joi, 14 aprilie 2005
Ordin nr.39 din 14.04.2005 cu privire la aprobarea şi punerea în aplicare a Regulamentului privind practica de audit
Printează Descarcă
- +

O R D I N

cu privire la aprobarea şi punerea în aplicare a

Regulamentului privind practica de audit

 

nr. 39  din  14.04.2005

 

Monitorul Oficial al R.Moldova nr.62-64/218 din 22.04.2005

 

* * *

Abrogat: 24.08.2012

Ordinul Ministerului Finanţelor nr.64 din 14.06.2012

 

Întru executarea prevederilor art.7(5) al Legii Republicii Moldova "Cu privire la activitatea de audit" nr.729-XIII din 15 februarie 1996,

ORDON:

1. Se aprobă Regulamentul privind practica de audit (RPPA) 1002 "Auditul în mediul sistemelor informaţionale computerizate - sisteme computerizate ce activează în regim de timp real".

2. În varianta rusă a Standardului Naţional de Audit 120 "Baze conceptuale ale Standardelor Naţionale de Audit" denumirea RPPA 1002 se va expune în următoarea redacţie "Аудит в среде инфoрмациoнных кoмпьютерных систем-кoмпьютерные системы, рабoтающие в режиме реальногo времени".

3. Se pune în aplicare pe teritoriul Republicii Moldova RPPA 1002 "Auditul în mediul sistemelor informaţionale computerizate - sisteme computerizate ce activează în regim de timp real" pentru auditul rapoartelor financiare ce cuprind perioadele începînd cu 1 ianuarie 2006.

 

MINISTRUL FINANŢELORZinaida GRECIANÎI

Chişinău, 14 aprilie 2005.
Nr.39.

 

Introducere

1. Prezentul Regulament privind practica de audit este elaborat în baza Regulamentului internaţional privind practica de audit 1002 "Auditul în mediul sistemelor informaţionale computerizate - sisteme computerizate ce activează în regim de timp real" (IAPS 1002 - "CIS Environments - On-line Computer Systems") aprobat de Federaţia Internaţională a Contabililor (IFAC) în redacţia anului 2001.

 

Obiectiv

2. Obiectivul prezentului Regulament constă în oferirea unei asistenţe auditorilor la aplicarea Standardelor Naţionale de Audit într-un mediu unde se utilizează sistemele computerizate ce activează în regim de timp real (regim on-line), pentru a obţine informaţii necesare pentru întocmirea rapoartelor financiare ale agentului economic. Auditorul trebuie să determine măsura corespunderii procedurilor de audit descrise în prezentul Regulament cerinţelor SNA, ţinînd cont de specificul agentului economic. Auditorul examinează particularităţile mediului tehnologiilor informaţionale deoarece mediul respectiv, la rîndul său, influenţează asupra organizării sistemului contabil şi asupra formelor corespunzătoare de control intern. Mediul tehnologiilor informaţionale poate influenţa, de asemenea, asupra planului general de audit, inclusiv selectarea formelor de control intern pe care auditorul poate să se bazeze, precum şi asupra caracterului, momentului de exercitare şi volumului procedurilor de audit. Prezentul Regulament descrie influenţa sistemelor computerizate ce activează în regim on-line asupra sistemului contabil şi asupra formelor de control intern conexe, precum şi asupra procedurilor de audit.

 

Sisteme computerizate ce activează în regim on-line

3. Sistemele computerizate ce activează în regim on-line reprezintă sisteme computerizate care permit utilizatorilor să acceseze date şi programe direct prin terminale*. Astfel de sisteme pot conţine maşini universale de calcul, minicomputere sau computere personale, conectate la reţea. Cînd agentul economic utilizează un sistem computerizat ce activează în regim on-line, tehnologiile folosite pot fi destul de complicate şi pot avea legătură cu planurile strategice de afaceri ale agentului economic. Auditorul poate avea nevoie de abilităţi speciale în domeniul tehnologiilor informaţionale, pentru întocmirea solicitărilor şi analiza răspunsurilor primite la astfel de solicitări. Auditorul poate examina necesitatea utilizării lucrărilor unui expert (vezi SNA 620 "Utilizarea lucrărilor expertului").

_____________

* Echipament care permite introducerea datelor şi citirea rezultatelor la computer.

 

4. Sistemele computerizate ce activează în regim on-line, permit utilizatorilor să iniţieze în mod direct diferite acţiuni, cum ar fi:

• introducerea tranzacţiilor (de exemplu, a operaţiunilor de vînzare cu amănuntul, retragere a mijloacelor băneşti din contul bancar şi transportare a mărfurilor la fabrică);

• solicitarea informaţiilor (de exemplu, cu privire la starea contului clientului sau soldul contului);

• solicitarea rapoartelor (de exemplu, lista stocurilor de mărfuri şi materiale, la care cantitatea unităţilor în depozit este egală cu zero);

• actualizarea bazei de date (de exemplu, crearea conturilor noi pentru clienţi şi modificarea codurilor conturilor în cartea mare); şi

• comerţul electronic (de exemplu, înregistrarea comenzilor şi achitarea mărfurilor prin Internet).

5. Sistemele computerizate ce activează în regim on-line utilizează diferite tipuri de dispozitive terminale. Funcţiile pe care acestea le exercită pot varia esenţial şi depind de capacităţile lor logice, potenţialul de transmitere a datelor, păstrare a informaţiilor şi de capacitatea procesării generale a informaţiilor. Se evidenţiază următoarele tipuri de terminale:

(a) Terminale cu scop general, cum ar fi:

Sistem simplu, compus din tastatură şi ecran - se utilizează pentru introducerea datelor, fără validarea lor în cadrul terminalului, precum şi pentru afişarea pe ecran a datelor din sistemul computerizat. De exemplu, la introducerea unei comenzi de cumpărare a mărfurilor primită de la client, computerul de bază validează codul mărfii şi rezultatul validării se afişează pe ecranul terminalului.

Terminal inteligent - execută funcţiile sistemului simplu cu funcţii suplimentare, cum ar fi validarea informaţiilor în cadrul terminalului, păstrarea jurnalelor tranzacţiilor, precum şi alte funcţii de procesare a informaţiilor în cadrul terminalului. În exemplul menţionat mai sus, aferent introducerii comenzii de cumpărare, terminalul inteligent verifică corectitudinea numărului de caractere din codul produsului, iar computerul de bază verifică existenţa codului mărfii în fişierul principal.

Computere personale - execută toate funcţiile terminalului inteligent cu capacităţi suplimentare de procesare şi păstrare a informaţiilor. În continuarea exemplului de mai sus: computerul personal poate executa o verificare totală a codului mărfii.

(b) Terminale cu scop special, cum ar fi:

Terminal de casă - se utilizează pentru înregistrarea operaţiunilor de vînzare pe măsura efectuării lor şi transmiterea datelor la computerul de bază. Aparatele de casă, dispozitivele optice de scanare utilizate în comerţul cu amănuntul reprezintă terminale de casă tipice.

Bancomat - se utilizează pentru iniţierea, validarea, reflectarea, transmiterea şi finalizarea diferitor operaţiuni bancare. În funcţie de proiectarea sistemului, unele dintre aceste funcţii sînt executate de bancomat, iar altele - de computerul de bază în regim on-line.

Dispozitiv portativ fără cablu pentru introducerea datelor la distanţă.

Sisteme de înregistrare a comenzilor verbale - se utilizează pentru asigurarea interacţiunii utilizatorului cu computerul prin intermediul unei reţele de telecomunicaţii bazate pe instrucţiuni verbale generate de computer. Clientul transmite informaţia utilizînd dispozitivul de generare a sunetului, care de obicei este tastatura de pe panoul telefonului cumpărătorului. Exemple de cele mai răspîndite domenii de aplicare a astfel de terminale sînt serviciile bancare prin telefon şi sistemul de achitare a facturilor prin telefon.

6. Terminalele pot fi amplasate atît local, cît şi la distanţă. Terminalele amplasate local se conectează direct la computer cu ajutorul cablurilor, iar terminalele amplasate la distanţă necesită prezenţa telecomunicaţiilor pentru conectare la computer. Însă, în unele cazuri şi terminalele locale pot fi conectate utilizînd telecomunicaţiile sau legăturile de comunicaţie fără cablu. Acces la dispozitivele terminale pot avea în acelaşi timp mai mulţi utilizatori care se află în locuri diferite şi care utilizează terminalele în diferite scopuri. Utilizatorii, cum ar fi cumpărătorii şi furnizorii, se pot afla atît la întreprindere cît şi în afara acesteia. În asemenea cazuri, software-ul* şi informaţia se păstrează în regim on-line pentru a satisface necesităţile utilizatorilor. Astfel de sisteme necesită prezenţa software-urilor suplimentare, de exemplu, software-ul privind controlul asupra accesului şi software-ul privind monitorizarea terminalelor ce activează în regim on-line.

_____________

* Sistem de programe pentru computer.

 

7. Schimbul sporit de resurse de sistem prin utilizarea reţelelor locale şi globale a condus la sporirea unei procesări "divizate" a informaţiilor în regim on-line. Sistemele "client-server" au condus spre divizarea programelor aplicative, astfel încît procesarea poate fi efectuată la cîteva computere concomitent. La aplicarea sistemului "client - server" informaţia se procesează atît pe server cît şi la computerul clientului.

8. Angajaţii, partenerii de afaceri, clienţii şi terţele părţi pot obţine acces la programele aplicative corespunzătoare ale agentului economic ce activează în regim on-line cu ajutorul reţelei Internet, precum şi prin utilizarea altor servicii ce asigură accesul la distanţă. Părţile externe pot avea acces la programele aplicative ale agentului economic cu ajutorul schimbului electronic de date sau alte aplicaţii ale comerţului electronic.

9. Adiţional utilizatorilor acestor sisteme, programatorii pot utiliza posibilităţile activităţii în regim on-line pentru elaborarea programelor noi, precum şi pentru întreţinerea şi deservirea programelor existente. Personalul furnizorului de programe poate avea, de asemenea, acces la programele în regim on-line pentru a oferi servicii de întreţinere şi deservire.

 

Tipuri de sisteme computerizate ce activează în regim on-line

10. Sistemele computerizate ce activează în regim on-line pot fi clasificate în funcţie de modul introducerii informaţiei în sistem, modul procesării acesteia şi momentul în care rezultatele sînt prezentate utilizatorului. În scopurile prezentului Regulament, funcţiile sistemelor computerizate ce activează în regim on-line se clasifică după cum urmează:

(a) procesarea în regim on-line;

(b) procesarea în grup a datelor în regim on-line;

(c) actualizarea înregistrărilor în regim on-line (cu procesarea ulterioară);

(d) solicitarea în regim on-line; şi

(e) primirea/introducerea datelor în regim on-line.

Procesarea în regim on-line

11. Într-un sistem de procesare a informaţiei în regim on-line, tranzacţiile individuale se introduc prin utilizarea terminalelor, se validează şi utilizează pentru actualizarea imediată a fişierelor corespunzătoare din computer. În calitate de exemplu serveşte înregistrarea încasărilor la contul bancar al clientului. Rezultatele unei astfel de procesări devin imediat disponibile pentru răspunsurile la solicitări sau pentru întocmirea rapoartelor.

Procesarea în grup a datelor în regim on-line

12. Într-un sistem care prevede introducerea datelor în regim on-line şi procesarea lor în grup, tranzacţiile individuale se introduc prin utilizarea terminalelor, se validează şi se adaugă la fişierul de tranzacţii care conţine şi alte operaţiuni introduse pe parcursul unei perioade de timp determinat. Mai tîrziu, în decursul următorului ciclu de procesare, fişierul de tranzacţii se validează suplimentar şi apoi se utilizează pentru actualizarea fişierului principal corespunzător. De exemplu, înregistrările contabile pot fi introduse în jurnal, validate în regim on-line şi păstrate în fişierul de tranzacţii, iar actualizarea cărţii mari poate fi efectuată lunar. Răspunsurile la solicitări, precum şi rapoartele generate de fişierele principale nu vor conţine tranzacţii introduse după actualizarea fişierului principal.

Actualizarea înregistrărilor în regim on-line (cu procesarea ulterioară)

13. Introducerea şi actualizarea înregistrărilor în regim on-line, de asemenea cunoscută ca actualizare-umbră, combină procesarea şi procesarea în grup a datelor în regim on-line. Fiecare tranzacţie actualizează imediat un fişier etalon ce conţine informaţia primită din cea mai recentă versiune a fişierului principal. Validarea şi actualizarea se efectuează asupra unui grup de tranzacţii similare. Astfel de tranzacţii similare se acumulează în grupuri într-un fişier de tranzacţii în scopul validării ulterioare şi actualizării fişierului principal. De exemplu, retragerea mijloacelor băneşti din cont prin intermediul bancomatelor se verifică cu informaţia privind soldul mijloacelor băneşti la contul clientului, conţinută în fişierul etalon şi apoi se reflectă imediat ca micşorare a soldului la contul clientului în acelaşi fişier. Din punctul de vedere al utilizatorului, acest sistem nu diferă cu nimic de sistemul de procesare a datelor în regim on-line, deoarece rezultatul datelor introduse este imediat disponibil. Totuşi, tranzacţiile la momentul producerii lor, nu se supun validării complete în scopul actualizării fişierului principal (care se efectuează mai tîrziu).

Solicitare în regim on-line

14. Solicitarea în regim on-line se caracterizează prin limitări aplicate utilizatorilor terminalelor exclusiv la efectuarea solicitărilor din fişierele principale (fără posibilitatea exercitării altor tranzacţii cu fişierele principale). În asemenea sisteme, fişierele principale se actualizează cu ajutorul altor sisteme, de obicei pe baza procesării în grup. De exemplu, utilizatorul poate solicita din fişierul principal informaţia privind solvabilitatea unui anumit client, înainte de acceptarea comenzii de clientul respectiv, însă nu poate introduce modificări în fişierul principal.

Primirea/introducerea datelor în regim on-line

15. Primirea datelor în regim on-line reprezintă transmiterea informaţiei dintr-un fişier principal către un terminal inteligent pentru procesarea ulterioară de către utilizator. În calitate de exemplu serveşte transmiterea datelor privind tranzacţiile unei filiale din oficiul central al agentului economic la terminalul filialei pentru procesarea ulterioară şi pregătirea rapoartelor financiare ale filialei. Rezultatele unei asemenea procesări şi alte informaţii, procesată local (în cadrul filialei), poate fi ulterior introdusă în computerul oficiului central.

 

Caracteristicile sistemelor computerizate ce activează în regim on-line

16. Caracteristicile sistemelor computerizate ce activează în regim on-line pot fi specifice diferitor tipuri de sisteme ce activează în regim on-line, menţionate mai sus. Cele mai importante caracteristici sînt:

• introducerea şi validarea datelor în regim on-line;

• accesul utilizatorilor la sistem în regim on-line;

• lipsa posibilă a unei dovezi evidente de efectuare a tranzacţiei; şi

• accesul posibil la sistem al persoanelor care nu sînt utilizatori, inclusiv al programatorilor şi persoanelor terţe (de exemplu, prin intermediul poştei electronice şi Internetului).

Caracteristicile specifice ale sistemelor ce activează în regim on-line depind de proiectarea fiecărui sistem.

17. La introducerea datelor în regim on-line, acestea, de regulă, se supun unei validări imediate. Datele care nu au fost validate nu sînt acceptate de sistem şi pe ecranul terminalului este afişat un mesaj special, oferind utilizatorului posibilitatea de a corecta datele şi de a introduce imediat datele corectate. De exemplu, dacă utilizatorul introduce un număr de inventar incorect, pe ecran se afişează un mesaj de eroare ce oferă utilizatorului posibilitatea de a introduce numărul corect.

18. Utilizatorii pot avea acces la sistemul în regim on-line, fapt care le permite executarea diferitor funcţii (de exemplu, introducerea informaţiei despre tranzacţii, precum şi citirea, corectarea sau ştergerea programelor şi fişierelor de date nemijlocit din terminal). Accesul nelimitat la toate aceste funcţii în cadrul unui program aplicativ nu este binevenit, deoarece oferă utilizatorului posibilitatea de a introduce modificări neautorizate ale programelor şi datelor. Accesul nelimitat înlătură divizarea responsabilităţilor şi permite utilizatorilor accesul la toate etapele de procesare şi reflectare a tranzacţiei. Măsura accesului depinde de modul de proiectare a unui program aplicativ concret, precum şi de implementarea unui software care exercită controlul asupra accesului la sistem.

19. Sistemul computerizat ce activează în regim on-line poate fi elaborat în aşa mod, încît să nu ofere documente justificative pentru toate tranzacţiile introduse în sistem. Asemenea sistem trebuie să fie capabil să ofere informaţii detaliate aferente tranzacţiilor, ca răspuns la solicitare sau în baza registrului tranzacţiilor generat de sistem, sau prin alte metode. Ca exemple de astfel de sisteme servesc comenzile primite de un operator telefonic care le introduce în sistem în regim on-line, fără perfectarea în scris a comenzii, precum şi retragerea numerarului din bancomate.

20. Programatorii pot avea acces la un sistem în regim on-line în scopul elaborării noilor programe şi modificării programelor existente. Accesul nelimitat oferă programatorilor posibilitatea de a efectua modificări neautorizate în programe, precum şi de a obţine acces neautorizat la alte părţi ale sistemului, fapt care reprezintă o deficienţă semnificativă a sistemului de control intern. Măsura accesului depinde de cerinţele sistemului. De exemplu, în unele sisteme programatorii au acces numai la programele păstrate într-o bibliotecă separată de elaborare şi administrare a soft-ului. Cu toate acestea, programatorii pot fi autorizaţi să modifice programele operaţionale în cazuri excepţionale în care sînt necesare modificări ale programelor în regim on-line. În asemenea situaţii, după soluţionarea cazului excepţional trebuie să fie respectate procedurile formale de control care asigură autorizarea corespunzătoare şi documentarea adecvată a modificărilor efectuate.

 

Controlul intern într-un sistem computerizat ce activează în regim on-line

21. Programele aplicative ce activează în regim on-line sînt expuse unui risc al accesului şi actualizării neautorizate. Infrastructura de securitate a agentului economic deţine un rol important în asigurarea integrităţii şi siguranţei informaţiei generate. De aceea, auditorul urmează să examineze infrastructura de securitate pînă a începe testarea controalelor generale şi controalelor asupra software-ului. La agentul economic poate apărea necesitatea stabilirii formei generale de control adecvate pentru a reduce riscurile aferente viruşilor de computer, accesul neautorizat şi distrugerea posibilă a urmăririi tranzacţiilor. Astfel, controlul accesului este foarte important pentru sistemele ce activează în regim on-line.

22. Asemenea forme de control pot include utilizarea parolelor şi a unui software specializat pentru controlul asupra accesului, cum ar fi monitoarele ce activează în regim on-line, care menţin controlul asupra meniului, tabelelor de autorizare, parolelor, fişierelor şi programelor, la care este permis accesul utilizatorilor. Acestea, de asemenea, pot include forme fizice de control, cum ar fi utilizarea lacătelor la dispozitivele terminale, încăperi care se închid pentru amplasarea computerelor şi blocarea computerelor la expirarea timpului stabilit.

Alte aspecte importante ale controlului într-un sistem computerizat ce activează în regim on-line includ:

controale asupra parolelor: procedură de desemnare şi menţinere a parolelor pentru permiterea accesului utilizatorilor autorizaţi;

sistem de elaborare şi menţinere a controalelor: un sistem de proceduri suplimentare care asigură că controalele esenţiale ale software-urilor ce activează în regim on-line, cum ar fi parolele, controalele accesului, validarea datelor în regim on-line şi procedurile de restabilire, sînt incluse în sistem la momentul elaborării şi menţinerii sale; controalele, de asemenea, asigură că modificările la sisteme funcţionează după cum au fost planificate şi sînt executate corect;

controalele de programare;

înregistrarea tranzacţiilor; şi

firewall-uri (mijloace programate pentru protecţia între reţele).

23. Unele controale asupra software-ului sînt deosebit de importante pentru procesarea informaţiei în regim on-line. Astfel de forme de control sînt:

Autorizarea procesării primare. Autorizarea iniţierii tranzacţiei, de exemplu, utilizarea cardului bancar împreună cu utilizarea numărului de identificare înainte de retragerea numerarului din bancomat.

Redactarea, rezonabilitatea şi alte teste de control al terminalelor. Tranzacţia programată care verifică datele introduse şi rezultatele procesării în ce priveşte plenitudinea, exactitatea şi rezonabilitatea acestora. Acest program include verificarea consecutivităţii, restricţiei, clasificării şi rezonabilităţii şi poate fi instalată pe un terminal inteligent sau pe computerul central.

Depistarea şi înlăturarea erorilor din intrări. Aceste proceduri de control asigură faptul că toate erorile din intrări sînt la timp depistate, identificate, înlăturate şi transmise din nou spre procesare. Procedurile respective includ atît control manual cît şi programe automatizate.

Proceduri de control al oportunităţii. Aceste proceduri de control asigură faptul că tranzacţiile sînt procesate în perioada de gestiune la care ele se atribuie. Acestea sînt în mod special necesare în sistemele cu un flux continuu al tranzacţiilor. De exemplu, în sistemul ce activează în regim on-line cu terminale amplasate în locuri diferite, utilizate pentru reflectarea comenzilor de vînzare şi expediere, este necesar de a coordona expedierea reală a mărfurilor, eliberarea mărfurilor şi procesarea facturilor.

Controlul fişierelor. Aceste proceduri de control asigură faptul că pentru procesarea în regim on-line sînt folosite fişierele corecte de date.

Controlul asupra fişierului principal. Modificările fişierului principal sînt controlate prin proceduri similare procedurilor utilizate pentru controlul tranzacţiilor introduse. Deoarece datele din fişierul principal pot influenţa semnificativ asupra rezultatelor procesării, este necesară o aplicare mai riguroasă a acestor controale.

Echilibrarea. Proces de stabilire a controlului asupra datelor de totalizare prezentate pentru procesare prin dispozitivele terminale ce activează în regim on-line şi compararea totalurilor în timpul şi după procesare pentru asigurarea transmiterii corecte a datelor în volum complet la fiecare etapă de procesare. Aceste controale de echilibrare sînt importante pentru controlul plenitudinii şi exactităţii într-un mediu de procesare a informaţiei în regim on-line. Unde este posibil acestea trebuie incluse în programele automatizate.

Formele de control pot fi stabilite cu ajutorul unei funcţii independente care, în general:

(a) primeşte toată informaţia pentru procesare;

(b) asigură autorizarea şi reflectarea informaţiei totale;

(c) studiază erorile, identificate în timpul procesării;

(d) verifică distribuirea adecvată a rezultatelor procesării; şi

(e) limitează accesul fizic la software şi informaţii.

Controalele particulare sînt necesare pentru controlul fişierului principal şi informaţiilor.

 

Influenţa sistemelor computerizate ce activează în regim on-line asupra

sistemului contabil şi a formelor corespunzătoare de control intern

24. Influenţa sistemelor computerizate ce activează în regim on-line asupra sistemului contabil şi riscurile asociate depinde de:

(a) măsura în care sistemul ce activează în regim on-line este utilizat pentru interacţiunea cu software-ul de contabilitate;

(b) tipul şi importanţa tranzacţiilor financiare procesate; şi

(c) caracteristicile fişierelor şi programelor utilizate de software.

Infrastructura de securitate a agentului economic deţine un rol important în controlul asupra riscurilor legate de utilizarea sistemelor ce activează în regim on-line.

25. Factorii specificaţi în continuare pot reduce riscul erorilor apărute în rezultatul utilizării de către agentul economic a sistemelor ce activează în regim on-line:

• Reflectarea informaţiei la momentul efectuării tranzacţiei reduce riscul nereflectării tranzacţiei.

• Corectarea imediată şi reintroducerea tranzacţiilor introduse incorect reduce riscul că aceste tranzacţii nu vor fi corectate şi prezentate imediat pentru procesare.

• Introducerea datelor de către angajaţii care înţeleg natura tranzacţiei este mai puţin supusă riscului de eroare, decît introducerea efectuată de către angajaţii, care nu cunosc natura tranzacţiei.

• Procesarea tranzacţiilor imediat după introducere reduce riscul ca acestea să nu fie procesate în perioada corespunzătoare de gestiune.

• Identificarea şi autorizarea tranzacţiilor la momentul efectuării reduce riscul însuşirii drepturilor, accesului neautorizat sau manipulării informaţiei.

26. Riscul de apariţie a erorilor în sistemele ce activează în regim on-line poate creşte în rezultatul următorilor factori:

• Amplasarea terminalelor în toată întreprinderea sporeşte posibilitatea folosirii neautorizate a acestora şi introducerii unor tranzacţii neautorizate.

• Terminalele ce activează în regim on-line pot oferi posibilitatea utilizării neautorizate prin intermediul:

- modificării tranzacţiilor introduse anterior sau soldurilor conturilor;

- modificării programelor pentru computer; sau

- accesului la informaţii şi programe de la distanţă.

• Dacă procesarea în regim on-line este întreruptă, dintr-un motiv oarecare, de exemplu, din cauza defectelor în telecomunicaţii, există posibilitatea pierderii tranzacţiilor şi fişierelor, precum şi a faptului că informaţia recuperată nu poate fi exactă şi completă.

• Accesul în regim on-line la informaţii şi programe prin telecomunicaţii poate oferi posibilitatea accesului neautorizat. Organizaţiile care utilizează conexiuni prin intermediul Internetului trebuie să stabilească anumite forme de control, cum ar fi firewall-ul, în scopul administrării riscurilor accesului neautorizat la programe şi informaţii.

• Aplicarea sistemelor de vînzări prin Internet şi schimb electronic de informaţii, pentru schimbul documentelor între două organizaţii, limitează posibilităţile tradiţionale de a urmări înregistrarea tranzacţiilor prin intermediul suporturilor de hîrtie (documentelor), inclusiv facturile şi comenzile de procurare a mărfurilor.

27. Caracteristicile sistemelor computerizate ce activează în regim on-line menţionate mai sus influenţează asupra eficienţei formelor de control implementate în sistemele computerizate ce activează în regim on-line. Asemenea caracteristici pot avea următoarele consecinţe:

(a) lipsa documentelor tipărite, care confirmă tranzacţiile introduse;

(b) prezentarea rezultatelor procesării datelor în formă de totaluri; de exemplu, numai totalurile din dispozitivele separate folosite pentru introducerea informaţiei pot fi utilizate pentru procesarea ulterioară;

(c) modul de proiectare a sistemelor computerizate ce activează în regim on-line poate să nu prevadă tipărirea rapoartelor; de exemplu, rapoartele pot fi înlocuite de mesaje afişate pe ecranul terminalului;

(d) sistemele computerizate care utilizează procesarea în regim on-line creează auditorilor anumite dificultăţi, deoarece poate fi dificil de determinat perioada de reflectare a tranzacţiei. De asemenea, poate fi dificil de a stopa procesarea informaţiei în regim on-line pentru a obţine copiile fişierelor cu date sau de a întocmi rapoarte la sfîrşitul perioadei de gestiune; şi

(e) în cazul în care sistemele ce activează în regim on-line trebuie reconstituite, este dificil de a asigura plenitudinea informaţiei restabilite şi, fapt deosebit de important, restabilirea tuturor interfeţelor sistemelor şi domeniilor informaţiei la momentul iniţierii procedurii.

 

Influenţa sistemelor computerizate ce activează în regim on-line

asupra procedurilor de audit

28. De regulă, într-un sistem computerizat ce activează în regim on-line bine elaborat şi controlat, auditorul testează controalele generale şi controalele software-lor. Dacă formele de control respective sînt apreciate ca fiind satisfăcătoare, auditorul se va baza într-o măsură mai mare pe eficacitatea controlului intern al sistemului la determinarea caracterului, momentului de exercitare şi volumului procedurilor de audit. Luînd în considerare caracteristicile sistemelor computerizate ce activează în regim on-line, cea mai eficientă modalitate de abordare a auditului, de obicei, este exercitarea unei examinări a noului sistem pînă la implementarea acestuia, decît după implementare. Pentru atingerea eficienţei optime, examinarea respectivă trebuie extinsă pînă la testarea altor elemente ale software-ului din care informaţia nimereşte în sistemul contabil. Auditorul, de asemenea, poate testa dacă sistemul funcţionează şi a fost implementat conform prevederilor în corespundere cu care el a fost elaborat. Examinarea sistemului pînă la implementarea lui poate oferi posibilitatea de a solicita informaţii suplimentare, cum ar fi lista detaliată a tranzacţiilor sau formele de control aplicate la elaborarea sistemului. Acest fapt, de asemenea, acordă auditorului suficient timp pentru a elabora şi testa procedurile de audit pînă la momentul utilizării sistemului. Însă, dacă politica agentului economic prevede actualizarea continuă a sistemului, procedurile de control asupra modificărilor pot fi critice pentru eficienţa formelor de control stabilite. Astfel, auditorul ar trebui să testeze procedurile de control asupra modificărilor în sistem, decît să examineze sistemul înainte de implementare.

29. Următoarele aspecte sînt foarte importante pentru auditori la auditul sistemelor ce activează în regim on-line:

(a) autorizarea, plenitudinea şi exactitatea tranzacţiilor într-un sistem ce activează în regim on-line, prin intermediul aplicării formelor adecvate de control la momentul acceptării tranzacţiei pentru procesare;

(b) integritatea datelor şi procesării într-un mediu în care există un număr mare de utilizatori şi programatori care au acces on-line la sistem; şi

(c) modificările necesare ale procedurilor de audit, inclusiv utilizarea tehnologiilor computerizate la exercitarea auditului, cum ar fi:

• necesitatea includerii în grupul de audit a specialiştilor care posedă cunoştinţe despre sistemele computerizate ce activează în regim on-line;

• influenţa sistemului computerizat ce activează în regim on-line asupra momentului de exercitare a procedurilor de audit;

• lipsa dovezilor ce confirmă efectuarea tranzacţiilor;

• proceduri efectuate la etapa de planificare a auditului (conform paragrafului 30 al prezentului regulament);

• proceduri de audit efectuate concomitent cu procesarea în regim on-line (conform paragrafului 31 al prezentului regulament); şi

• proceduri aplicate după procesare (conform paragrafului 32 al prezentului regulament).

30. Procedurile aplicate la etapa de planificare pot include:

• includerea în componenţa grupului de audit a specialiştilor care posedă cunoştinţe despre sistemele computerizate ce activează în regim on-line şi formele adecvate de control;

• identificarea dispozitivelor de acces de la distanţă; şi

• aprecierea preliminară, în timpul efectuării unei evaluări a riscurilor, a influenţei sistemului asupra procedurilor de audit.

31. Procedurile de audit aplicate concomitent cu procesarea în regim on-line pot include testarea controalelor asupra software-lor ce activează în regim on-line, de exemplu, cu ajutorul introducerii tranzacţiilor-test de la terminale sau cu utilizarea software-ului de audit. Aceste proceduri de testare pot fi efectuate pentru a confirma înţelegerea de către auditori a sistemului sau pentru a testa controalele, cum ar fi parolele sau alte controale de acces. Cînd agentul economic utilizează accesul prin Internet, procedurile de audit includ testarea fireware-lor şi altor proceduri de autorizare şi acces, precum şi testarea procesării tranzacţiilor. Pentru a evita denaturarea înregistrărilor contabile ale clientului, auditorul testează procedurile implicînd personalul corespunzător al clientului şi obţine autorizarea efectuării procedurilor de testare.

32. Procedurile aplicate după ce a avut loc procesarea datelor pot include următoarele:

• testarea controalelor utilizate pentru tranzacţiile introduse în sistem în scopul asigurării autorizării, plenitudinii şi exactităţii;

• proceduri ce ţin de esenţă privind tranzacţiile şi rezultatul de procesare a datelor, în schimbul testării controalelor, deoarece ultimele sînt mai costisitoare sau modul de proiectare a sistemului sau controalele nu sînt satisfăcătoare; şi

- reprocesarea tranzacţiilor în calitate de test al controlului sau proceduri ce ţin de esenţă.

 

Data intrării regulamentului în vigoare

33. Prezentul Regulament intră în vigoare pentru auditul rapoartelor financiare ce cuprind perioadele începînd cu 1 ianuarie 2006.

Printează Descarcă