Home » Articole »

Pragul de semnificaţie în auditul sistemelor informaţionale

 

Atunci cînd planifică o misiune, auditorul trebuie să aibă în vedere trei perspective: conformitatea, operaţionalul şi strategicul. Un concept oarecum ambiguu pentru auditorii de sisteme informaţionale este “materialitatea/pragul de semnificaţie”.

Conform LISTEI TERMENILOR CHEIE ISA 2008, materiality înseamnă (prag de) semnificaţie. În cazul auditului financiar (ne place ori nu, pragul de semnificaţie trebuie înţeles pornind de aici), se spune:

 Informaţiile sînt semnificative dacă omisiunea sau declararea lor eronată ar putea influenţa deciziile economice ale utilizatorilor, luate pe baza situaţiilor financiare. Pragul de semnificaţie depinde de mărimea elementului sau a erorii, judecate în împrejurările specifice ale omisiunii sau declarării eronate. Astfel, pragul de semnificaţie oferă mai degrabă o limită, decît să reprezinte o caracteristică calitativă primară pe care informaţia trebuie să o aibă pentru a fi utilă. – ISA 320 Audit Materiality

În cazul auditului sistemelor informaţonale, situaţia este puţin mai complicată. Aceasta deoarece auditul financiar exprimă pragul de semnificaţie în termeni monetari. Standardul de audit financiar menţionat anterior spune:

Pragul de semnificaţie trebuie luat în considerare de auditor atunci cînd:

a) se determină natura, durata şi întinderea procedurilor de audit

b) se evaluează efectele informaţiilor eronate

Materiality Concepts for Auditing Information Systems Document G6 spune:

În evaluarea pragului de semnificaţie, auditorul de SI trebuie să ia în considerare:

- nivelul agregat al erorilor acceptabile de către management, auditorul, agenţiile cu atribuţii de reglementare şi celelalte părţi interesate

- potenţialul ca efectul cumulat al unor erori nesemnificative sau puncte slabe să devină semnificativ

Ghidul din care am tradus şi adaptat lămureşte şi ce înseamnă “control semnificativ” – un control sau un grup de controale în lipsa căruia procedurile de control nu oferă asigurări rezonabile că obiectivul controlului va fi atins.

Ghidul prezintă şi aspectele ce trebuie avute în vedere de către un CISA atunci când evaluează pragul de semnificaţie:

  • Cât sunt de critice sunt procesele economice realizate cu ajutorul sistemului informaţional
  • Cât este de critică baza de date folosită
  • Numărul şi tipul aplicaţiilor dezvoltate
  • Numărul utilizatorilor sistemului informaţional
  • Numărul managerilor sau directorilor ce lucrează cu sistemul informaţional, clasificaţi în funcţie de privilegiile avute
  • Cât de critice sunt comunicaţiile/reţeaua
  • Costul sistemului sau al operării acestuia (hardware, software, staff, servicii third-party etc)
  • Costul potenţial al erorilor (pe cât posibil exprimat în termeni de pierdere a vânzărilor, garanţii, costuri de dezvoltare neacoperite, costuri de rectificare etc.)
  • Costul pierderii informaţiilor vitale
  • Eficienţa măsurilor de securitate
  • Numărul tranzacţiilor/interogărilor pe o perioadă de timp
  • Natura, dimensiunea, data rapoartelor şi fişierelor întreţinute
  • Natura şi cantitatea materialelor manipulate
  • SLA şi costul penalităţilor
  • Penalităţile nerespectării cerinţelor legale, statutare sau contractuale
 
 
 
 

0 Comments

You can be the first one to leave a comment.

 
 

Leave a Comment

 

You must be logged in to post a comment.