt caz de utilizare. Figura 5.1 prezint mai
multe exemple de relaii de incluziune ntre cazurile de utilizare, ntre care menionm: Elaboreaz
planul de audit include cazul Introduce lucrri de audit, deoarece elaborarea unui plan de audit
presupune asocierea lucrrilor necesare, stabilirea bugetului de ore (orele estimate de realizare) ct i
a tarifului/lucrare, ceea ce impune existena cazului Introduce lucrri de audit. Relaia de extensie:
este folosit pentru a sugera un comportament opional, care are loc doar n anumite condiii. Spre
exemplu, cazul de utilizare Selecteaz esantioanele pentru testele de control poate fi extins cu
Intocmeste foi de lucru, condiia ce autorizeaz extensia fiind controlul eantionului selectat i
validarea lui.
Relaii ntre actori: relaia de generalizare: semnific faptul c un actor poate interaciona cu
sistemul n toate modalitile prin care interacioneaz un altul. n virtutea relaiei de generalizare ce
se stabilete ntre Partener i Manager, spre exemplu, actorul Partener poate realiza i cazul de
utilizare Stabilete componena echipei de audit, relaia de dependen: semnific faptul c, pentru
a interaciona cu sistemul informatic prin intermediul unui caz de utilizare, un actor depinde de alt
actor, n situaia curent este vorba de relaia dintre actorii : Client, Partener. Fiecare caz de utilizare
alturi de reprezentarea sa grafic n diagram trebuie s fie nsoit de un document de descriere a
cazului. Un exemplu, n acest sens, l poate reprezenta descrierea cazului de utilizare Selecie
eantion pentru testele de control: practica a semnalat c exist o serie de cazuri de utilizare aa-zis
ascunse care nu sunt identificate ntotdeauna n fazele analizei funcionale (n special din cauza
faptului c interlocutorii nu sunt familiarizai cu informatica): securitate, arhivare, infrastructur
arhitectural, verificare, care se recomand a fi introduse n toate modelele de cerine.
DIAGRAMA DE ACTIVITI
Diagrama de activiti pentru un caz de utilizare permite reprezentarea derulrii
aciunilor i proceselor interne, detaliind i preciznd descrierea textual a acestuia.
- auditorul asistent declaneaz aciunea de creare a planului, dar pentru aceasta n prealabil verific
existena scrisorii de angajament i a soluiei acesteia (accept/refuz sau riscuri majore):
-dac scrisoarea exist i are o soluie favorabil (accept), auditorul va stabili lucrrile ce fac
obiectul misiunii, asociindu-le un tarif/orar i un numr de ore planificate. Totodat fiecrei lucrri i
se asociaz un auditor executant, n condiiile n care acesta este disponibil. Procesul apeleaz o bucl
repetitiv subactivitate pentru c un plan de audit conine mai multe lucrri misiune; o dat
procesul validat, planul este verificat i salvat, genernd realizarea unei tranzacii.
Diagrama de secvente are rolul de a reflecta modul intern de realizare a unui caz de utilizare,
ilustrnd interaciunea dintre obiecte din punct de vedere temporal, acestea fiind prezentate la un
nivel general, sintetic, fr precizarea argumentelor i a tipului de rezultat returnat. O diagram de
secvene este format dintr-un set de mesaje schimbate ntre diverse obiecte, identificnd astfel
operaiile ce trebuie s intre n comportamentul fiecreia dintre clasele de obiecte participante.
6666
Figura nr.5.1 Diagrama de secvene asociat cazului de utilizare Elaboreaz planul de audit
Fiecarui obiect sau clase i corespunde o linie a timpului, reprezentat printr-o linie punctat
pe vertical, mesajele transmise ntre obiecte fiind reprezentate prin sgei, etichetate cu numele
mesajului.
Diagrama claselor descrie structura intern a sistemului informatic prin identificarea
claselor, a atributelor i operaiilor acestora ct i a relaiilor dintre clase. Literatura de specialitate nu
definete o reet unic de elaborare a acestor diagrame, ele fiind dependente de experiena i
judecata profesional a proiectantului. O abordare metodic a determinrii claselor este aceea de a
extrage substantivele eseniale din documentele de specificaie a cerinelor. n acest proces de selecie
a substantivelor, experiena practic a marcat i o etap de filtrare a acelor substantive ce nu vor
reprezenta "clase bune", urmrindu-se astfel eliminarea claselor candidat . Clasele sunt abloane de
creare a obiectelor, astfel nct fiecare obiect este o instan a unei clase. Obiectele, pentru a fi utile,
trebuie s interacioneze ntre ele i aceast interaciune nu este altceva dect instana legturii ce se
stabilete ntre clasele din care fac parte.
Asocierea este legtura ce se stabilete ntre dou clase de obiecte independente.
Agregarea constituie o asociere binar puternic i nesimetric n care una dintre clase are
un rol predominant n raport cu cea de-a doua. n mod uzual, aceasta corespunde unei relaii de tipul
parte-ntreg.
Compozia este un tip particular de agregare i apare n cazurile n care obiectele clasei
"parte" aparin clasei "ntreg. ntr-o asemenea corelaie, multiplicitatea clasei compuse nu poate fi
mai mare de 1, iar clasa parte nu mai poate participa la alte agregri.
Generalizarea modeleaz motenirea proprietilor i a operaiilor ntre dou clase: clasa
general este denumit superclas, iar cea specializat subclas. n acest punct, diagrama claselor
este independent de limbajul ce se va utiliza la implementare, fapt pentru care identificarea
atributelor este mai important dect descrierea operaiilor, ce poate fi detaliat n faza de proiectare.
Proiectarea sistemului: are ca punct de plecare rezultatele analizei, pe care le detaliaz
corespunztor nevoilor implementrii. Astfel, diagrama claselor de obiecte este adaptat i
remodelat, punnd-se un accent deosebit pe modelarea comportamentului fiecrei clase. Diagrama
de stri i diagrama de colaborri constituie instrumente importante n construirea diagramei
6767
claselor la nivelul implementrii. De asemenea, un alt aspect important i demn de menionat este
faptul c diagramele de activiti i secvene se pot relua, mbunti sau chiar remodela n aceast
etap.
Diagrama de stri servete pentru a reprezenta suita de stri prin care poate trece un element
de modelare fie acesta obiect sau interaciune n cursul existenei sale, ca reacie la evenimentele
survenite n exteriorul su. n acest sens, figura 5.2 prezint toate strile prin care poate trece o
instan a clasei Misiune precum i evenimentele ce schimb starea unui obiect .
6868
Figura nr. 5.3 Diagrama de colaborri asociat cazului de utilizare Elaboreaz planul de
audit
6969
7070
IMPLEMENTAREA SISTEMULUI
Interfaa aplicaiei debuteaz cu un meniu principal, prezentat n cadrul figurii: 5.4, care i
propune s urmreasc etapele importante ale unei misiuni de audit permind utilizatorului s-i
exprime cu uurin opiunile: Acceptarea Clientului, Planificarea auditului, Evaluarea sistemului
informatic, Testarea tranzaciilor Clientului i Analiza situaiilor financiare.
7171
n cadrul acestei etape, auditorul va analiza n continuare riscurile pe care i le-ar asuma n
vederea acceptrii mandatului; formularul a fost proiectat ca un chestionar, fiecare ntrebare inclus
avnd un rspuns pozitiv sau negativ, rspunsul pozitiv reprezentnd ntotdeauna o situaie de risc pe
care auditorul trebuie s o documenteze.
PLANIFICAREA AUDITULUI
Calculul pragului de semnificaie: pragul de semnificaie stabilit n etapa de planificare se
utilizeaz n special, pentru determinarea eantioanelor; n acest sens, literatura de specialitate
recomand o serie de factori n determinarea acestui prag, reprezentai n figura 5.8 i totodat,
propune analiza sumelor aferente exerciiului anterior. Pragul de semnificaie ar trebui, n mod
normal, s se situeze n intervalul indicat de valoarea minim/maxim a celor 6 indicatori, din anul
curent. Atunci cnd societatea analizat nregistreaz pierderi sau profitul prezint fluctuaii majore,
factorii 5 i 6 nu se vor lua n considerare, oricare ar fi motivul distorsionrii sale. Figura 5.7. relev o
astfel de situaie, pentru exemplul analizat, fapt pentru care pragul de semnificaie este setat, pe baza
raionamentului profesional, la valoarea de 1%* Cifra Afaceri.
7272
7373
7575
ntotdeauna un risc. Riscul inerent specific va fi apreciat n funcie de calificativul riscului inerent
general i numrul de rspunsuri pozitive pentru cele 6 ntrebri; rezultatul va fi apreciat printr-un
procent conform tabelului 5.1.
7777
7878
7979
8080
nregistrrilor existente pentru una din tabelele selectate, ntr-un ListView. Opiunile utilizatorului n
cadrul acestui formular se pot rezuma astfel:stergerea unei tabele selectate din cadrul bazei de date;
selectarea unui eantion de date, n mod aleator n vederea realizrii Testelor de Control; selectarea
unui eantion de date, printr-o metod proporional de selecie n vederea realizrii Testelor de
Detaliu asupra soldului unui cont
8383
Fr a avea pretenia exhaustivitii, prin intermediul acestei aplicaii se ofer o nou soluie
de rezolvare a unor probleme strict legate de auditul situaiilor financiare ce va permite eficientizarea
unei misiuni, n termeni de timp i de cost.
CONCLUZII:
Lucrarea de faa a urmrit, pe parcursul celor patru capitole, s ofere o imagine clar
asupra unui process de audit al informaiei contabile ntr-un mediu informatizat i, totodat s
sublinieze necesitatea crescnd a utilizrii tehnicilor de audit (tehnici informatizate), n
vederea eficientizrii acestui proces.
Etimologic, termenul audit i are originea n limba latina, nsemnnd a asculta, a
audia dar practica anglo-saxon l-a transformat, desemnnd astzi, ntr-un sens larg, o
activitate de verificare a unei informaii, desfaurat de experi independeni, n vederea
exprimrii unei opinii asupra sinceritii i conformitii acesteia cu criterii standard de
calitate.
Necesitatea realizrii unui audit financiar, la nivelul unei organizaii, este acentuat de
conflictul de interese, de asimetria informaional creat ntre diveri utilizatori ai informaiei
financiare i, nu n ultimul rnd de caracterul din ce n ce mai complex al contabilitii.
Studiul cadrului teoretic si conceptual al unei astfel de misiuni a constituit premise
abordrii acestei lucrri.
Orice misiune de audit identific, n general, urmatoarele etape: aceptarea clientului,
planificarea, evaluarea controlului intern, testarea detailat a conturilor clientului i, n final
ntocmirea raportului de audit. Eficiena unei misiuni de audit este asigurat n viziunea
Standardelor Internaionale de Audit de planificarea acesteia. Aceasta etap presupune, n linii
mari, o cunoatere general a entitii de auditat, o apreciere a riscurilor existente i o analiz
a continuitii activitii acesteia n vederea identificrii conturilor i domeniilor semnificative
de auditat.
O auditare exhaustiv este imposibil de realizat i, n esena, nu reprezint un scop al
procesului de audit. Testarea selectiv prin eantioanare reprezinta tehnica frecvent ntlnit
att pentru evaluarea controlului intern ct i pentru testarea detailat a valorilor din conturi i
a tranzaciilor.Auditorul va examina elementele justificative care vor sustine valorile i
informaiile coninute n situaiile financiare, pe baza unei evaluri a principiilor metodei
contabile i a estimrilor semnificative fcute de managementul entitii pentru prezentarea
situaiilor financiare.
Astzi ntr-o era informatizat, n care complexitatea sistemelor de contabilitate
informatizat i volumul tranzaciilor au crescut semnificativ, este recunoscut necesitatea
unor tehnici de audit asistate de calculator care s permita o cretere a eficienei misiunii de
audit.
Literatura de specialitate distinge dou categorii de tehnici: pentru analiza i testarea
sistemului informatic; pentru analiza datelor de auditat.
Testarea sistemului s-a realizat pe un set de date reale. Analiznd informaiile pe care
le genereaz sistemul, din prisma auditului, se pot remarca urmatoarele:
pragul de semnificaie a fost stabilit la 1% din cifra de afaceri, n etapa de
planificare, ceea ce nseamn valori absolute de 1.890.534.710 lei. Raionamentul
acestei alegeri a inut cont i de faptul c, n anul precedent societatea a nregistrat
pierderi.
Analiza principalilor indicatori economico- financiari , pe ultimii trei ani , pune
n eviden urmatoarele observaii:
Indicatorul lichiditii imediate, a crui valoare se recomand a fi supraunitar,
pentru societatea n cauza, n anii 2002, 2003 nu confer independen financiar.
Indicatorul lichiditii generale , apreciat cu valori de peste 1,49 ofer garania
acoperirii datoriilor curente din activele curente.
BIBLIOGRAFIE
1.
2.