Riscul auditării

/ 27 ianuarie 2010

Postările anterioare au încercat să clarifice conceptele folosite, mai ales pentru cei aflaţi la început de drum.

Conform definiţiei, auditul sistemelor informaţionale are drept obiective protecţia activelor, integritatea datelor eficacitatea şi eficienţa sistemului.

De exemplu, atît auditorii interni cît şi cei externi caută să identifice care sunt pierderile materiale sau erorile din cadrul raportărilor financiare ca urmare a neregulilor descoperite în cadrul sistemului auditat. Orice afirmaţie făcută de auditor trebuie însă susţinută de probe sau dovezi.

Datorită naturii testelor la care se face apel, există riscul ca CISA să eşueze în încercarea lor de a identifica erorile reale sau potenţiale din cadrul sistemului. Acesta este riscul auditării.

AICPA, organizaţia ce grupează auditorii externi de pe noul continent, a elaborat în 1988 un model de calcul al riscului auditării[1]:

RA = RI * RC * RD, unde

RA= riscul auditării;

RI= riscul inenrent

RC=riscul controlului

RD=riscul detectării

 

Acest model rămîne valabil şi în cazul auditului sistemelor informaţionale[2]. Şi se spune la carte că CISA trebuie să estimeze RA pentru a aloca în mod corespunzător resursele în timpul misiunii.

Riscul inerent reprezintă disponibilitatea unei zone supusă auditării de a conţine erori pornind de la ipoteza că nu există controale interne. Erorile pot fi materiale, individuale sau orice altă combinaţie posibilă.

De exemplu, riscul inerent asociat securităţii sistemului de operare de pe un server de baze de date este mare atît timp cît modificarea sau divulgarea datelor ca urmare a speculării eventualelor bug-uri/configurări greşite pot să aibă ca efect pierderea avatajului deţinut de firmă pe piaţă. Dacă în schimb discutăm de o staţie de lucru, acest risc poate fi considerat redus atît timp cît respectiva staţie nu rulează aplicaţii considerate critice pentru organizaţie.

Atît timp cît erorile potenţiale din cadrul unei singure componente a sistemului informaţional se pot propaga în întreaga firmă şi asupra tuturor utilizatorilor, în majoritatea sistemelor informaţionale acest risc este considerat ridicat.

În evaluarea riscului inerent, auditorul trebuie să aibă în vedere atît controalele considerate dominante[3] în zona supusă auditării cît şi pe cele de detaliu/fond[4]. Excepţie de la această abordare face situaţia în care evaluarea auditorului vizează în exclusivitate controalele dominante din cadrul sistemului.

În ceea ce priveşte controalele dominate ce acţionează în zona supusă evaluării, auditorul trebuie să aibă în vedere :

  • integritatea, experienţa şi cunoştinţele conducătorilor compartimentului de specialitate;
  • schimbările intervenite la nivelul conducerii compartimentului
  • presiunile la care sînt supuşi managerii acestui compartiment (termenele “strînse” ale proiectelor în derulare etc.)
  • domeniul de activitate al firmei şi natura sistemului informaţional (planuri privind trecerea la comerţul electronic, soluţii ERP sau lipsa acestora etc).
  • factori care afectează domeniul tehnologiilor informaţionale la scară mondială (apariţia unor tehnologii noi, lipsa specialiştilor care să deţină noile cunoştinţe)
  • gradul de influenţă al terţilor asupra controalelor (outsourcing, accesarea directă a sistemului de către clienţi)
  • disponibilitatea informaţiilor din auditările precedente.

La nivelul controalelor detaliate/de fond, auditorul trebuie să ţină cont de :

  • complexitatea sistemului;
  • nivelul intervenţiilor manuale în sistem;
  • disponibilitatea la pierderi sau furt a componentelor controlate de către sistem (evidenţa stocurilor, salarizarea)
  • apariţia perioadelor de vîrf în timpul auditării (închiderile de lună);

Riscul controlului reprezintă riscul ca o eroare care poate să apară în zona supusă auditării să nu fie prevenită sau detectată şi corectată de către sistemul de control intern într-o perioadă rezonabilă de timp.

De exemplu, riscul pe care îl implică revizia manuală a logurilor sau a tabelelor de audit realizate de un server Oracle va fi considerat mare datorită volumului mare de informaţii înmagazinate în aceste jurnale şi a uşurinţei cu care se greşeşte în aceste situaţii. Pe de altă parte riscul controlului asociat procedurilor informatizate de validare a datelor este considerat redus datorită continuităţii acestui control şi a testelor efectuate anterior dării în exploatare a aplicaţiei.

Auditorul va atribui cel mai mare nivel riscului controlului cu excepţia situaţiilor în care:

  • au fost identificate controale interne relevante;
  • aceste controale au fost evaluate ca fiind în funcţiune
  • controalele au fost testate şi s-a dovedit că funcţionează în mod corespunzător.

Riscul detecţiei reprezintă riscul ca un test independent/de fond efectuat de către auditor să nu detecteze o eroare care există în zona supusă auditării.

De exemplu, riscul detecţiei asociat identificării punctelor slabe ale securităţii unei aplicaţii va fi mare atît timp cît logurile/jurnalele pentru întreaga perioadă supusă auditării nu vor fi disponibile în totalitate în momentul efectuării verificării. Pe de altă parte, riscul detecţiei asociat identificării existenţei unui plan de refacere în caz de dezastre, va fi considerat redus atît timp cît existenta acestui document este uşor de verificat.

Pentru a determina numărul testelor idependente/de fond pe care trebuie să le efectueze, auditorul trebuie să ţină cont de:

  • nivelul la care a fost evaluat riscul inerent;
  • concluziile la care a ajuns în urma efectuării testelor de conformitate.

Aici mai intervine şi riscul eşantionării/noneşantionării, dar despre subiectul acesta cu altă ocazie.

În concluzie, putem spune că, dacă riscul inerent şi riscul controlului au fost evaluate la un nivel mare, atunci auditorul trebuie să obţină cît mai multe probe prin efectuarea testelor independente/de fond!

Se observă că riscul auditului este invers proporţional cu ceea ce statistica definişte ca fiind gradul de încredere. Un risc de acceptare incorectă de 5% este echivalent cu a spune că a fost asociat un grad de încredere de 95%. Altfel spus, ca auditor pot afirma că sînt 95% sigur că eşantionul analizat reprezintă populaţia sau că există o şansă de 5% ca eşantionul să nu reprezinte populaţia.

[1] Accounting Principles and Auditing Standards

[2] IS Audit Guidelines – www.isaca.org/ Standards & Guidelines

[3] Controalele dominate sînt controalele generale, proiectate cu scopul de a administra şi a monitoriza sistemul informaţional şi care afectează toate activităţile acestuia

[4 ]Controalele detaliate sînt controalele efectuate asupra achiziţiei/dezvoltării, implementării şi întreţinerii sistemului informaţional. În componenţa lor intră controalele aplicaţiilor şi controalele generale care nu sînt considerate dominante.

Articole similare

Un gând despre “Riscul auditării

  1. Pingback: Proceduri agreate sau audit? « ADRIAN MUNTEANU

Mulţumesc.

Completează mai jos detaliile cerute sau dă clic pe un icon pentru a te autentifica:

Gravatar
Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Anulează

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.