ANALELE TIINIFICE ALE UNIVERSITII ALEXANDRU IOAN CUZA DIN IAI Tomul LII/LIII tiine Economice 2005/2006

AUDITAREA SISTEMELOR INTEGRATE DE APLICAII

DOINA FOTACHE* ADRIAN MUNTEANU*

Integrated Systems Auditing

Abstract

The tone of out paper oscillates between pessimism and optimism as, although we will attempt to outline the necessity for this field of activity, we will not omit the sad state of technological development in the Romanian businesses, all within the context of an accelerated technological growth worldwide. The added value of this paper consists in the discussions over both Enterprise Resource Planning systems implementation and their auditing.
Key words: integrated systems, Enterprise Resource Planning, risk, auditing

1 Introducere

Pentru mediile organizaionale romneti, care au intrat n jocul integrrii, implementarea suitelor de aplicaii de ntreprindere (Enterprise Resource Planning - ERP) nseamn performan, eficien i controlul afacerii. Celelalte ezit nc, considernd integrarea un pas dificil, o decizie destul de greu de luat i nu n ultimul rnd, o investiie greu de amortizat. n cazul implementrii unui sistem integrat, procesul decizional este declanat de problemele care apar n colaborarea i interaciunea dintre departamentele organizaiei, mai precis din izolarea acestora. n principal, ERP presupune o politic care reflect ce nseamn s gndeti i s acionezi n sensul proceselor economice, fiind, de aceea, considerat o soluie strategic de management. Noul model de afacere, cu operaiuni orientate pe procese, sporete productivitatea i satisface cerinele de performan economic. Etapele operaionale economice trebuie s fie integrate, s pun n micare fluxuri de activiti, s controleze fluxurile de informaii i s eas conexiuni ntre organizaie, furnizori i clieni. Toate acestea presupun transformri organizaionale, optimizri tehnologice i, pn la urm, o nou identitate pentru ntreprinderi (redefinirea lor complet). Cunoatem complexitatea realizrii unui sistem informaional integrat ntr-o organizaie. Cifrele sunt relevante, de exemplu [Hossain, 2002, 18]: 800-1000 procese economice, 8000-10000 de tabele de configurare ntr-un ERP obinuit. Practic,
Profesor doctor, Catedra de Informatic Economic, Facultatea de Economie i Administrarea Afacerilor, Universitatea Alexandru Ioan Cuza, e-mail: doina.fotache@feaa.uaic.ro * Confereniar doctor, Catedra de Informatic Economic, Facultatea de Economie i Administrarea Afacerilor, Universitatea Alexandru Ioan Cuza, e-mail: adrian.munteanu@feaa.uaic.ro
*

Auditarea sistemelor integrate de aplicaii

283

implementarea se sprijin pe tehnici de reproiectare organizaional (Business Process Reenginering), Procesul presupune analiza unor factori importani [Hammer, 1993, 56-60], precum relaia dintre restructurare i adoptarea noilor aplicaii care, cel mai adesea, schimb radical modul de desfurare a activitii n cadrul organizaiilor. Dintre cele mai importante beneficii [Jones, 2006, 23-40] enunm: reducerea costurilor prin eficientizarea consumului de resurse (energie, ap, materii prime, for de munc, timp) i prin evitarea penalitilor (ntrzieri la pli, nerespectarea termenelor contractuale); informaii de calitate i evitarea redundanei datelor i operaiunilor (baz de date unic); prevenirea i controlul riscurilor; anticiparea cerinelor legale i facilitarea conformrii cu acestea; mbuntirea mediului de lucru, motivarea, implicarea angajailor i munca n echip; mbuntirea imaginii i credibilitii pe pia (certificarea produselor); mbuntirea comunicrii interne i externe (dimensiunea colaborativ a relaiilor cu clienii, partenerii, furnizorii, autoritile), scderea timpului de rspuns datorit rapoartelor i informaiilor ad-hoc oferite de ctre sistem; deschiderea tehnologic (arhitectura sistemelor permite integrarea noilor tipuri de aplicaii e-business). Toate aceste beneficii nu pot fi neglijate n sensul necesitii optimizrii proceselor economice i integrrii informaionale.
2 Ce nseamn integrare printr-un sistem ERP

Prin integrare, aplicaiile i datele trebuie combinate ntr-o abordare care s asigure mai mult dect accesul la informaii i procese economice. ERP promite soluii efective, eficiente i ofer companiei oportunitatea de a implementa o interfa comun, care s permit integrarea informaional a tuturor departamentelor i gestiunea fluxurilor de date, stabilind un mediu n care s poat fi adoptate viitoarele iniiative tehnologice, n condiiile remodelrii proceselor economice sau a definirii unora noi. Dincolo de promisiuni presupune, n primul rnd, elaborarea de planuri i stabilirea de metode i instrumente adecvate pentru trecerea de la aplicaii disparate la o platform unic. Integrarea informaional trebuie privit ca un proces [Irani, 2006, 23-40] continuu i o investiie strategic pe termen lung, deoarece beneficiile sale nu se arat imediat, ci n timp. Poate fi considerat ca o asigurare de via pentru sistemul informaional al ntreprinderii. Abordarea integrrii trebuie s fie realist i s in cont de dou mari alternative: integrarea intern - vizeaz procesele economice intra-organizaionale, acoperite prin suite ERP; integrarea extern - combin servicii de la mai muli furnizori pentru a susine gestiunea tranzaciilor extinse, schimbul de informaii, coordonarea i colaborarea de-a lungul lanului valoric extins (extinderea aplicaiilor tradiionale ERP cu mai noile aplicaii Customer Relationship Management, Supply Chain Management).

284

DOINA FOTACHE, ADRIAN MUNTEANU

3 Despre necesitatea auditrii unui sistem integrat

Aplicaiile ERP formeaz coloana vertebral a unei organizaii i sunt "responsabile" de datele, informaiile i cunotinele interne organizaionale, Nucleul acestui pachet de aplicaii are misiunea de a gestiona datele interne. Acestea sunt organizate n cadrul depozitelor de date, de unde sunt extrase i analizate prin intermediul sistemelor suport pentru decizii (Decision Support System), utiliznd instrumente de tip OLAP (On-Line Analytical Processing) sau OLTP (On-Line Transaction Processing). n ansamblu, depozitele de date [Airinei, 2002, 15-16] furnizeaz arhitecturi i instrumente utile conducerii la vrf prin organizarea sistematic, ntelegerea i utilizarea datelor n adoptarea deciziilor strategice; n particular, sprijin procesarea informaiilor furniznd o platform solid de consolidare a datelor istorice pentru analiz. Operaional, sistemele integrate au caracteristici distincte i partajeaz cinci atribute eseniale : asigur compatibilitatea tehnic i funcional a departamentelor; tehnologiile implicate n procesarea datelor sunt relativ transparente pentru utilizatori. Integrarea poate fi realizat la orice nivel de desfurare a afacerii i cu orice tip de tehnologie. Cheia succesului const n alegerea celei mai bune tehnologii care onoreaz cu performan urmtoarele criterii: suportul oferit utilizatorilor, longevitatea tehnologic, adaptabilitatea, scalabilitatea i rapiditatea n livrarea soluiei; sistemele de aplicaii, datele, cile de acces la date i interfaa grafic utilizator sunt armonizate i standardizate pentru utilizatori; raionalitatea datelor ntreprinderii - datele au acelai statut n sisteme i module diferite, sunt definite coerent la nivel organizaional; toate aplicaiile de gestiune i mediile informatizate sunt scalabile, portabile i acoper multiple funciuni. Din punct de vedere tehnologic, aplicaiile pot fi reconfigurate rapid n funcie de modificarea proceselor de afaceri i dovedesc flexibilitate. Codul i structura datelor suport modificri i reproduceri. Cele mai importante riscuri [Jones, 2006, 23-40] pe care i le asum organizaia sunt: volumul foarte mare al investiiilor iniiale; costuri ascunse semnificative; incertitudini legate de software i evoluia viitoare a tehnologiilor informaionale; responsabilitile sporite ncredinate personalului. Dintre riscurile enunate cel mai greu de cuantificat sunt costurile ascunse, n principal, acestea cheltuindu-se cu pregtirea profesional i trainning-ul angajailor pe platforme. O alt pondere important este deinut de costurile personalizrii aplicaiilor.
4 Auditarea sistemelor integrate

Nu putem discuta despre o tradiie romneasc n domeniul evoluiei sistemelor informatice i cu att mai puin despre o practic anume a integrrii acestora. Dac ne propunem s discutm despre auditarea sistemelor informatice, de asemenea, trebuie s remarcm c, pn la mijlocul anului 2003, n Romnia nu s-a pus problema auditrii sistemelor informaionale. Experii contabili i auditorii financiari autohtoni ar trebui s acopere i acest domeniu n timpul misiunilor lor n baza standardelor de audit adoptate. n majoritatea misiunilor de audit financiar autohtone intereseaz doar evaluarea raportrilor financiare i mai puin mijloacele prin care au fost obinute datele din acestea. n 2003 a fost emis Ordinul nr. 1077 privind condiiile n care se pot edita, ntr-un singur

Auditarea sistemelor integrate de aplicaii

285

exemplar, facturile fiscale cu regim special de tiprire, nseriere i numerotare, utilizate n activitatea financiar i contabil. 1077 este primul act normativ care face referire la auditul sistemelor informaionale, chiar dac se limiteaz la auditarea Planului de securitate al unei companii de ctre un auditor CISA (Certified Information Systems Auditor). Altfel spus este un audit de conformitate, nu un audit de securitate! Al doilea act normativ (i ultimul) este Ordinul MCTI nr. 218 din 2004 privind procedura de avizare a instrumentelor de plat cu acces la distan, de tipul aplicaiilor Internet-banking, home-banking sau mobile-banking. i n acest caz este vorba de auditarea planului de securitate, dar se adaug i auditarea aplicaiei folosit n tranzaciile de tip mbanking. nainte de a continua, trebuie s facem o scurt meniune: primul act normativ (1077/2003) face doar o scurt trecere n revist a aspectelor ce trebuie urmrite n Planul de securitate, n timp ce la doilea (218/2004) chiar prezint o structur a unui astfel de document. Din punct de vedere legislativ la nivelul auditrii sistemelor informaionale aceasta este situaia din Romnia. Pentru c ERP-ul nu este corect neles, n multe implementri autohtone revizia i auditul unor astfel de sisteme nu sunt luate n calculul proiectului. Aceasta deoarece lipsesc cerinele legale precum cele din legea Sarbanes-Oaxley n SUA1. Orice implementare ar avea impact asupra firmelor. Prin urmare, aceste implementri trebuie monitorizate i controlate pentru a fi siguri de succesul unui astfel de demers deoarece riscurile sunt mult mai mari dect n cazul aplicaiilor contabile, de salarizare sau de gestiune a mijloacelor fixe clasice. Argumente: 1. sistemele ERP folosesc date din diferite sectoare ale unei firme pentru a sprijini managementul interdepartamental i procesele firmei. Pentru a asigura succesul, astfel de sisteme trebuie s integreze n totalitate procesele i procedurile firmei; 2. companiile din statele membre UE au fost obligate, ca ncepnd cu 1 ianuarie 2005, s ntocmeasc raportrile financiar contabile n conformitate cu prevederile IAS . Mai mult, la ora actual se poart discuii intense ntre International Accounting Standards (IAS) i Federal Accounting Standards Board (FASB) pentru a se elimina diferenele dintre standardele emise de cele dou organizaii; 3. auditarea implementrilor ERP autohtone ar scoate n eviden n majoritatea cazurilor: slaba planificare a proiectelor auditul i revizia nefiind cuprinse n aceste proiecte, nu sunt cunoscute abilitile personale care ar trebui implicate ntr-un astfel de proces; lipsa auditrii zonelor n care implementarea soluiilor ERP afecteaz controlul intern al organizaiei; competena profesionitilor contabili este probabil cel mai grav aspect. n majoritatea cazurilor, cei implicai n auditarea firmelor nu au cunotinele i abilitile necesare nelegerii unor astfel de sisteme. Auditarea se realizeaz exclusiv n jurul calculatorului; slaba cunoatere a soluiilor existente i a tehnologiilor pe care se bazeaz acestea achiziionarea se face de cele mai multe ori fr a se ine cont de necesitile reale ale firmelor; rapoartele de audit sunt considerate, de cele mai multe ori, doar simple certificate de bun purtare, recomandrile nefiind puse n practic. n funcie de dimensiunea proiectului, urmtorii actori ar trebui s se implice n auditarea sistemelor ERP:

286

DOINA FOTACHE, ADRIAN MUNTEANU

compartimentul de audit intern (compartiment impus de lege numai n cazul organizaiilor guvernamentale). n literatura de specialitate se precizeaz c acesta este compartimentul care cunoate cel mai bine starea sistemului implementat i zonele n care un sistem integrat va asigura succesul firmei. Auditorii interni trebuie s fac parte n mod obligatoriu din echipa care se ocup de implementare; auditorii externi/independeni - chiar dac nu trebuie s aib cunotine despre fiecare soluie n parte, auditorii externi trebuie totui s dein un minimum de cunotine despre modul de funcionare al acestor sisteme; implementatorul trebuie s cunoasc foarte bine soluia i s neleag procesele din firm pentru a oferi sprijin planificrii auditurilor. Realizeaz i audituri proprii pentru certificarea configuraiei soluiei; departamentele funcionale managerii departamentali se ocup de particularitile implementrii, fiecare avnd responsabiliti n aria sa de decizie. Pentru c sunt beneficiarii rapoartelor pe care le genereaz sistemul trebuie s se implice pe tot parcursul ciclului de via a soluiei; conducerea executiv neimplicarea real a factorilor cu putere executiv este unul din principalii factori care conduc la eec n implementarea soluiilor ERP. Succesul implementrii depinde de modulele sistemului integrat, de aceea auditarea ia n calcul i infrastructura sistemului informaional: 1. echipamentele (resursele hardware) fiecare soluie are propriile cerine de sistem, considerate minime pentru funcionarea pachetului integrat de aplicaii. Fiecare component a acestui puzzle contribuie la succes; 2. componentele de reea ERP se bazeaz 100% pe infrastructura reelei de comunicaii. n acest caz trebuie avute n vedere viteza i disponibilitatea liniilor de comunicaii, accesul la reea i liniile redundante prin care se asigur traficul n cazul apariiei unor evenimente neprevzute; 3. nomenclatoarele (fiierele de baz) de clieni, furnizori, personal, materiale, produse finite etc. reunesc toate datele de descriere a acestora i interfaeaz cu modulele aplicaiei. Auditarea trebuie s aib n vedere acurateea datelor; 4. pachetul de aplicaii auditarea are n vedere structura i funcionarea modulelor pachetului ERP: parametrii de configurare: controalele la nivel de aplicaie, procedura de autorizare a utilizatorilor, configuraiile de securitate; securitatea modulelor i pe ansamblu a aplicaiei pentru a se asigura procesarea controlat i sigur a datelor; modificarea configuraiilor predefinite, standard pentru garantarea integritii proceselor; documentaia sistemului i help-ul de context ce sprijin utilizatorii; administrarea securitii informaiilor la nivelul organizaiei i maniera prin care pot fi identificate i eliminate/diminuate riscurile. 5. procesele auditul unui sistem ERP trebuie s ofere suficiente probe cu privire la integritatea proceselor implicate. Trebuie avute n vedere mai ales: identificarea obiectivelor controalelor specifice proceselor implementate; identificarea i evaluarea riscurilor poteniale specifice proceselor implementate; proiectarea i implementarea controalelor care contribuie la eliminarea/diminuarea riscurilor identificate; verificarea funcionrii controalelor implementate; verificarea interfarii modulelor ERP cu aplicaii non-ERP; revizia planurilor de continuitate a afacerii.

Auditarea sistemelor integrate de aplicaii

287

6. angajaii rolurile ndeplinite de acetia sunt structurate n jurul soluiei implementate: identificarea angajailor cu atribuii de conducere, a responsabilitilor i aptitudinilor necesare pentru a-i ndeplini sarcinile; necesarul de cursuri de instruire i maniera n care se realizeaz transferul de cunotine; clasificarea sarcinilor de serviciu. 7. strategia de implementare - tranziia de la vechiul sistem ar trebui fcut cu un impact minim asupra angajailor. n realitate implementarea unui sistem integrat genereaz un veritabil seism organizaional. Securitatea informaiilor poate fi afectat n timpul acestei tranziii, de aceea va fi aleas cea mai potrivit strategie.
5 Concluzii

Produsele integrate din categoria Enterprise Resource Planning sunt, la nivelul managementului, instrumente de convergen operaional pentru c realizeaz integrarea tuturor aplicaiilor ntr-o soluie global, acoperind toate procesele intercorelate ce concretizeaz activitatea organizaiei. Deoarece procesul de implementare, deosebit de dificil, provoac reorganizarea i reproiectarea organizaional, toate activitile legate de acest proces trebuie s fie monitorizate i controlate, riscurile fiind considerabil mai mari dect n cazul aplicaiilor tradiionale. De aici rezult necesitatea auditrii sistemelor integrate i obligativitatea crerii cadrului legislativ care s ofere suport acestui proces. Ct despre riscurile auditrii sistemelor ERP, pot fi inute sub control dac rapoartele de audit nu sunt considerate numai certificate de bun purtare i sunt puse n practic recomandrile precizate n acestea.
Bibliografie

Airinei, D., Depozite de date, Editura Polirom, Iai, 2003. Fotache, D., Hurbean, L., Soluii informatice integrate pentru gestiunea afacerilor ERP, Editura Economic, Bucureti, 2004. Jones, M., Zound, R., ERP Usage in Practice: An Empirical Investigation, Informationn Resources Management Journal, January-march 2006, 23-42. Hammer, M., Champz, J., Reeingineering the corporation, HarperCollins Publishers, USA, 1993. Hossain, L., Patrick, J.D., Rashid, M., Enterprise Resource Planning: Global Opportunities and Challenges, Idea Group Publishing, 2002, USA. Irani, Z., Love, P., Information systems evaluation: past, present and future, European Journal of Information Systems, 2001, Vol. 10, No 4, pp. 204-215. Munteanu, A, Auditul sistemelor informationale contabile. Cadru General, Ed. Polirom, Iai, 2001. Weber, R., Information Systems Control and Audit, Prentince Hall, 1999.
Not 1. La adresa http://www.aicpa.org/info/sarbanes_oxley_summary.htm