Cum îmbunătățesc tehnologiile informaționale controlul intern?

Cele mai multe entităţi, inclusiv întreprinderile mici , familiale, se bazează pe tehnologii informaţionale pentru înregistrarea şi prelucrarea operaţiunilor economice. Ca rezultat al progreselor impresionante în acest domeniu, chiar şi societăţile cu o activitate relativ simplă folosesc computere personale cu programe informatice cumpărate de-a gata pentru procesele lor contabile, inlocuind sistemele contabile manuale, inefieciente şi mai puţin eficace. Pe măsură ce cresc şi evoluează, întreprinderile îşi perfecţionează sistemele de tehnologii informaţionale pentru a răspunde nevoilor crescânde de informaţii.

Printre îmbunătăţirile controlului intern rezultând din integrarea tehnologiilor informaţionale în sistemele contabile se numără:

Ø  Mecanismele de control informatice le inlocuiesc pe cele manuale.

Avantaje: posibilitatea de a îmbunătăţi controlul intern prin încorporarea unor mecanisme de control executate de computer în activităţile cotidiene de prelucrare a operaţiunilor. Un sistem IT bine controlat oferă un potenţial mai mare de reducere a erorilor, deoarece computerele prelucrează informaţiile de manieră consecventă, uniformă.

Ø  Sunt disponibile informaţii de calitate mai inaltă.

Cu ajutorul tehnologiilor informaţionale, utilizarea informaţiilor oferă un potenţial adiţional de îmbunătăţire a deciziilor manageriale.

EVALUAREA RISCURILOR LEGATE DE TEHNOLOGIILE INFORMAŢIONALE

Deşi tehnologiile informaţionale pot ameliora controlul intern al unei companii, ele pot, de asemenea, afecta riscul general de control al companiei. Numeroase riscuri asociate sistemelor manuale sunt diminuate şi, în numeroase cazuri, chiar eliminate.Totuşi apar noi riscuri specifice mediilor de IT, iar acestea pot conduce la pierderi substanţiale daca sunt ignorate.Ele pot mări probabilitatea apariţiei unor prezentări semnificativ eronate în situaţiile financiare, fapt ce ar trebuie luat în considerare şi de management şi de auditori.

Riscurile – cheie specifice mediilor bazate pe tehnologii informaţionale:

• Dependenţa de capacităţile de funcţionare ale echipamentelor şi programlor informatice.

Fără o protecţie adecvată, s-ar putea ca echipamentele sau programele informatice sa nu funcţioneze. Prin urmare este vital să se asigure o protecţie fizică a echipamentelor, programelor şi datelor asociate acestora împotriva deteriorărilor fizice care ar putea rezulta din folosirea inadecvată, sabotaj sau anumite condiţii de mediu (cum ar fii incendiile, temperaturile prea ridicate, umiditatea sau inundaţiile).

• Vizibilitatea pistei de audit.

Din cauza pistei de audit trebuie instaurate alte mecanisme de control care să înlocuiască posibilitatea tradiţională de a compara informaţiile rezultate cu datele înscrise pe un suport fizic.

• Reducerea implicării factorului uman.

În numeroase medii bazate pe TI, angajaţii care se ocupă de prelucrarea iniţiala a operaţiunilor nu văd niciodata rezultatele finale. Prin urmare, ei au o posibilitate mai mică de a identifica erorile de prelucrare. Chiar dacă aceşti angajaţi văd rezultatul final, erorile sunt deseori dificil de detectat, deoarece datele sunt sintetice.

• Erori sistematice versus erori incidentale.

Pe măsură ce organizaţiile înlocuiesc procedurile manuale cu proceduri bazate pe tehnologiile moderne, riscul apariţiei unei erori incidentale descreşte.Totuşi riscul producerii de erori sistematice creşte din cauza caracterului uniform al operaţiilor executate pe computere.

• Accesul neautorizat. Sistemele contabile bazate pe tehnologii informaţionale permit, deseori, accesul în timp real la datele din fişierele sistematice şi alte evidenţe stocate pe suporturi electronice. Deoarece accesul în timp real se poate face de la numeroase puncte de acces situate la distanţă, apare un risc de efectuare a unor accese nepermise, ilegitime. Dacă nu există restricţii adecvate privind accesul in timp real, cum ar fi parolele şi codurile de identificare a utilizatorilor, prin computer se pot intreprinde activităţi neautorizate, având drept rezultat modificări inadecvate ale aplicaţiilor informatice şi ale fişierelor sistematice. Mai mult decât atât, astfel se pot obţine de manieră ilicită informaţii confidenţiale.
• Nevoia de experienţă în domeniul tehnologiilor informaţionale. Chiar şi atunci când companiile achiziţionează sisteme informatice relativ simple, care includ programe gata configurate, este esenţial să existe personal cu experienţă şi cunoştinţele necesare pentru instalarea, intreţinerea şi utilizarea sistemului. Pe măsură ce se răspândeşte utilizarea de sisteme IT în organizaţii, de cele mai multe ori creşte şi nevoia de specialişti calificaţi in domeniul tehnologiilor informaţionale. Numeroase companii înfiinţează o funcţie sau un departament întreg de personal specializat în tehnologii informaţionale, în care intră programatori, operatori, gestionari de reţea, gestionari de biblioteci de baze de date. Fiabilitatea unui sistem de IT şi a informaţiilor generate de acesta depinde deseori de capacitatea organizaţiei de a angaja personal sau consultanţi cu experienţă şi cunoştinţe adecvate în domeniul tehnologiilor informaţionale.

• Pierderea datelor. Majoritatea datelor de bază dintr-un mediu bazate pe IT sunt stocate în fişiere electronice centralizate. Când datele sunt centralizate, creşte riscul de pierdere sau distrugere a unor fişiere întregi de date cu ramificaţii importante. Apare un potenţial de elaborare a unor situaţii financiare eronate şi, în anumite cazuri , organizaţia poate suporta întreruperi grave ale activităţii.
• Reducerea separării sarcinilor. Pe măsură ce organizaţiile trec de la procesele manuale la cele informatizate, computerele execută din ce in ce mai multe sarcini care erau tradiţional separate, cum ar fi autorizarea operaţiunilor şi ţinerea evidenţelor contabile. Prin urmare, combinarea activităţilor diferitelor părţi ale organizaţiei într-o singură funcţie de tehnologii informaţionale centralizează responsabilităţile care erau în trecut separate. Personalul departamentului de tehnologii informaţionale, care are acces la aplicaţii şi la fişierele sistematice, ar putea sustrage active daca sarcinile- cheie nu sunt adecvat repartizate între angajaţii funcţiei de tehnologii informaţionale.
• Absenţa autorizării tradiţionale. În sistemele de IT foarte moderne se obişnuieşte ca anumite tipuri de operaţiuni să fie iniţiate în mod automat de computer. Printre exemple se numără calculul dobânzilor la conturile de depozite şi iniţierea comenzilor de aprovizionare atunci când se atinge un nivel predefinit al stocurilor. Prin urmare, autorizarea adecvată depinde de procedurile incluse în aplicaţia informatică şi de exactitatea fişierelor sistematice utilizate în luarea deciziei de autorizare.

MECANISMELE DE CONTROL INTERN SPECIFICE TEHNOLOGIILOR INFORMAŢIONALE

Deseori, pentru a face faţă numeroaselor riscuri legate de dependenţa crescândă de tehnologii informaţionale, organizaţiile instaurează mecanisme de control specifice pentru funcţia IT. Standardele de audit descriu două categorii mari de mecanisme de control vizând sistemele bazate pe tehnologii informaţionale şi anume: controalele generale şi controalele de aplicaţie.

Controalele generale se referă la toate aspectele funcţiei IT, inclusiv administrarea sistemelor, achiziţia şi întreţinerea programelor informatice, securitatea fizică şi securitatea accesului electronic (logic) la echipamente, programe şi datele asociate acestora, planificarea creării copiilor de siguranţă în cazul producerii unor evenimente neprevăzute şi conceperea de mecanisme de control integrate în echipamente informatice.

Controalele de aplicaţie se exercită asupra prelucrării operaţiunilor individuale, cum ar fi controlul prelucrării vânzărilor sau încasărilor. Prin urmare, controalele de aplicaţie sunt specifice anumitor programe informatice şi, de regulă, nu afectează toate funcţiile care folosesc tehnologii informaţionale. Din acest motiv, controalele prelucrării trebuie evaluate pentru fiecare sferă a auditului (cont sau categorie de operaţiuni) afectată de o aplicaţie informtică, în care auditorul planifică să reducă riscul de control estimat.

Controalele generale sunt proiectate pentru a proteja toate controalele de aplicaţie, în scopul de a se asigura eficienţa acestora din urmă.  Asemanator efectului pe care îl are mediul controlului asupra celorlalte componente ale controlului intern, cele şase categorii de controale generale au un impact de ansamblu asupra tuturor funcţiilor legate de tehnologiile informaţionale. De obicei, auditorii evaluează controalele generale în etapele iniţiale ale auditului, din cauza impactului acestora asupra controalelor de aplicaţie.

Abordarea auditului performanţei intr-un mediu informatizat trebuie să implice urmatoarele procese inter-relaţionate:

–          obţinerea unei inţelegeri asupra sistemelor informatice ale entităţilor auditate şi determinarea semnificaţiei acestora pentru obiectivul auditului performanţei;

–          identificarea ariei de cuprindere a auditului sistemelor informatice cerute pentru atingerea obiectivului auditului performanţei;

–          dezvoltarea şi utilizarea tehnicilor de audit asistat de calculator, dacă este cazul, pentru a facilita auditul.

Auditul performanţei într-un mediu informatizat are ca scop obţinerea unei asigurări rezonabile asupra desfăşurării şi funcţionării sistemului informatic, în conformitate cu prevederile programului care susţine activitatea, cu reglementările în domeniu şi cu standardele specifice de securitate, precum şi evaluarea sistemului prin prisma performanţei privind modernizarea activităţii/domeniului.

Misiunea de audit trebuie să se concentreze pe urmatoarele aspecte:

–          să evalueze dacă sistemele TI asigură economicitatea, eficienţa şi eficacitatea obiectivelor programului şi managmentului său, în special în relaţie cu planificarea, execuţia, monitorizarea şi furnizarea rezultatelor programului;

–          să determine dacă ieşirile sistemului sunt convergente cu parametrii de calitate, servicii şi costuri de livrare;

–          să identifice orice deficienţe în controalele TI şi în cele privind sistemele informaţionale şi efectul rezultant asupra eficienţei, economicităţii şi eficacităţii funcţionării;

–          să compare practicile dezvoltării şi întreţinerii sistemelor informatice ale entităţii auditate cu cele mai bune practice şi standardele în domeniu;

În auditarea utilizării TI în programele de afaceri, auditorul trebuie să se concentreze pe anumite aspecte de interes major pentru societate:

–   cerinţele guvernului şi alte cerinţe privind utilizarea TI pentru serviciile administraţiei publice;

–          strategiile şi procesele decizionale

Constatările şi recomandările se refera, în general, la următoarele categorii de probleme:

–          coordonarea de ansamblu a proiectului;

–          planificarea şi monitorizarea consecventă a proiectului în profil teritorial;

–          planificarea şi monitorizarea utilizării infrastructurii şi serviciilor TI;

–          respectare legislaţiei referitoare licenţelor software;

–          reticente în folosirea sistemului informatic;

–          eliberarea certificatelor pentru persoanele instruite;

–          politica formala de securitate a informaţiei şi a sistemului;

–          managementul capacităţii, utilizarea reţelei de calculatoare la capacitate maximă;

–          gradul de utilizare a portalului pentru servicii de suport tehnic, funcţionarea auditului intern;

Bibliografie:

1.Munteanu A.- “ Auditul sistemelor informaţionale contabile”

2.ISO- 9126 “Software Engineering”