Riscul auditării

/0 Comments/in , /by

Conform definiţiei, auditul sistemelor informaţionale are drept obiective protecţia activelor, integritatea datelor eficacitatea şi eficienţa sistemului.

De exemplu, atât auditorii interni cât şi cei externi caută să identifice care sunt pierderile materiale sau erorile din cadrul raportărilor financiare ca urmare a neregulilor descoperite în cadrul sistemului auditat. Orice afirmaţie făcută de auditor trebuie însă susţinută de probe sau dovezi. Datorită naturii testelor la care se face apel, există riscul ca CISA să eşueze în încercarea de a identifica erorile reale sau potenţiale din cadrul sistemului. Acesta este riscul auditării.

AICPA, organizaţia ce grupează auditorii externi din SUA, a elaborat în 1988 un model de calcul al riscului auditării[1]:

RA = RI * RC * RD, unde

RA= riscul auditării/de audit;

RI= riscul inenrent;

RC=riscul controlului;

RD=riscul detectării.

Acest model rămîne valabil şi în cazul auditului sistemelor informaţionale[2]. În manual de pregătire pentru examenul CISA se menţionează că auditorul de sisteme informaţionale trebuie să estimeze riscul de audit pentru a aloca în mod corespunzător resursele în timpul misiunii.

Riscul inerent reprezintă disponibilitatea unei zone supusă auditării de a conţine erori pornind de la ipoteza că nu există controale interne. Erorile pot fi materiale, individuale sau orice altă combinaţie posibilă.

De exemplu, riscul inerent asociat securităţii sistemului de operare de pe un server de baze de date este mare atît timp cît modificarea sau divulgarea datelor ca urmare a speculării eventualelor bug-uri/configurări greşite pot să aibă ca efect pierderea avatajului deţinut de organizaţie pe piaţă. Dacă în schimb discutăm de o staţie de lucru, acest risc poate fi considerat redus atît timp cît respectiva staţie nu rulează aplicaţii considerate critice pentru organizaţie.

Atât timp cât erorile potenţiale din cadrul unei singure componente a sistemului informaţional se pot propaga în întreaga organizaţie şi asupra tuturor utilizatorilor, în majoritatea sistemelor informaţionale acest risc este considerat ridicat.

În evaluarea riscului inerent, auditorul trebuie să aibă în vedere atât controalele considerate dominante[3] în zona supusă auditării cât şi pe cele de detaliu/fond[4]. Excepţie de la această abordare face situaţia în care evaluarea auditorului vizează în exclusivitate controalele dominante din cadrul sistemului. În ceea ce priveşte controalele dominate ce acţionează în zona supusă evaluării, auditorul trebuie să aibă în vedere :

  • integritatea, experienţa şi cunoştinţele conducătorilor compartimentului de specialitate;
  • schimbările intervenite la nivelul conducerii compartimentului;
  • presiunile la care sunt supuşi managerii acestui compartiment (termenele “strânse” ale proiectelor în derulare etc.);
  • domeniul de activitate al organizaţiei şi natura sistemului informaţional (planuri privind trecerea la comerţul electronic, soluţii ERP sau lipsa acestora etc);
  • factori care afectează domeniul tehnologiilor informaţionale la scară mondială (apariţia unor tehnologii noi, lipsa specialiştilor care să deţină noile cunoştinţe);
  • gradul de influenţă al terţilor asupra controalelor (outsourcing, accesarea directă a sistemului de către clienţi/terţi);
  • disponibilitatea informaţiilor din auditările precedente.

La nivelul controalelor detaliate/de fond, auditorul trebuie să ţină cont de :

  • complexitatea sistemului;
  • nivelul intervenţiilor manuale în sistem;
  • disponibilitatea la pierderi sau furt a componentelor controlate de către sistem (evidenţa stocurilor, salarizarea);
  • apariţia perioadelor de vârf în timpul auditării (închiderile de lună).

Riscul controlului reprezintă riscul ca o eroare care poate să apară în zona supusă auditării să nu fie prevenită sau detectată şi corectată de către sistemul de control intern într-o perioadă rezonabilă de timp.

De exemplu, riscul pe care îl implică revizia manuală a jurnalelor sau a tabelelor de audit realizate de un server Oracle va fi considerat mare datorită volumului mare de informaţii înmagazinate în aceste jurnale şi a uşurinţei cu care se greşeşte în aceste situaţii. Pe de altă parte riscul controlului asociat procedurilor formalizate de validare a datelor este considerat redus datorită continuităţii acestui control şi a testelor efectuate anterior dării în exploatare a aplicaţiei.

Auditorul va atribui cel mai mare nivel riscului controlului cu excepţia situaţiilor în care:

  • au fost identificate controale interne relevante;
  • aceste controale au fost evaluate ca fiind în funcţiune;
  • controalele au fost testate şi s-a dovedit că funcţionează în mod corespunzător.

 Riscul detecţiei reprezintă riscul ca un test independent/de fond efectuat de către auditor să nu detecteze o eroare care există în zona supusă auditării.

De exemplu, riscul detecţiei asociat identificării punctelor slabe ale securităţii unei aplicaţii va fi mare atât timp cât logurile/jurnalele pentru întreaga perioadă supusă auditării nu vor fi disponibile în totalitate în momentul efectuării verificării. Pe de altă parte, riscul detecţiei asociat identificării existenţei unui plan de refacere în caz de dezastre, va fi considerat redus atât timp cât existenţa acestui document este uşor de verificat.

Pentru a determina numărul testelor independente/de fond care trebuie efectuate, auditorul trebuie să ţină cont de:

  • nivelul la care a fost evaluat riscul inerent;
  • concluziile la care a ajuns în urma efectuării testelor de conformitate.

Aici mai intervine şi riscul eşantionării/noneşantionării. Riscul auditului este invers proporţional cu ceea ce statistica definişte ca fiind gradul de încredere. Un risc de acceptare incorectă de 5% este echivalent cu a spune că a fost asociat un grad de încredere de 95%. Altfel spus, ca auditor pot afirma că sunt 95% sigur că eşantionul analizat reprezintă populaţia sau că există o şansă de 5% ca eşantionul să nu reprezinte populaţia.

În concluzie, putem spune că, dacă riscul inerent şi riscul controlului au fost evaluate la un nivel mare, atunci auditorul trebuie să obţină cât mai multe probe prin efectuarea testelor independente/de fond!

[1] Accounting Principles and Auditing Standards

[2] IS Audit Guidelines – www.isaca.org/ Standards & Guidelines

[3] Controalele dominate sunt controalele generale, proiectate cu scopul de a administra şi a monitoriza sistemul informaţional şi care afectează toate activităţile acestuia

[4 ]Controalele detaliate sunt controalele efectuate asupra achiziţiei/dezvoltării, implementării şi întreţinerii sistemului informaţional. În componenţa lor intră controalele aplicaţiilor şi controalele generale care nu sunt considerate dominante.

You might also like
Extindere termen limită de înregistrare pentru examenele CISA, CISM, CGEIT și CRISC
Scurt Sumar - AGM ISACA Romania 2011
ITAF - IT Assurance Framework
Noul "CISM 2012 Job Practice"
Despre ISACA
ISACA Journal este disponibil electronic pe Android şi iOS
Adunarea Generală a Membrilor, ISACA România 2012
Cursuri ISACA în România - Noiembrie 2011
0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply