Raport de audit intern al modului de organizare a activității de tehnologia informației în entitatea publică

CAPITOLUL I

INTRODUCERE

1. Având în vedere modificările intervenite în economia românească şi europeană agenţii economici care folosesc în contabilitate şi finanţe-bănci sisteme informatice au obligativitatea de a realiza periodic auditarea acestor sisteme.

Auditul intern al oricărui agent economic include şi auditul informatic. De cele mai multe ori, se produce o confuzie între auditul intern şi controlul intern, iar auditul informatic (auditul tehnologiilor informaţiei şi ale comunicaţiilor, IT/&C) sau auditul sistemelor (aplicaţiilor) informatice ale agentului economic este considerat, în mod restrictiv, ca fiind limitat la latura tehnică a auditului financiar şi a auditului intern.

agentului economic, devenind astfel un instrument puternic de descoperire şi monitorizare a riscurilor. În aceeaşi idee, auditul sistemelor informatice ale agentului economic trebuie privit ca audit al sistemului informatic integrat al agentului economic care conţine şi componenta de subsistem informatic financiar-contabil.

Auditul intern, ce conţine şi auditul informatic, este reprezentat de numeroase grupări ale organismelor naţionale, realizate pe criterii geografice sau de limbă, ca, de exemplu, Uniunea Francofonă a Auditului Intern şi Confederaţia Europeană a Institutelor de Audit Intern.

Auditul financiar şi auditul intern se efectuează având la bază date şi informaţii obţinute în format electronic în condiţiile existenţei unui sistem informatic integrat al agentului economic, auditul financiar şi auditul intern nu exclud auditul informatic, pentru care sunt necesare substanţiale eforturi de conceptualizare, reglementare şi implementare.

Camera Auditorilor Financiari din România a asimilat integral Standardele Internaţionale de Audit Intern, inclusiv pentru mediile de sisteme informatice, CIS (Computerised Information Systems).

Necesitatea realizării controlului şi auditului sistemelor informatice financiar-contabile, reflectată în legislaţie şi normative, rezultă în primul rând din existenţa ameninţărilor şi vulnerabilităţilor la adresa sistemelor informatice utilizate de agenţii economici în desfăşurarea activităţilor de toate tipurile, adică în administrarea electronică a afacerilor. Toate aceste ameninţări şi vulnerabilităţi ale sistemelor informatice integrate ale agenţilor economici generează riscuri asociate ce afectează securitatea datelor şi care fac obiectul controalelor şi auditului informatic.

Conform Declaraţiei de practică de audit nr.1001, pct.3, „Microcomputerele pot fi folosite pentru a procesa tranzacţiile contabile şi pentru a produce rapoarte care sunt esenţiale la întocmirea situaţiilor financiare. Microcomputerul poate constitui întregul sistem contabil bazat pe computer sau numai pe o parte a acestuia”.

Mai mulţi agenţi economici s-au conformat voluntar organizând compartimente de audit intern, iar băncile comerciale, la insistenţele Băncii Naţionale a României au elaborat manuale de audit intern. Concomitent, în centrele de procesare a datelor electronice, EDP (Electronic Data Processing) ale acestora sunt avute în vedere elemente ce aparţin de auditul informatic, ca parte integrantă a auditului financiar al agentului economic. În fapt, băncile comerciale şi unele societăţi comerciale de tehnologii ale informaţiei şi comunicaţiilor (IT&C) sunt avangarda promovării sistemelor informatice totale ce sprijină toate activităţile specifice, atât pe nivelul de procesare a tranzacţiilor, cât şi pe nivelele de analiză şi management al riscului bancar/comercial şi de asistare a deciziilor.

Între obiectivele prioritare ale Camerei Auditorilor Financiari din România se înscriu, activităţile de cercetare, profesionalizarea auditorilor interni – financiari şi informatici, schimburi profesionale între practicieni şi cei care se ocupă de cercetarea din domeniul auditului intern, promovarea auditului intern ca funcţie nouă a agentului economic, cooperarea cu organismele profesionale şi instituţionale din ţară şi din străinătate.

Auditorul informatic este reprezentat de un informatician specializat în domeniul financiar-contabil. El este certificat ca auditor informatic (Certified Information Systems Auditor, CISA) de ISACA în conformitate şi cu condiţiile stabilite de Camera Auditorilor Financiari din România. Jacques Renard arată, în Teoria şi practica auditului intern, că auditorul informatician nu este un auditor care a învăţat informatică, ci reprezintă neapărat un informatician format după metodologia şi instrumentele Auditului Intern. Acest auditor informatician îşi foloseşte talentul şi competenţele în cinci direcţii fundamentale: auditul centrelor informatice, auditul biroticii, auditul reţelelor informatice, auditul sistemelor în exploatare şi al programelor informatice de aplicaţie şi auditul sistemelor în curs de dezvoltare. Acelaşi Jacques Renard, atunci când analizează funcţiile organizaţiei economice, precizează funcţia informatică a organizaţiei economice, adică o funcţie in integrum şi nu doar un instrument specific informaticii de gestiune.

Auditul informatic reprezintă o ramură distinctă a auditului. Aici se include tehnici şi metode de auditare a software, a aplicaţiilor informatice, a sistemelor informatice tradiţionale, a sistemelor informatice moderne, a aplicaţiilor mobile şi a tuturor aplicaţiilor informatice care utilizează resurse Internet.

Pe măsura creşterii complexităţii proceselor din societatea informaţională, cerinţele sistemelor informatice impun un nivel de credibilitate deosebit de ridicat pe care numai auditul informatic îl susţine cu succes.

Pe timpul planificării auditului informatic există factori care se iau, în mod obligatoriu, în considerare; aceşti factori determină modul în care auditorul abordează procesul de auditare. Auditorul va lua în considerare nivelul riscurilor generate de utilizarea sistemului informatic.

2. Realizarea auditului sistemului informatic contribuie la:

- îmbunătăţirea sistemului şi controalelor procesului;

- prevenirea şi detectarea erorilor şi a fraudelor;

- reducerea riscurilor şi îmbunătăţirea securităţii sistemului;

- planificarea pentru refacere în caz de accidente şi dezastre;

- managementul informaţiilor şi dezvoltării sistemului;

- evaluarea utilizării eficiente a resurselor.