UNIVERSITATEA VASILE ALECSANDRI FACULTATEA DE TIINE ECONOMICE MASTER- CAIG

Auditarea sistemelor informatice financiar contabile

Bacu 2011

1

UPRINS

CAP.I AUDITAREA SISTEMELOR INFORMATICE FINANCIAR- CONTABILE 1.1 Introducere 1.2 Controlul intern intr-un sistem informatic 1.3 Consideratiile auditorilor cu privire la controlul intern intr-un sistem informatic 1.4 Planificarea auditului si proiectarea controalelor de audit CAP.II SOCIETATEA SI SISTEMUL INFORMATIC 2.1 Prezentarea Societatii 2.2 Descrierea sistemului informatic 2.3 Strategia de securitate la nivelul organizatiei 2.4 Analiza riscurilor informatice CAP.III CONTROLUL PROGRAMULUI DE CONTABILITATE 3.1 Auditul unei aplicatii din sistem 3.2 Raportul de audit

CAP.I AUDITAREA SISTEMELOR INFORMATICE FINANCIARCONTABILE 2

1.1 IntroducereAuditarea sistemului informatic financiar-contabil const n verificarea i controlul activitilor sistemului respectiv care este practic un caz particular de sistem informatic economic. Sistemul informatic economic fiind, la rndul lui, un caz particular de sistem informatic, tehnicile i mecanismele de auditare a sistemelor informatice sunt valabile i pentru sistemele informatice economice, inclusiv pentru sistemele financiar- contabile. De aceea, la nivel de sintez se va discuta numai despre auditarea sistemelor informatice, ca fiind mai cuprinztoare. Pentru a nelege procesul de audit al sistemului financiar- contabil, ca sistem economic, trebuie fcut distincie ntre auditul activitilor economice desfurate n cadrul unui organism economic i auditul sistemului informatic utilizat de organismul economic respectiv, pentru evidena activitilor desfurate i a bunurilor sale. Auditul activitilor sistemului informatic, utilizat de un organism economic n desfurarea activitilor sale economice, urmrete; asigurarea corectitudinii, completitudinii i preciziei datelor introduse n sistem, deoarece afecteaz rezultatele prelucrrilor efectuate de acesta; asigurarea corectitudinii prelucrrilor efectuate asupra datelor introduse n sistem, n sensul c rezultatele acestora respect regulile de gestiune specifice organismului economic respectiv i legislaia n vigoare; asigurarea corectitudinii i integritii ieirilor sistemului, n sensul c acestea sunt cele solicitate de managerii organismului economic respectiv i de organismele de control financiar; asigurarea corectitudinii procedurilor de control (controalelor) folosite pentru auditarea sistemului informatic respectiv. Utilizarea sistemelor informatice n desfurarea activitilor lor economice i/sau pentru evidena i controlul acestora ofer organismelor economice att avantaje, ct i dezavantaje. Principalele avantaje oferite de utilizarea sistemelor informatice de ctre organismele economice sunt: mbuntirea preciziei rezultatelor prelucrrilor, prin eliminarea erorilor umane care pot aprea ntr-un sistem manual de prelucrare i prin procesarea uniform a datelor, pe msura apariiei acestora;

3

-

creterea vitezei de procesare, prin prelucrarea automat a datelor i eliminarea timpilor de prelucrare manual a acestora, oferind utilizatorilor informaiile solicitate, n momentul cnd acetia au nevoie de ele;

-

eliminarea forei de munc implicate n prelucrarea manual a datelor, prin prelucrarea automat a acestora, folosind calculatorul; sporirea volumului de informaii oferite utilizatorilor ntr-un interval dat de timp, prin creterea volumului de date prelucrat pe unitatea de timp determinat de prelucrarea automat a acestora;

-

sporirea diversitii i complexitii informaiilor oferite utilizatorilor, prin prelucrarea automat a datelor i folosirea caracteristicilor grafice ale echipamentelor i programelor disponibile. Principalele dezavantaje oferite organismelor economice de utilizarea sistemelor informatice

n desfurarea activitilor lor, economice sau neeconomice (tiinifice, de proiectare etc.), se numr: posibilitatea apariiei unor defecte hardware, care pot determina pierderea datelor i, implicit, imposibilitatea de obinere, n timp util, a informaiilor bazate pe rezultatele prelucrrii lor; pentru diminuarea efectelor produse de defectele tehnice, fabricanii integreaz n echipamente protecii speciale; posibilitatea apariiei unor erori software, la nivelul programelor de aplicaie, care pot conduce la rezultate incorecte, neobservate de ctre utilizator, deoarece acesta nu are control direct asupra prelucrrii datelor; pentru depistarea i eliminarea acestui tip de erori, proiectanii integreaz n programele de aplicaie protecii speciale; posibilitatea virusrii programelor utilizate (software de sistem sau pentru dezvoltarea de aplicaii sau de utilizator), care poate determina pierderea sau alterarea datelor i/sau programelor, conducnd astfel la imposibilitatea utilizrii lor; pentru eliminarea efectelor determinate de virui se utilizeaz pachete de programe (software) antivirus, puse pe pia de productori software specializai (Norton AntiVirus, MCAfee etc.); posibilitatea de apariie a unor erori de manipulare a datelor i/sau a programelor, care poate determina pierderea i/sau alterarea acestora, nsoit de prelucrri greite, i, implicit, rezultate incorecte care pot trece neobservate att de ctre operator, ct i de ctre utilizator, deoarece acetia nu au un control direct asupra prelucrrilor efectuate; pentru reducerea efectelor 4

produse de neglijena sau neatenia n manipularea datelor i/sau programelor se impun msuri adecvate de siguran. Avantajele economice i informaionale oferite de utilizarea sistemelor informatice n desfurarea activitilor lor sunt mult mai importante pentru organismele economice dect dezavantajele utilizrii acestor sisteme, motiv pentru care acestea prefer s le foloseasc i s ia toate msurile impuse de necesitatea eliminrii, reducerii sau compensrii efectelor dezavantajelor respective. Prin urmare, n condiiile n care organismele economice folosesc n activitatea lor sisteme electronice de calcul, economitii trebuie s fie pregtii s lucreze ntr-un mediu aflat ntr-o continu schimbare, n care prelucrrile, evidenele i controlul se fac folosind de la sisteme informatice simple, formate dintr-un singur sistem PC (calculator personal pe care sunt instalate programele necesare i imprimant), pn la sisteme informatice complexe, care includ reele de PCuri i echipamente periferice interconectate (intranet, internet, telecomunicaii etc.). Pentru a fi competitivi, ei trebuie s i mbogeasc cunotinele cu informaii despre sistemele informatice folosite n mediul economic i despre auditarea acestora.

1.2 Controlul intern intr-un sistem informaticPentru efectuarea controlului intern ntr-un sistem informatic se folosesc msuri, metode i tehnici de verificare a corectitudinii rezultatelor prelucrrilor realizate n interiorul su, cunoscute, n literatura de specialitate, sub denumirea de controale, mai precis controale de audit avnd n vedere rolul lor n procesul de audit al sistemului informatic respectiv. Altfel spus, controlul intern ntr-un sistem informatic se realizeaz cu ajutorul controalelor de audit. Utilizarea unui sistem automat de prelucrare a datelor nu diminueaz importana controlului intern realizat n vederea asigurrii corectitudinii rezultatelor prelucrrilor efectuate n interiorul acestuia. Apariia i utilizarea sistemelor informatice determin ns folosirea unor msuri i metode de control specifice, care se adaug metodelor tradiionale de auditare a sistemelor manuale i/sau mecanice de prelucrare a datelor, deoarece posibilitatea de folosire a unui singur calculator pentru efectuarea tuturor operaiunilor corelate din cadrul unui organism economic impune utilizarea unor controale specifice pentru asigurarea proteciei datelor la pierderi sau alterri i pentru depistarea prelucrrilor eronate, efectuate n interiorul calculatorului. 5

n literatura de specialitate, controalele sistemelor informatice sunt clasificate n controale generale i controale de aplicaie. Controalele generale sunt msuri de protecie a echipamentelor, datelor i programelor care privesc toate componentele unui sistem informatic (hardware i software) i pot fi de urmtoarele tipuri: - controale organizatorice: msuri organizatorice folosite pentru protecia la fraude, neatenie i/sau neglijen; - documentaie de sistem, folosit pentru verificarea funcionrii sistemului, n conformitate cu cerinele utilizatorului, specificate n proiectul de execuie; - controale hardware (controale de echipament): msuri de protecie la defeciunile tehnice; - controale de siguran (echipamente i fiiere): msuri de protecie la pierdere, distrugere sau alterare, la accesul neautorizat sau la calamiti (ap, foc etc.). Controalele de aplicaie sunt tehnici de control specifice, integrate n software-ul de aplicaie (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea i protecia datelor stocate n sistemul respectiv i a rezultatelor prelucrrilor efectuate asupra acestor date. Se proiecteaz i se realizeaz o dat cu fiecare sistem informatic. Principalele tipuri de controale de aplicaie sunt: controale de intrare: msuri de asigurare a corectitudinii intrrilor sistemului; controale de prelucrare: msuri de asigurare a corectitudinii prelucrrilor efectuate n interiorul sistemului; controale de ieire: msuri de asigurare a corectitudinii ieirilor sistemului. Majoritatea erorilor identificate n rezultatele finale ale prelucrrilor efectuate de sistemele informatice provin din software-ul de aplicaie (de utilizator) folosit sau din introducerea eronat a datelor. Din acest motiv, controalele de aplicaie joac un rol major n asigurarea unui control intern eficient n sistemul informatic. Concluzie. Controalele organizaionale joac rolul-cheie n asigurarea unui control intern puternic n cadrul unui sistem informatic, n vederea prevenirii fraudelor, care au implicaii majore asupra evoluiei oricrui tip de organism economic. Ele sunt destul de eficiente n prevenirea fraudelor produse de un singur angajat, dar nu pot preveni fraudele n complicitate, foarte dificil de depistat. Dac un angajat-cheie al organismului economic conspir cu ali angajai n vederea 6

comiterii unei fraude, controalele organizaionale interne care se bazeaz pe separarea sarcinilor i rotirea angajailor pe funcii devin inoperante. Dac nu sunt descoperite n timp util, fraudele n complicitate conduc la falimentul organismului economic respectiv.

1.3 Consideratiile auditorilor cu privire la controlul intern intr-un sistem informaticIndiferent de tipul sistemului de eviden (gestiune) a activitilor economice i de prelucrare a datelor folosit de organismele economice, auditorii trebuie s efectueze un control intern, pentru realizarea cruia este necesar: fi detectate); s determine natura activitilor desfurate de organismul economic auditat; s stabileasc tipul i amploarea activitilor de audit necesare; s aprecieze timpul necesar pentru completarea auditului. Pe baza celor stabilite n vederea completrii auditului, auditorii pot face organismului economic recomandri pentru mbuntirea structurii de control intern. Indiferent de tipul sistemului informatic folosit de un organism economic, recomandrile pe care le fac auditorii cu privire la controlul intern se mpart n patru categorii, corespunztoare urmtoarelor patru tipuri de activiti: planificarea auditului; pentru aceasta. auditorii trebuie s neleag suficient de bine rolul controlului intern, modalitile de realizare a acestuia i tehnicile de integrare a controalelor n sistemul de gestiune i prelucrare a datelor folosit de un organism economic; evaluarea riscului de control i proiectarea testelor adiionale pentru procedurile de control ale sistemului informatic; realizarea testelor adiionale pentru procedurile de control ale sistemului informatic; reevaluarea riscului de control al sistemului informatic i modificarea corespunztoare a testelor de evaluare. s evalueze corect riscul de control (posibilitatea de existen a unor erori care nu pot

7

1.4 Planificarea auditului si proiectarea controalelor de auditPlanificarea auditului pentru un organism economic i necesitatea proiectrii de teste de audit eficiente solicit auditorilor s aib cunotinele de specialitate necesare nelegerii structurii unui control intern, indiferent de tipul sistemului informatic utilizat i de complexitatea acestuia. Pentru planificarea auditului i proiectarea de teste de audit eficiente, auditorii trebuie s aib cunotine despre: procedurile i tehnicile de audit disponibile; proiectarea i realizarea controalelor interne; trebuie s tie ce se urmrete prin auditul intern i cum se poate realiza un audit complet; sistemele de gestiune i prelucrare a datelor utilizate de organismele economice; trebuie s cunoasc particularitile fiecruia, din punct de vedere al auditului; tehnicile de integrare a controalelor interne n sistemele de gestiune i prelucrare a datelor disponibile; natura activitilor desfurate de organismele economice: caracteristicile i particularitile acestora, din punctul de vedere al auditului; legislaia n vigoare. Evoluia tehnologic a microcalculatoarelor de tip PC, din ce n ce mai performante i mai ieftine, a condus la apariia i dezvoltarea continu a aplicaiilor software i, implicit, la utilizarea, pe scar larg, a sistemelor informatice bazate pe mediu PC. Practic, sistemele de gestiune i prelucrare a datelor clasice (manual sau mecanic) sunt pe cale de dispariie, fiind nlocuite de sisteme informatice. n aceste condiii, auditorii trebuie s aib cunotine suplimentare de informatic, minimul necesar care s le permit s i desfoare activitatea de control. Pentru a stabili natura, durata i amploarea activitilor de audit, auditorul trebuie s aib suficiente cunotine informatice pentru a face analiza procedurilor de prelucrare utilizate i a rezultatelor acestora. Auditarea sistemelor informatice simple, care prelucreaz datele folosind algoritmi de calcul uor de aplicat, nu impune testarea acestor sisteme folosind proceduri de test implementate pe calculator. n acest caz, auditorii compar rezultatul prelucrrilor datelor de test, obinut manual, cu cel obinut folosind sistemul informatic auditat i analizeaz diferenele. Auditarea sistemelor

8

informatice complexe impune ns folosirea procedurilor de audit implementate pe calculator i proiectarea unor teste suplimentare pentru controlul acestor proceduri. Documentaia ntocmit de auditor, aa-numitul raport de audit, variaz n funcie de complexitatea sistemului informatic auditat. Pentru un sistem cu structur simpl de control intern, poate fi suficient o descriere. De regul, ns, raportul de audit trebuie s conin: Diagramele Sistemului Informatic, care descriu activitile desfurate de sistemul informatic utilizat de organismul economic auditat i care pot fi: diagrame de sistem: sunt folosite, n mod curent, n procesul de audit, ca tehnic de descriere a controlului intern; prezint avantajul c fac parte din documentaia standard a sistemului informatic, prin urmare nu mai trebuie ntocmite de auditor; diagrame de program: prezint, n detaliu, logica unui anumit program folosit de sistemul informatic; auditorii care pot interpreta diagramele de program pot nelege i interpreta controalele coninute ntr-o anumit aplicaie software, folosit de Sistemul Informatic auditat. Chestionare, special proiectate, pentru a fi folosite n procesul de control al sistemului informatic. Concluzie. Proiectarea, realizarea i utilizarea tehnicilor de audit asistate de calculator impun auditorilor, pe lng cunotine temeinice din domeniul economic, cunotine suplimentare din domeniul informatic i din domeniul de activitate al organismelor economice de auditat.

9

CAP.II SOCIETATEA SI SISTEMUL INFORMATIC 2.1 Prezentarea SocietatiiBISET S.A. este o societate pe actiuni constituita conform legii 31/1990 republicata cu capital integral privat romanesc. Este inregistrata la Registrul Comertului nr. J40 / 21109 / 1994, CUI 6502278 cu sediul social in str.Felacului nr. 10 sector 1 Bucuresti. Pricipala activitate este productia de echipamente de telecomunicatii, cod CAEN 3220. Actionariatul firmei este compus din persoane fizice ( 47 ) si o persoana juridica SC ORION Electronic System SRL. Activitatea principala este cea de proiectare, dezvoltare, productie, montaj (instalare) si service pentru echipamente de telecomunicatii, in principal centrale telefonice de institutie si rurale si echipamente de transmisiuni pe fir, sisteme de telecomunicatii la cererea beneficiarilor, alte echipamente electronice, instalatii de telecomunicatii. Sediul central al societatii este in Bucuresti, aici isi desfasoara activitatile urmatoarele compartimente: Management, Marketing, Contabilitate, Aprovizionare, Desfacere, ServiceReparatii. Societatea mai are un punct de lucru in orasul Voluntari unde isi desfasoara activitatile comparimentele Cercetare Dezvoltare si Productie.

2.2 Descrierea sistemului informaticSistemul informatic al firmei este format la sediul din Bucuresti dintr-o retea LAN ( Local Area Network) de tip duplex fiind formata din mai multe miniretele de tip star si contine 4 servere , pe 2 dintre acestea sunt instalate componentele software ale aplicatiilor xerox-uri si imprimante. Reteaua, foloseste pentru accesul la internet doua conexiuni: una prin modem RDSLINK, si alta prin fibra optica tot RDS. Serverele sunt interconectate intre ele prin intermediul unui switch de 24 de porturi. Este o retea complexa, existand atat conexiune directa (pe cablu) cat si wireless (fara fir), dar exista si telefonie VOIP. de contabilitate si 27 de posturi de lucru fixe, 6 switchiuri precum si dispozitive cu functii multiple

10

Laptopurile se conecteaza la acces pointurile wireless, existand si cazuri in care se pot conecta fizic la reteaua locala. Cele 27 calculatoare sunt repartizate pe compartimentele de lucru. Din punct de vedere fizic calculatoarele sunt asezate in birouri in functie de cum se afla fiecare utilizator. Fiecare utilizator are parola de intrare pe statie, parola pe care nu o stie numai el si trebuie schimbata periodic. Intretinerea retelei de calculatoare este asigurata de un administrator IT , angajat al societatii. Acesta asigura buna functionare a calculatoarelor, a retelei, a imprimantelor din punct de vedere electronic si soft. Se utilizeaza ca sistem de operare Windows XP. Datorita faptului ca este un sistem recent acesta are incorporat firewall-ul. Firewall-ul poate mpiedica persoanele straine s intre pe computerul utilizatorului prin Internet. Un firewall poate tine la distan traficul Internet cu intentii rele, de exemplu hackerii, viermii si anumite tipuri de virusi, nainte ca acestia sa puna probleme sistemului. Utilizarea unui firewall este important n special daca calculatorul este conectat n permanenta la Internet.

2.3 Strategia de securitate la nivelul organizatieiEste important ca organizatiile sa constientizeze riscurile asociate cu utilizarea tehnologiei si gestionarea informatiilor si sa abordeze pozitiv acest subiect printr-o constientizare n rndul angajatilor a importantei securitatii informatiilor, ntelegerea tipologiei amenintarilor, riscurilor si vulnerabilitatilor specifice mediilor informatizate si aplicarea practicilor de control Datorita faptului ca informatia cat si accesul la informatie in timp util pentru luarea deciziilor optime ce sa maximizeze rata profitabilitatii reprezinta o caracteristica a activitatii economice actuale, comunicarea prin intermediul internetului este esentila ; deci trebuie sa-i acordam atentie cuvenita, sa-i cunoastem avantajele si vulnerabilitatile specifice pentru a putea construi o strategie de securitate optima la nivelul societatei. In deplina concordanta cu masurile ce se impun pentru securizarea informatica in interiorul societatii. O gestiune corespunzatoare a documentelor n format electronic face necesara implementarea unor masuri specifice. Masurile ar trebui sa asigure protectia informatiilor mpotriva pierderii, distrugerii sau divulgarii neautorizate. Cel mai sensibil aspect este acela de a 11

asigura securitatea informatiei gestionata de sistemele informatice n noul context tehnologic ; astfel este necesara o permanenta analiza si corelare a planurilor de perspectiva privind dezvoltarea din punct de vedere economic cu suportul furnizat de sistemul informational ce este unul dintre pilonii de baza in atingerea acestui obiectiv. Strategia de securitate IT la nivelul societatei presupune implementareea unui set de masuri specifice pentru protectia mediului IT ( calculatoare, retele , sisteme informationale si baze de date ) impotriva atacurilor intentionate (spionaj, sabotaj industrial-informational, etc.) sau a oricarui tip de distrugere accidentala respectand legislatia nationala in vigoare si reglementarile internationale . Trebuie avut in vedere faptul ca la nivel national legislatia incepe sa acopere din ce in ce mai mult necesarul de reglemantari in acest domeniu. La nivel internatioanl unica societate recunoscuta ce grupeaza si certifica specialisti in domeniul auditului sistemelor informationale este Asociatia pentru Auditul si Controlul Sistemelor Informationale (abrevierea conform denumirii din engleza fiinf ISACA) ce elaboreaza standardele necesare reglementarii globale a acestei activitati. Obiectivul principal al unui program pentru protectia informatiilor l reprezinta asigurarea ncrederii partenerilor de afaceri, avantajul competitiv, conformitatea cu cerintele legale si maximizarea investitiilor Indiferent de forma pe care o mbraca, mijloacele prin care este memorata, transmisa sau distribuita, informatia trebuie protejata.

2.4 Analiza riscurilor informaticePentru evaluarea riscurilor la care este expus sistemul informatic se vor elabora urmatoarele chestionare : chestionar pentru evaluarea riscului privind intergitatea datelor chestionar privind riscul de acces chestionar privind riscul de protectie antivirus chestionar privind riscul de management al situatiilor neprevazute

Fiecare risc se va evalua cu risc mare, mediu sau scazut. Se va intocmi un raport final privind managementul riscurilor la societatea BISET SA. 12

Chestionar pentru evaluarea riscurilor privind integritatea datelor Factor de importanta [ Wi] 4

Nr. Intrebare intrebarii 1 Informatiile sunt inregistrate in ordine cronologica Lipsa sau duplicarea anumitor informatii este detectata si investIgata Informatiile care reprezinta intrari pentru sistem sunt aprobate de catre un responsabil Exista proceduri formale scrise de operare a unui sistem Exista proceduri pentru realizarea copiilor de siguranta Exista proceduri pentru controlul erorilor

Raspuns DA / NU DA

Ri x Wi 0

2

DA

4

0

3

DA

3

0

4 5

NU DA

2 4

2 0

6

NU

2

2

7

Exista controale prin care sa se determine utilizarea neadecvata a sistemului Sunt prevazute proceduri de repornire a sistemului in caz de oprire accidentala Distributia situatiilor de iesire se face sub semnatura Informatiile sunt clasificate in functie de importanta si gradul de secretizare

DA

2

0

8

DA

4

0

9

NU

3

3

10

NU

4

4

Nivel risc = 4 x Ri X Wi / Wi = 4 x 9 / 32 = 436 / 32 = 1,125

13

Chestionar privind evaluarea riscului de acces Nr. intrebarii 1 Raspuns DA / NU DA Factor de importanta [ Wi] 2

Intrebare Atribuirea si schimbarea conturilor utilizatorilor fac obiectul unei aprobari scrise? Accesul la date si soft respecta principiul :"trebuie sa stie?" Toate incercarile de accesare neautorizata a sistemului sunt inregistrate, raportate si investigate? Sistemul este configurat astfel incat sa i se refuze unui utilizator accesul la sistem dupa 3 (5) incercari esuate? Exista o politica scrisa care sa prevada situatiile in care au acces la resursele informationale si consultantii acesteia (terte parti) Statiile de lucru sunt dotate cu soft care sa blocheze accesul la retea atunci cand utilizatorul nu se afla la statia sa? Exista un management adecvat al parolelor de acces? Drepturile de acces la resursele informationale sunt revizuite si actualizate periodic? Este instalat un firewall care sa permita detectarea accesului neautorizat din reteaua internet? S-a realizat un training adecvat utilizatorilor privind accesul (alegerea unei parole) la resursele informationale?

Ri x Wi

0

2

DA

4

0

3

DA

4

0

4

DA

2

0

5

NU

3

3

6

NU

3

3

7

DA

4

0

8

DA

4

0

9 10

NU DA

4 2

4 0

Nivel risc = 4 x Ri X Wi / Wi = 4 x 10 / 32 = 40 / 32 = 1,25 14

Chestionar privind protectia impotriva virusilor Factor de importanta [ Wi] 4 4

Nr. intrebarii 1 2

Intrebare Toate calculatoarele din retea sau de sine statatoare au instalat un software antivirus cu licenta? Acest software se actualizeaza automat? Software-ul este configurat astfel incat sa permita scanarea periodica a hard discurilor si sa interzica utilizatorilor dezactivarea acestuia? Server-ul de email are instalat un antivirus de email? Lucrul cu elementele de memorie externa, este controlat? Programele freeware si shareware, fisiere downloadate, fisiere atasate la email, sunt verificate inainte de a fi activate? Conducerea a fost atentionata cu privire la potentialele pericole pe care le implica virusii? Utilizatorii cunosc procedurile de anuntare a aparitiei unui virus? Exista restrictii de marime a fisierelor, permise a fi downlodate, incarcate in sistem? Pe toate serverele este instalata aceeasi versiune de antivirus?

Raspuns DA / NU DA DA

Ri x Wi 0 0

3

DA

4

0

4 5

DA DA

3 4

0 0

6

DA

4

0

7

DA

4

0

8

NU

2

2

9

DA

3

0

10

NU

1

1

Nivel risc = 4 x Ri X Wi / Wi = 4 x 3 / 33 = 12 / 33 = 0,364

15

Chestionar privind evaluarea riscului de management al situatiilor neprevazute

Nr. intrebarii 1

Intrebare Exista un plan de recuperare in caz de dezastre la nivelul societatii? Acest plan de dezastre este actualizat si testat anual? Exista un contract de asigurare al organizatiei pentru evenimente neprevazute? Exista o locatie alternativa de punere in functiune a sistemului? Exista un jurnal in care se consemneaza orice cadere, eveniment de dezastru al sistemului? Angajatii sunt instruiti privind modul de actiune in caz de dezastru? In proiectarea planului de recuperare in caz de dezastre s-a tinut cont de pierderea personalului cheie? Se realizeaza copii de siguranta pentru softul din sistem? Aceste copii de siguranta sunt pastrate intr-o alta locatie decat locul unde isi desfasoara activitatea organizatia? Managementul a fost informat asupra necesitatii de realizare a back-up-urilor, planului de recuperare in caz de dezastre?

Raspuns DA / NU DA

Factor de importanta [ Wi] 4

Ri x Wi 0

2

NU

2

2

3

DA

4

0

4 5 6

DA NU NU

3 3 3

0 3 3

7

NU

2

2

8 9

DA DA

4 4

0 0

10

DA

4

0

Nivel risc = 4 x Ri X Wi / Wi = 4 x 10 /33 = 40 / 33 = 1,212 16

Nivelul global al riscului la nivelul firmei BISET S.A. este 9,846 :

Nr. Crt. 1 2 3 4 5 6 7 8

Tipul riscului Chestionar pentru evaluarea riscului de securitate fizica Chestionar pentru evaluarea riscurilor de comunicare Chestionar pentru evaluarea riscurilor privind integritatea datelor Chestionar privind evaluarea riscului de acces Chestionar privind protectia impotriva virusilor Chestionar privind evaluarea riscurilor de personal Chestionar privind evaluarea riscului de integritate Chestionar privind evaluarea riscului de management al situatiilor neprevazute

Nivelul de risc 1,0588 1,8750 1,1250 1,2500 0,3640 1,0000 1,5760 1,2120

Evaluare nivel risc Risc scazut Risc scazut Risc scazut Risc scazut Risc scazut Risc scazut Risc scazut Risc scazut

17

CAP.III CONTROLUL PROGRAMULUI DE CONTABILITATE 3.1 Auditul unei aplicatii din sistemPentru organizarea contabilitatii si a evidentei stocurilor societatea a achizitionat un program specializat de la firma DEMECO ROMANIA SA, firma ocupandu-se si de distribuirea si implementarea programului. Aceasta a pus la dispozitia utilizatorilor un manual complex de utilizare a programului si ofera si in prezent asistenta pentru softul achizitionat. Instruirea noilor angajati cu privire la functionarea programului si utilizarea functiilor sale se realizeaza de catre angajatii existenti deja familiarizati cu programul. Utilizand baza de date ORACLE , comunicare intre componentele functionale si serverul de baze de date este realizata cu SQL*Net. Cu SQL*Net baza de date si aplicatiile pot sa fie localizate pe calculatoare diferite si comunica una cu cealalta la nivel de aplicatie. La momentul implementarii nu s-a facut o departajare a drepturilor de utilizare , fiecare utilizator al programului avand atat drepturi de adaugare cat si drepturi de stergere si modificare a inregistarilor. Controlul acestei aplicatii abordeaza : controlul datelor de intrare controlul asupra procesarii si fisierelor de date controlul datelor de iesire

Controlul datelor de intrare presupune: controlul accesului la aplicatiile informatice din sistem

18

Operatorul ce a introdus datele in sistem

Constatari : daca utilizatorul care incearca accesarea programului daca nu este autorizat pentru aceasta sau a tastat gresit parola , sistemul a returnat un mesaj de eroare si nu i s-a permis accesul. Cu ajutorul numelui de user folosit se poate verifica si persoana ce a introdus datele in sistem sau a operat modificari. controlul asupra acuratetei datelor de intrare , pentru aceasta se vor face o serie de teste ce urmaresc sa detecteze date incomplete, incorecte si nerezonabile. Se vor introduce urmatoarele date eronate: a) cod fiscal format din caractere numerice si alfabetice b) validarea unor inregistrari incomplete

19

Constatari: - la introducerea unui partener nou in baza de date se observa ca sistemul permite introducerea unui cod fiscal format atat din date numerice cat si alfabetice - nu permite validarea unor inregistrari incomplete , sistemul returnand un mesaj de atentionare c) inregistrarea unei facturi avand drept data de emitere o data anterioara perioadei curente

20

Constatari: - campul datei facturii permite introducerea datei conditionata de validitatea perioadei in care se lucreaza, respectiv luna si anul calendaristic pentru care se introduce factura. Astfel, nu este posibila introducerea unei facturi aferenta altei perioade in luna si anul curent.

21

Daca aceasta conditie nu este indeplinita sistemul trimite un mesaj de averizare si nu permite continuarea operatiilor pana cand nu se introduce o data valida. d) inregistrarea unei facturi avand data de inregistrare anterioara datei de emitere a documentului

Constatari: sistemul nu valideaza aceasta inregistrare pana cand nu se face corectia adecvata Controlul prelucrrii datelor ne asigur c tranzaciile nu au fost pierdute, adugate, duplicate sau modificate i c erorile de procesare au fost identificate i corectate n timp util. Se vor introduce urmatoarele date eronate: a) pentru testarea duplicitatii datelor se incearca inregistrarea a doua facturi cu acelasi numar

22

Constatari: sistemul va emite un mesaj de atentionare spunandu-ne ca mai exista in baza de date o factura cu acelasi numar. In cazul in care factura cu acest este primita de la furnizori diferiti sistemul permite validarea inregistrarii in caz contrar nu va permite acesta inregistrare . b) Campurile Total si TVA total sunt calculate automat pe baza datelor introduse anterior in campurile Cantitate si Pret. 23

Constatari: Rubrica TVA permite ajustarea sumei de catre utilizator daca cea calculata automat de program nu corespunde cu cea inscrisa pe factura sau daca cota de TVA nu este corespunzatoare. c) facturile de achizitie a materialelor si materiilor prime sunt generate automat pe baza de NIR si se incearca o modificare sau chiar stergere a unei pozitii de pe factura

24

Buton pentru generarea automata a facturii

25

Constatari: daca se incearca generarea a doua facturi de aprovizionare cu materiale avand la baza un NIR sistemul va emite un mesaj de atentionare si nu va valida aceasta operatie si nu va permite stergerea niciunei pozitii din factura . d) se testeaza daca sistemul permite stergerea de facturi introduse

Constatari: indiferent ca este vorba de o factura primita de la un furnizor sau ca este o factura emisa de societate intai sistemul intreaba daca aceasta factura se doreste a fi strearsa si daca primeste un raspuns afirmativ continua procedura de stergere a documentului , dar daca aceasta inregistrare este una validata si contata ne avertizaeza ca nu se poate efectua operatia dorita. e) vizualizarea si printarea facturilor emise, cautarea facturilor dupa mai multe criterii: data emiterii facturii, data inregistrarii facturii, numarul facturii, denumire client, valoarea facturii

26

Controlul datelor de iesire :se urmareste corectitudinea si acuratetea datelor de iesire, respectarea termenelor prevazute pentru obtinerea iesirilor. Iesirile sunt dirijate catre imprimante la cererea utilizatorilor. Se pot obtine diferite situatii : jurnalul de vanzari pe o anumita perioada si prin compararea acestuia cu fisa contului 4427 - TVA colectata se pot depista, in cazul in care apar diferente , operatiuni omise la inregistrare sau inregistrate eronat.

27

fise detaliate ale clientilor pe anumite perioade din care sa rezulte situatia

facturilor emise si precum si a facturilor ramase neincasate.

28

tinandu-se cont de faptul ca in momentul validarii unei operatiuni trebuie sa se aleaga dintr-o lista, schema de contare utilizata si daca aceasta lista nu este actualizata cu noile operatiuni aparute sistemul permite inregistrarea documentului , dar nu va efectua si contarea documentului. Pentru a nu aparea situatii in care aceste documente sa ramana necontate sistemul ofera posibilitatea listarii acestor documente oferind astfel posibilitate corectarii unor astfel de erori.

29

3.2 Raportul de audit Scopul si obiectivele urmariteObiectivul general al misiunii de audit a constat n evaluarea performantei sistemului informatic al S.C. BISET SA. Tinnd cont de complexitatea problematicii abordate, sustinuta n cadrul sistemului informatic prin numeroase aplicatii informatice, a fost urmarita cu prioritate aplicatia contabila a unitatii. Prezentul audit a fost efectuat in scopul: - verificarii mediului de functionare a procedurilor de intrare, prelucrare si iesire prevazute de programul informatic. - verificarii cuprinderii in procedurile de prelucrare a reglementarilor in viguare si a posilbilitatii de actualizare a acestor proceduri in functie de modificarile survenite in legislatie. - verificarea operatiilor economice si financiare inregistrate in contabilitate astfel incat acestea sa fie efectuate in concordanta stricta cu prevederile actelor normative care le reglementeaza.

30

Probe In scopul realizarii misiunii sale de audit auditorul a folosit probe fizice, documente, reprezentari si analize. Auditorul a verificat prin sondaj concordanta dintre documentele existente fizic la societate si inregistrarile aferente acestora in cadrul sistemului informatic. In verificarile sale auditorul a folosit rezultatul unor interogari ale bazei de date, prelucrari efectuate de programul de contabilitate, inregistrari ale tranzactiilor, rezultate obtinute in urma unor comparatii si calcule efectuate de auditor. Auditorul a verificat de asemenea politici, proceduri si regulamente interne elaborate de managementul societatii in cauza, gradul de instruire a personalului, documentatia aferenta programelor, echipamentele tehnice utilizate si configuratiile acestora, existenta licentelor de folosire pentru toate soft-urile utlizate de societate. Conducerea societatii a pus la dispozitia societatii toate probele solicitate de auditor, acesta considerand ca probele utlizate au fost suficiente pentru elaborarea unei concluzii. Natura si intinderea lucrarilor efectuate Auditarea sistemului informatic s-a facut atat din punct de vedere contabil cat si din punct de vedere al echipamentelor folosite, configuratiilor acestora, riscurilor care ameninta buna desfasurare a activitatii firmei. In efectuarea auditului, auditorul a aplicat normele si standardele de audit in viguare Concluzii: In urma controalelor facute auditorul a constat: procedurile folosite corespund reglementarilor in vigoare exista posibilitati de actualizare a procedurilor daca apar modificari in legislatie eventualele erori care pot aparea in functionarea programului informatic sunt fiecare data integistrata in programul de contabilitate se regaseste in continutul unui programul informatic asigura listele operatiunilor efectuate in contabilitate pe baza de

remediate de catre o firma specializata. document la care au acces atat beneficiarii cat si organele de control. documente justificative numerotate in ordine cronologica, interzicandu-se inserari, intercalari, precum si orice eliminari sau adaugari ulterioare. 31

inchisa. -

programul asigura reluarea automata in calcul a soldurilor conturilor obtinute anterior programul nu permite inserari, modificari, sau eliminari de date pentru o perioada programul asigura respectarea continutului de informatii prevazut pentru toate tipurile exista un foarte mare risc de acces deoarece nu exista conturi si niveluri de acces al sistemul informatic este protejat corespunzator impotriva virusilor si a atacurilor din personalul societatii este instruit corespunzator cu privire la utlizarea programului de

de formulare. utilizatorilor la informatiile si functiile programului informatic exteriorul retelei contabilitate. Recomandri: Pentru imbunatatirea performantelor si reducerea la minim a riscurilor se impune luarea urmatoarelor masuri: acestia. sa se realizeze o departajare pe functii si posturi a personalului sa se efectueze salvari ale datelor din sistem periodic, mai des decat perioada actuala sa se restrictioneze accesul la Internet al utilizatorilor, folosirea de dischete de catre

care este de o luna, iar suporturile cu date sa fie pastrate in mai multe locatii din afara firmei.

32

BIBLIOGRAFIE

1. Boulecu Mircea, Doina Fusaru, Zenovic Gherasim- Auditul Sistemelor Informatice FinanciarContabile, Editura Tribuna Economic, 2005, Bucureti.

2. tefan Popa, Claudia Ionescu- Audit n medii informatizate, Editura Expert, 2005, Bucureti. 3. Ali Eden, Victoria Stnciu- Auditul Sistemelor informatice, Editura Dual Tech, 2004, Bucureti. 4. Munteanu A.- Auditul sistemelor informaionale contabile, Editura Polirom, 2001, Iai. 5. O. Ray Whittington, Kurt Pany, Walter B. Meigs, Robert F. Meigs- Principles of Auditing. TenthEdition, IRWIN Boston.

6. Jack J. Champlain- Auditing Information Systems, Second Edition, John Wiley & Sons Inc., 2003,USA.

7. Victor Munteanu- Control i Audit Financiar Contabil, Editura LUMINALEX, 2003, Bucureti. 8. Cazan, D.: Validarea modelelor de evaluare a caliti sistemelor informatice, Referat doctorat, Bucureti, ASE,Facultatea CSIE, 2004 9. Brnda, C.: Auditul sistemelor informatice de gestiune, note de curs, Timioara, Facultatea de tiine Economice, Universitatea de Vest, 2004

33