Auditarea Sistemelor Informatice

SINTEZA CURS AUDITAREA SISTEMELOR INFORMATICE TEMA 1 CONTROLUL INTERN NTR-UN SISTEM INFORMATIC Obiective: - nsuirea unor metode i tehnici de verificare a corectitudinii prelucrrilor efectuate ntr-un sistem informatic; - folosirea controalelor generale i a controalelor de aplicaie ntr-un sistem informatic. Concepte cheie: controale generale, controale organizatorice, documentaia de sistem, controale hardware, controale de siguran, controale de aplicaie, controale de intrare, controale de prelucrare, controale de ieire. Controlul intern ntr-un sistem informatic presupune utilizarea unor metode i tehnici de verificare a corectitudinii rezultatelor prelucrrilor realizate n interiorul su, cunoscute, n literatura de specialitate, sub denumirea de controale. Altfel spus, controlul intern ntr-un sistem informatic se realizeaz cu ajutorul controalelor. n literatura de specialitate, controalele sistemelor informatice sunt clasificate n controale generale i controale de aplicaie. Controalele generale sunt msuri de protecie a echipamentelor, datelor i programelor care privesc toate aplicaiile unui sistem informatic i pot fi de urmtoarele tipuri [1] : 1) controale organizatorice: msuri organizatorice folosite pentru protecia la fraude, neatenie i/sau neglijen; 2) documentaie de sistem, folosit pentru verificarea funcionrii sistemului, n conformitate cu cerinele utilizatorului, specificate n proiectul de execuie; 3) controale hardware (controale de echipament): msuri de protecie la defeciunile tehnice; 4) controale de siguran (echipamente i fiiere): msuri de protecie la pierdere, distrugere sau alterare, la accesul neautorizat sau la calamiti (ap, foc etc.). 1. Controale organizatorice n sistemul informatic1

Controalele organizatorice sunt metode i tehnici de organizare a activitilor desfurate de organismele economice, folosite pentru prevenirea pierderilor i/sau alterrilor de date determinate de fraud, neatenie i/sau neglijen, n vederea asigurrii unui control intern eficient n sistemele de prelucrare a datelor utilizate de acestea. Principalele tipuri de controale organizatorice sunt [1] : a) - definirea clar a funciilor, urmat de definirea i separarea clar a sarcinilor angajailor pentru fiecare funcie; b) - rotaia angajailor pe funcii i vacane obligatorii; c) - selecia angajailor care au acces la echipamentele i programele sistemului informatic i acordarea unui spor de fidelitate. a) Definirea clar a funciilor, urmat de definirea i separarea clar a sarcinilor angajailor pentru fiecare funcie Pentru folosirea eficient a fiecrui calculator din dotare, organismele economice combin i concentreaz funciile de prelucrare a datelor la nivelul unui compartiment specializat, numit departament de informatic sau centru de calcul sau centru de prelucrare automat a datelor. Dac funciile combinate i/sau concentrate la nivelul departamentului de informatic sunt considerate incompatibile din punctul de vedere al unui control intern puternic, se realizeaz controale organizatorice compensatoare la nivelul planului de organizare al departamentului informatic respectiv, deoarece ntr-un sistem informatic programele i datele pot fi schimbate, fr a se observa modificarea lor. Planul de organizare al departamentului informatic trebuie astfel conceput nct s previn intervenia neautorizat a factorului uman n procesul de prelucrare automat a datelor, s previn accesul neautorizat al personalului la echipamentele, programele sau datele sistemului informatic. Acest lucru poate fi realizat prin definirea clar a funciilor n departament i prin definirea i separarea clar a sarcinilor angajailor pentru fiecare funcie. Directorul departamentului de informatic (managerul) are sarcinile de a coordona activitatea departamentului de informatic i de a autoriza tranzaciile pentru prelucrarea automat a datelor; dac, din punct de vedere organizatoric, nu este constituit un compartiment specializat de informatic, aceast funcie poate lipsi. Administratorul sistemului informatic are sarcinile de a supraveghea prelucrarea corect a datelor i stocarea (memorarea) acestora n sistem. Grupul de analiz (proiectanii), care exist numai n cazul organismelor economice cu domeniu de activitate specific sau cu putere economic mare, avnd, n principal, urmtoarele sarcini de proiectare i realizare a sistemului informatic: - analiza sistemului informatic existent, dac exist; - definirea obiectivelor organismului economic i a nevoilor de calcul aferente diferitelor compartimente ale acestuia; - stabilirea mijloacelor necesare pentru realizarea sistemului informatic;2

- descrierea sistemului informatic, folosind diagrame i instruciuni detaliate. Grupul de programare (programatorii), care exist numai n cazul organismelor economice cu domeniu de activitate specific sau cu putere economic mare i are urmtoarele sarcini: - realizarea schemelor logice necesare pentru scrierea programelor care ruleaz pe calculator, bazndu-se pe specificaiile ntocmite de grupul de analiz; - scrierea (codificarea) programelor cerute, folosind limbaje de programare specializate compilatoarele aferente i programe utilitare; - verificarea programelor folosind ca date de test fie nregistrri originale, fie nregistrri mostr i corectarea erorilor de programare, dac este cazul; - ntocmirea documentaiei necesare instalrii aplicaiei software i utilizrii acesteia (instruciunile de instalare pe calculator i de operare). Grupul de exploatare (operatorii) are urmtoarele sarcini: - folosirea aplicaiei software, n conformitate cu instruciunile scrise de programatori; - sesizarea i corectarea erorilor semnalate n timpul rulrii programului; sistemul de operare i sistemul informatic se programeaz s pstreze o list detaliat a tuturor interveniilor operatorului. Grupul de arhivare programe i date (fiiere de programe i de date) are sarcinile de creare i ntreinere a arhivelor de programe i de date (de referin) pentru a evita pierderea, distrugerea, folosirea neautorizat sau alterarea. Grupul de pregtire a datelor: are sarcinile de pregtire i verificare a datelor introduse n sistem, n vederea prelucrrii. Grupul de control are urmtoarele sarcini: - verific i testeaz toate procedurile de introducere a datelor; - monitorizeaz prelucrarea automat a datelor, folosind calculatorul; - verific rapoartele de erori nregistrate de sistemul informatic i efectueaz teste de identificare a cauzelor de apariie a acestora; - verific rezultatele prelucrrilor i le distribuie ctre utilizatori; - verific jurnalul interveniilor operatorilor, jurnalul utilizrii bibliotecii de programe i arhivelor de date i programe. Organismele economice care folosesc sisteme informatice pentru evidena computerizat a activelor trebuie s limiteze, pe ct posibil, accesul personalului de exploatare la activele respective. Totui, personalul de exploatare al unui sistem informatic poate avea: - acces direct la active; exemplu: dac sistemul informatic este folosit pentru tiprirea cecurilor (acces direct la sume de bani); - acces indirect la active; exemplu: dac sistemul informatic este folosit pentru a genera ordine de livrare cu autorizarea de eliberare a mrfii (acces direct la marfa de livrare).

3

Ca msur de control compensatorie se pot folosi documente i totaluri pe loturi, lista cu numrul de documente i totalul datelor semnificative pentru fiecare lot fiind pregtite n dou departamente diferite ale organismului economic respectiv, pentru compararea rezultatelor. Controalele compensatorii nu pot elimina, n ntregime, riscul rezultat din faptul c personalul de exploatare a sistemului informatic are acces, direct sau indirect, la activele organismului economic. Din acest motiv, auditorii trebuie s tie c, acolo unde personalul de exploatare a sistemului informatic are acces la active, frauda care implic utilizarea calculatoarelor poate fi mai mare dect n alte cazuri. b) Rotaia, pe funcii, a angajailor care au legtur cu sistemul informatic implementat de un organism economic se face cu scopul de a evita schimbrile neobservabile de date i programe efectuate n calculator, fie din interes (fraud), fie din neatenie sau neglijen. Planul de organizare al unui departament de informatic trebuie s includ un mecanism de rotaie a sarcinilor i vacane obligatorii pentru angajaii si, pentru c schimbarea programatorilor sau operatorilor (ntre ei) faciliteaz descoperirea modificrilor accidentale sau neautorizate de date i programe. c) Selecia angajailor care au acces la echipamentele i programele sistemului informatic folosit de un organism economic, precum i la datele vehiculate n cadrul acestuia, trebuie fcut pe baza unor criterii care elimin, pe ct posibil, posibilitile de fraud i producerea erorilor din lipsa cunotinelor profesionale, din neatenie sau neglijen; personalul de ntreinere i exploatare trebuie ales cu grij, pentru a reduce posibilitatea de distrugere intenionat produs de un angajat nemulumit. Principalele criterii de selecie a personalului care are legtur cu sistemul informatic sunt: nivelul de pregtire profesional, moralitate i seriozitate, fidelitatea fa de organismul economic la care lucreaz. Selecia atent a personalului care se ocup cu prelucrarea i evidena datelor din cadrul unui organism economic este foarte important n realizarea unui control intern eficient, indiferent de tipul sistemului de prelucrare i eviden a datelor utilizat (manual, mecanic, semiautomat sau automat). 2. Documentaia sistemului informatic Controlul intern eficient ntr-un sistem informatic impune ntocmirea i ntreinerea unei documentaii care trebuie s cuprind: aprobrile pentru realizarea sistemului informatic iniial i pentru toate modificrile ulterioare ale acestuia; documentaia complet, care s descrie, n detaliu, sistemul informatic i procedurile folosite de acesta pentru prelucrarea i evidena datelor. Documentaia sistemului informatic trebuie s cuprind: - descrierea complet i inteligibil a sistemului de prelucrare a datelor, inclusiv a diagramelor de sistem; - descrierea naturii intrrilor i ieirilor;4

- descrierea operaiilor efectuate asupra datelor; - responsabilitile pentru introducerea datelor, corectarea i reprocesarea datelor eronate, realizarea sarcinilor de control etc. Documentaia complet a unui sistem informatic este compus din: - manualul de operare sau de utilizare, pentru uzul utilizatorului i operatorului, care conine instruciuni de: pregtire date pentru prelucrare i introducere n sistem, configurare i folosire terminale i echipamente periferice (monitoare, imprimante etc.), ntreinere programe componente i date stocate (nregistrate) n interiorul sistemului. - documentaia programului, care conine o descriere complet a fiecrui program component al sistemului informatic respectiv i care trebuie s includ cel puin: prezentarea, n detaliu, a obiectivelor fiecrui program; diagramele logice i paii importani, pentru fiecare program; lista i explicaia controalelor asociate fiecrui program; descrierea modului de organizare i de arhivare a datelor; exemple de ieiri, inclusiv liste de erori; listing-uri de program, n limbaj-surs; manualul cu instruciunile de folosire, pentru fiecare program; datele folosite pentru testarea i depanarea fiecrui program. Documentaia complet a sistemului informatic este necesar analitilor de sistem, ingineri de sistem i programatori analiti, pentru depanare sau realizarea unor modificri. Documentaia complet a sistemului informatic utilizat de un organism economic este util i auditorilor de sisteme informatice, pentru: - determinarea logicii de prelucrare folosite de sistemul informatic auditat, n vederea identificrii eventualelor erori de prelucrare produse n interiorul lui; - determinarea schimbrilor (modificrilor) efectuate n sistemul informatic auditat, dup instalarea acestuia; - identificarea controalelor integrate n sistemul informatic auditat. 3. Controale hardware Controalele integrate de fabricant n fiecare tip de echipament sunt cunoscute n literatura de specialitate sub numele de controale hardware. Cele mai ntlnite controale hardware sunt [1] : a). Ecoul: const ntr-un semnal pe care echipamentul periferic l trimite (returneaz) ctre unitatea central de prelucrare, dac a recepionat corect datele transmise de aceasta; prin ecou se verific dac echipamentul periferic se comport n conformitate cu instruciunile primite de la unitatea central de prelucrare. b) Autodiagnoza const n folosirea unor tehnici i proceduri hardware pentru testarea propriilor circuite; majoritatea echipamentelor moderne, care fac parte din sistemele de prelucrare automat a datelor, conin tehnici sau proceduri de autodiagnoz; c) Verificarea prin duplicare: const n realizarea fiecrei operaii de dou ori i compararea rezultatelor; n procesul dublu de verificare, cunoscut sub

5

numele de citire dup scriere, calculatorul citete datele, dup transferarea lor n sistem, i le verific corectitudinea. d) Verificarea paritii const n controlul sau verificarea paritii ntr-un sistem de calcul digital, modern, care prelucreaz datele n serii de bii (cifrele binare 1 i 0). 4. Controale de siguran Fiecare sistem automat de prelucrare a datelor trebuie s dispun de controale pentru asigurarea siguranei: echipamentelor componente (hardware), pentru a nu fi deconfigurate (accidental sau voit), descompletate i/sau distruse; programelor i fiierelor de date, pentru a nu fi pierdute, alterate, distruse sau accesate de personal neautorizat; aceste evenimente se pot produce accidental sau voit. Principalele tipuri de controale de siguran utilizate pentru protecia unui sistem informatic sau a componentelor acestuia, hardware sau software, sunt [1] : a) Programarea sistemului de operare al fiecrui calculator: s ntocmeasc un jurnal al utilizrii tuturor echipamentelor periferice accesibile (ultimele utilizri); s emit un semnal de atenionare, dac se fac tentative de acces repetat n sistem, prin folosirea unor parole incorecte, sau tentative de efectuare a unor operaii care pot distruge datele sau pot genera anomalii n funcionarea sistemului respectiv; b) Accesul utilizatorilor n sistemul informatic pe baz pe nivele de acces i parol individual secret. c). Crearea funciei de administrator al bazei de date, pentru protejarea acesteia la accesul neautorizat, de ctre organismele economice care utilizeaz sisteme informatice tip baz de date; administratorul unei baze de date are sarcina principal de administrare a accesului la baza de date, deoarece, din punctul de vedere al controlului intern ntr-un astfel de sistem, este foarte important ca baza de date s fie protejat mpotriva accesului neautorizat. d) Programarea fiecrei componente a software-ului de aplicaie utilizat de sistemul informatic: s emit un semnal de atenionare, dac se fac tentative repetate de acces (prin folosirea unor parole incorecte), dac se ncearc efectuarea unor operaii care pot distruge datele sau pot genera anomalii n funcionarea sistemului respectiv. s ntocmeasc o list a celor mai receni utilizatori: nume, parol, data i ora accesului; aceasta permite identificarea momentelor cnd s-au produs incidente i a utilizatorilor care, prin modul de operare, determin anomalii n funcionarea sistemului informatic, pierderi sau alterri de programe sau date, cu scopul de a afla informaii legate de incidentele respective, n vederea stabilirii posibilitilor de refacere a sistemului, i de se ridica dreptul de acces tuturor celor care nu-l exploateaz corect;6

s ntocmeasc o list cu ultimele operaii efectuate de fiecare utilizator. e) Crearea unor copii de siguran pentru toate componentele software utilizate de sistemul informatic (fiiere de date i programe etc.), lucru care permite refacerea acestora, dac sunt pierdute sau alterate. f) Msuri de protecie la accidente sau sabotaj (foc, ap, distrugere etc.), care previn distrugerea accidental sau deliberat a sistemului informatic. Controalele de aplicaie sunt tehnici de control specifice, integrate n software-ul de aplicaie (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea i protecia datelor stocate n sistemul respectiv i a rezultatelor prelucrrilor efectuate asupra acestor date. Se proiecteaz i se realizeaz o dat cu fiecare sistem informatic. Principalele tipuri de controale de aplicaie sunt [1] : 1) controale de intrare: msuri de asigurare a corectitudinii intrrilor sistemului; 2) controale de prelucrare: msuri de asigurare a corectitudinii prelucrrilor efectuate n interiorul sistemului; 3) controale de ieire: msuri de asigurare a corectitudinii ieirilor sistemului. 1. Controlul intrrilor Controlul intrrilor const n tehnici de verificare a datelor primite pentru prelucrare, la introducerea acestora n sistemul informatic. Aceste tehnici, numite controale de intrare, permit introducerea n sistemul informatic numai a datelor care sunt autorizate, corecte i complete din punctul de vedere al evidenei i controlului activitilor desfurate n cadrul organismului economic sau compartimentului specializat al acestuia pentru care s-a proiectat sistemul respectiv. a) Autorizarea introducerii datelor n sistemul informatic prin implementarea unor controale de acces specifice care dau dreptul de autorizare numai: personalului departamentului la care s-a ntocmit documentul de eviden i control (suport material sau pe care sunt nregistrate datele iniial); personalului cu nivelul de acces corespunztor, pentru sistemele on-line n care datele se introduc direct, de la terminale aflate n locaii diferite, la distan de sistemul de calcul n care sunt stocate i/sau prelucrate. b) Validarea intrrilor const n aplicarea unor tehnici de verificare a corectitudinii i completitudinii datelor, pe msura introducerii lor n sistemul informatic; aceste tehnici, controale de validitate, pot fi de urmtoarele tipuri: test de limit: verific corectitudinea datelor prin verificarea ncadrrii acestora ntre limitele (inferioar i/sau superioar) prestabilite pentru fiecare tip de date, pe baza regulilor de gestiune proprii organismului economic sau legislaiei n vigoare;

7

test de validitate: verific autenticitatea datelor care se introduc n sistem, prin compararea lor cu valorile predefinite pentru tipul respectiv de date, memorate ntr-un tabel numit tabel master; numr de autocontrol: verific precizia unui numr la introducerea n sistem sau dup ce a fost transmis de la un terminal la altul, prin memorarea unei informaii redundante; exemplu: ultimele dou cifre trebuie s fie suma celorlalte; mecanism de testare dubl: verific corectitudinea unei date prin introducerea acesteia n sistem de dou ori, n mod independent; Validarea intrrilor, prin aplicarea unor tehnici de verificare asupra datelor, la introducerea lor n sistem, asigur: corectitudinea datelor: sunt acceptate numai datele corecte, care trec testele de verificare, fiind rejectate toate cele care nu ndeplinesc condiiile impuse de testele de verificare respective; completitudinea datelor: sunt identificate datele care lipsesc i sunt solicitate, pn cnd sunt introduse, ntruct absena lor nu permite obinerea rezultatelor sau evidenelor corecte pe care trebuie s le ofere sistemul informatic utilizatorilor si (situaii, liste, rapoarte etc.) n vederea fundamentrii deciziilor sau pentru informare. 2. Controlul procesrii Controlul procesrii, care asigur fiabilitatea i precizia prelucrrilor efectuate asupra datelor introduse n sistemul informatic, const n folosirea urmtoarelor tipuri de controale [1] : a) Controale de program, integrate n programul de aplicaie, care pot fi: - controale de intrare, implementate sub form de controale de procesare: teste de limite, teste de validitate, numere de autocontrol, numr de nregistrri, totaluri i totaluri de tip HASH; - etichete externe: identific n mod unic fiierele de date folosite n fiecare tip de prelucrri, pentru a preveni greelile de utilizare a acestora; - etichete interne, care, mpreun cu etichete externe, previn greelile de utilizare a fiierelor de date n prelucrri; b) Jurnale de activitate sau de prelucrare, care se pun la dispoziia personalului autorizat sau grupului de control din cadrul organismului economic sau departamentului de informatic constituit n cadrul acestuia, dac exist, pentru analiza activitilor desfurate de sistemul de prelucrare automat a datelor, i care descriu: - activitatea fiecrui operator: secvena de operaiuni efectuate; - fiecare execuie a programului (rulare): timpul de execuie, blocajele mainii, interveniile operatorului de la consola sistemului (tastatur), fiierele master utilizate etc. c) Liste de erori, care se tipresc n cazuri excepionale, cnd sistemul detecteaz erori grave i oprete sau nu prelucrarea. Listele de erori se transmit direct grupului de control al organismului economic care utilizeaz sistemul8

informatic respectiv, pentru investigaii i remedierea anomaliilor de funcionare identificate. Dup efectuarea coreciilor, grupul de control verific corectitudinea prelucrrilor i eliminarea erorilor raportate de sistem. 3. Controlul ieirilor Controlul ieirilor const n msuri i tehnici de verificare a corectitudinii rezultatelor oferite de sistemul de prelucrare automat a datelor utilizatorilor si. Acestea pot fi [1] : a) Controale ale utilizatorului, care constau n: compararea rezultatelor sistemului, prezentate sub form de liste, rapoarte, situaii etc., cu cerinele definite de utilizator; analize i teste efectuate de utilizatori specializai. b) Controale de program, care analizeaz i testeaz automat corectitudinea ieirilor sistemului informatic n raport cu cerinele definite de utilizatori. c) Controale ale grupului de control al sistemului informatic, care constau n msuri de verificare a ieirilor de ctre personalul autorizat al organismului economic, cu sau fr departament specializat de informatic, care urmresc: distribuia rezultatelor prelucrrilor sau evidenelor efectuate, prin sistemele de calcul componente ale sistemului informatic, numai ctre utilizatorii autorizai; analiza erorilor raportate de sistem, identificarea cauzelor de apariie a lor i verificarea eliminrii acestora din sistemul automat de prelucrare i eviden respectiv. NTREBRI 1. Controlul intern ntr-un sistem informatic. 2. Controale generale ntr-un sistem informatic. 3. Controale organizatorice ntr-un sistem informatic. 4. Documentaia sistemului informatic. 5. Controale hardware. 6. Controale de siguran. 7. Controale de aplicaie ntr-un sistem informatic. BIBLIOGRAFIE

[1] Andronie Maria, Auditarea sistemelor informatice de gestiune, Sinteze, Editura Fundaiei Romnia de Mine, Bucureti [2] Eden Ali, Stanciu Victoria, Auditul sistemelor informatice, Editura Dual Tech, Bucureti, 2004. [3] Boulescu Mircea, Corneliu Brnea, Bianca Preda, Expertiz contabil i audit financiar-contabil. Aplicaii i studii de caz, Editura Fundaiei Romnia de Mine, Bucureti, 20049

[4] Boulescu Mircea, Auditul financiar. Repere normative naionale, Editura Economic, Bucureti, 2003 [5] Munteanu Victor, Control i Audit Financiar Contabil, Editura Lumina LEX, Bucureti, 2003 [6] Stanciu Victoria i colectiv, Proiectarea sistemelor informatice, Editura Dual Tech, Bucureti, 2002 [7] Munteanu A., Auditul sistemelor informaionale contabile, Editura Polirom, Iai, 2001 [8] *** Camera auditorilor din Romnia, Audit financiar 2000: Standarde, IFAC, Editura Economic, Bucureti, 2001

10

TEMA 2 AUDITUL INFORMATIC Obiective: - nsuirea conceptelor cu privire la auditarea sistemelor informatice; - identificarea i nsuirea modelului conceptual i constructiv al unui sistem informatic; - clasificarea sistemelor informatice, ca sisteme de prelucrare automat a datelor; - definirea conceptului de audit informatic. Concepte cheie: audit, integritatea unui sistem informatic, sistem de audit, tehnici de audit, sisteme informatice, auditul sistemelor informatice, sisteme de procesare pe loturi, sisteme on-line, sisteme tip baz de date, sisteme de prelucrare distribuit. Utilizarea calculatorului n prelucrarea, stocarea i prezentarea informaiilor furnizate de aplicaiile informatice au condus la o nou abordare a conceptului de audit. Auditul reprezint o activitate specific de control, verificare, revizuire a documentelor de eviden privitoare la operaii (contabile) care au avut loc anterior. Auditul (controlul) activitilor economice desfurate de un organism economic presupune: - evidenierea tuturor activitilor economice desfurate, prin nregistrarea corect a acestora, pe documente de eviden i control-suport de hrtie sau format electronic; - efectuarea prelucrrilor asupra datelor rezultate din activitile economice desfurate, n conformitate cu regulile de gestiune intern ale acestuia, cu normele, reglementrile i legislaia n vigoare; - generarea tuturor rapoartelor i situaiilor necesare factorilor de conducere (managerilor) pentru a lua cele mai bune decizii; - determinarea valorii taxelor i impozitelor care trebuie pltite, conform legislaiei n vigoare; - ntocmirea corect a declaraiilor financiare, n conformitate cu legislaia n vigoare. Pentru a controla dac rezultatele prelucrrilor efectuate n interiorul unui sistem informatic respect condiiile prestabilite i ieirile furnizate de acesta11

sunt cele solicitate de organismul economic, este necesar o form de audit al sistemului informatic. Auditul sistemului informatic analizeaz aspecte legate de conceperea i realizarea sistemului informatic, sigurana n funcionare, modul cum se realizeaz ntreinerea i dezvoltarea sistemului, corectitudinea operaiilor efectuate de sistemul informatic, timpul de rspuns, calitatea documentaiei, respectarea condiiilor stabilite de organismul economic, securitatea sistemului informatic etc. Evaluarea sistemului informatic este impus, n principal, pentru validarea funcionalitii sistemului informatic n conformitate cu cerinele impuse de organismul economic, creterea ncrederii n aplicaiile informatice bazate pe tehnologiile informaionale n cadrul procesului decizional, asigurarea interoperabilitii cu alte sisteme, prevenirea sau depistarea unor fraude prin mijloace informatice. Auditul (controlul) sistemului informatic de gestiune const n controlul activitilor ce se desfoar n cadrul sistemului informatic de gestiune n scopul evalurii unor probe specifice de audit care s conduc la concluzii referitoare la asigurarea: - corectitudinii, completitudinii i preciziei datelor introduse n sistem, deoarece acestea afecteaz rezultatele prelucrrilor efectuate de sistem; - corectitudinii prelucrrilor efectuate asupra datelor introduse n sistem, n sensul c rezultatele acestora respect regulile de gestiune specifice organismului economic respectiv i legislaia n vigoare; - corectitudinii i integritii ieirilor sistemului, n sensul c acestea sunt cele solicitate de managerii organismului economic respectiv i de organismele de control financiar; - corectitudinii procedurilor de control (controalelor) folosite pentru auditarea sistemului informatic respectiv. Definirea sistemului informatic ca partea automatizat a unui sistem informaional care permite realizarea operaiilor de culegere, prelucrare, stocare i transmitere a datelor necesare obinerii informaiilor n vederea fundamentrii deciziilor n procesul conducerii. Acesta include calculatoare, software, componente hardware, datele procesate, colecii organizate de date, programatori, personal de exploatare, reele de calculatoare, sisteme de comunicaii, cadru organizatoric. Sistemele informatice prelucreaz datele introduse n sistem (intrrile) conform unor algoritmi prestabilii, determinai de regulile de gestiune proprii fiecrui organism economic i n conformitate cu reglementrile i legislaia n vigoare. Structura general (model conceptual) Realizarea funciei de prelucrare automat a datelor de sistemul informatic implic o structur care s cuprind: - intrri: ansamblul datelor supuse prelucrrilor;

12

- prelucrri: ansamblul operaiilor efectuate asupra datelor pentru obinerea informaiilor care stau la baza deciziilor; - ieiri: rezultatele prelucrrilor efectuate asupra datelor. Arhitectur (model constructiv) Sistemul informatic este compus din [1] : a) Hardware: totalitatea sistemelor de calcul folosite pentru prelucrarea i/sau evidena datelor. De exemplu, un calculator este format din: - unitatea central de prelucrare (unitatea de control, unitatea de stocare, unitatea aritmetic i logic); - echipamente periferice de intrare i/sau ieire, conectabile la unitatea central de prelucrare prin interfee specializate, care pot fi: de intrare (INput), de stocare (memorare) a datelor (INput/OUTput), de ieire (OUTput), de comunicaie. b) Software: totalitatea programelor folosite pentru prelucrarea i/sau evidena datelor. Calculatoarele utilizate de sistemele informatice folosesc patru tipuri majore de software (programe): software de sistem, limbaje de programare, software pentru dezvoltare de aplicaii, software de aplicaie sau de utilizator. c) Colecii organizate de date: Baze de Date BD; mulimea datelor supuse prelucrrilor i/sau evidenei computerizate. d) Sistem de comunicaii: intranet, internet, telecomunicaii etc.; e) Resurse umane: personal tehnic, personal de exploatare, utilizatori etc.; f) Cadru organizatoric. Software-ul de sistem este un pachet de programe utilitare care controleaz i coordoneaz componentele hardware ale sistemului i ofer suport pentru celelalte categorii de software; sunt scrise de specialiti n domeniu informaticieni. Limbajul de programare este folosit pentru scrierea celorlalte tipuri de software (scrierea de programe); acestea au evoluat de la limbajul cod main, numit program obiect, pn la limbaje foarte asemntoare vorbirii umane, numite limbaje de nivel nalt sau limbaje surs; pentru conversia programelor surs (limbaj de nivel nalt) n programe obiect (limbaj cod main) se folosesc programe specializate de translatare (traducere) cunoscute sub denumirea de translatoare sau compilatoare; fiecare limbaj de programare de nivel nalt are propriul compilator; sunt scrise de specialiti n domeniu informaticieni; exemplu: VisualBasic, Visual C++ etc.; Software-ul pentru dezvoltare de aplicaii este un pachet de programe folosite n dezvoltarea de aplicaii specializate pentru informatizarea diferitelor tipuri de activiti. Software-ul de aplicaie sau de utilizator este un pachet de programe cu sarcini de prelucrare i eviden specifice unui tip de activitate; acesta poate fi:

13

a) independent de activitatea de baz a unui organism economic; este scris, de regul, de organisme economice specializate n software de aplicaie; b) dependent de activitatea de baz a organismului economic, de regulile de eviden i prelucrare specifice domeniului de activitate propriu acestuia sau impuse de managerii si. Sistemele informatice, ca sisteme de prelucrare automat a datelor, pot fi [1] : Sisteme de procesare pe loturi: se caracterizeaz prin faptul c datele de intrare sunt adunate i procesate periodic, n grupuri individuale; introducerea datelor n sistem (de la tastatura calculatorului) se face ntr-un compartiment specializat n culegerea de date; prezint avantajul c un singur operator specializat poate introduce ntr-un singur calculator datele culese n mai multe locaii; prezint dezavantajul c nu ofer utilizatorilor informaii de ultim or, la orice moment de timp; exemplu; strngerea datelor aferente vnzrilor dintr-o zi i procesarea lor, la sfritul zilei respective. Sisteme on-line: permit accesul direct al utilizatorilor la date, pentru actualizarea sau consultarea lor din locaii diferite, aflate la distan de sistemul de calcul n care sunt stocate; dac datele sunt stocate iniial ntr-un fiier i prelucrate periodic, sistemul respectiv prezint [1] : avantajele date de introducerea datelor direct n sistem, de ctre utilizatori nespecialiti i efectuarea prelucrrilor de ctre un singur specialist; dezavantajul sistemelor de procesare n loturi, legat de nefurnizarea informaiilor actualizate n orice moment de timp (timp real). Dac datele se prelucreaz imediat ce sunt introduse n calculator, direct de utilizatori, prin intermediul terminalelor aflate la distan, sistemele se numesc on-line n timp real. Sisteme tip baz de date, n care datele sunt stocate (memorate, nregistrate) o singur dat, ntr-o baz de date comun tuturor seciunilor aplicaiei (un singur fiier), stocat pe un suport de memorie extern (unitate de disc magnetic), cu acces direct. Sisteme de prelucrare distribuit a datelor, formate, de regul, dintr-o mulime de sisteme de calcul, de putere mai mic, plasate n diferite departamente sau locaii ale unui organism economic, care permit utilizatorilor s prelucreze datele la locul producerii lor, n vederea obinerii de informaii specifice departamentului sau locaiei respective; aceste sisteme sunt conectate la un calculator central, de putere mai mare, numit server, care permite utilizatorilor s acceseze programele i datele n comun; sistemul distribuit ofer conducerii accesul, n timp real, la ntreg volumul de date vehiculate ntr-o perioad de timp de organismul economic respectiv, cu posibilitatea de accesare selectiv i prelucrare personalizat, folosind calculatoare localizate n departamentul de conducere. Principalele avantaje oferite de utilizarea sistemelor informatice [1] : - mbuntirea preciziei rezultatelor prelucrrilor;14

- creterea vitezei de procesare, prin prelucrarea automat a datelor i eliminarea timpilor de prelucrare manual a acestora; - eliminarea forei de munc implicate n prelucrarea manual a datelor, prin prelucrarea automat a acestora, folosind calculatorul; - sporirea volumului de informaii oferite utilizatorilor ntr-un interval dat de timp, prin creterea volumului de date prelucrat pe unitatea de timp determinat de prelucrarea automat a acestora; - sporirea diversitii i complexitii informaiilor oferite utilizatorilor, prin prelucrarea automat a datelor i folosirea caracteristicilor grafice ale echipamentelor i programelor disponibile. Principalele dezavantaje [1] : - posibilitatea apariiei unor defecte hardware, care pot determina pierderea datelor i, implicit, imposibilitatea de obinere, n timp util, a informaiilor bazate pe rezultatele prelucrrii lor; - posibilitatea apariiei unor erori software, la nivelul programelor de aplicaie, care pot conduce la rezultate incorecte, neobservate de ctre utilizator, deoarece acesta nu are control direct asupra prelucrrii datelor; - posibilitatea virusrii programelor utilizate (software de sistem sau pentru dezvoltarea de aplicaii sau de utilizator), care poate determina pierderea sau alterarea datelor i/sau programelor, conducnd astfel la imposibilitatea utilizrii lor; - posibilitatea apariiei unor erori de manipulare a datelor i/sau a programelor, care poate determina pierderea i/sau alterarea acestora, nsoit de prelucrri greite, i, implicit, rezultate incorecte care pot trece neobservate att de ctre operator, ct i de ctre utilizator, deoarece acetia nu au un control direct asupra prelucrrilor efectuate; ntr-un organism economic, funcia de auditor al sistemului informatic trebuie s existe separat i distinct de funcia de control atribuit personalului autorizat sau grupului de control din Departamentul de informatic, dac acesta este constituit, deoarece personalul autorizat sau grupul de control efectueaz controlul zilnic al prelucrrilor i distribuirilor automate de date, n timp ce auditorii evalueaz eficiena prelucrrilor efectuate asupra datelor i a controalelor corespunztoare, n ansamblu. Auditorii sistemelor informatice trebuie s participe la proiectarea acestora pentru a se asigura c: - sistemul creeaz un jurnal corect i complet al prelucrrilor (jurnal de activitate); - se implementeaz controalele necesare pentru asigurarea unui control intern, la nivelul solicitat de utilizatori. Auditorii testeaz sistemul informatic, n momentul n care acesta devine operativ: - verific dac au fost implementate toate controalele interne prevzute n proiect;15

- stabilesc dac toate controalele interne implementate n sistem funcioneaz aa cum a fost planificat; - iau msurile necesare pentru corecia erorilor de implementare i funcionare a controalelor interne prevzute n proiect; - identific eventualele schimbri neautorizate efectuate n sistemul informatic i iau msurile necesare pentru eliminarea sau autorizarea acestor schimbri. Pentru asigurarea controlului intern, la nivelul solicitat de utilizatori, definit prin proiect, auditorii ndeplinesc urmtoarele sarcini [1] : - verific separarea, din punct de vedere funcional, a personalului de programare de personalul de operare i impun msurile organizatorice necesare pentru realizarea acestei separri; - verific documentaia iniial a sistemului informatic i actualizarea acesteia, n cazul n care sunt autorizate schimbri; - verific ndeplinirea sarcinilor care au fost atribuite personalului autorizat sau grupului de control al sistemului informatic; - urmresc aplicarea msurilor de siguran a sistemului informatic; - urmresc funcionarea efectiv a controlului, n cadrul organismului economic care utilizeaz, pentru evidena activitilor sale, un sistem informatic. Funcia de auditor al sistemului informatic utilizat de un organism economic poate fi atribuit unui angajat permanent sau unui colaborator extern al acestuia, dup cum sarcinile pe care trebuie s le ndeplineasc auditorul Sistemele informatice, fiind sisteme automate de prelucrare, eviden i stocare a datelor, permit modificarea datelor introduse (nregistrate) n sistem (pe suport electronic), fr nici o urm vizibil a schimbrilor fcute. Se impune astfel integrarea unui sistem de audit n sistemul informatic, determinat, n principal, de [1] : - necesitatea de coordonare i controlare a activitilor desfurate de un organism economic de ctre factorii acestuia de decizie (managerii si); - nevoia de reconstrucie a fiierelor de date i de program, distruse de eventualele erori de prelucrare sau posibilele defecte tehnice; - desfurarea activitii de control (audit) de ctre auditori independeni sau agenii guvernamentale. n cazul sistemelor informatice sofisticate, dificultatea unui audit este dat de faptul c nregistrrile datelor rezultate din activitile organismelor economice, folosite n procesul de audit, pot exista numai pe suport electronic, ntr-un format cod-main, nu i ntr-o form tiprit. ntr-un sistem informatic, datele necesare auditului pot fi nregistrate: - pe documente tiprite din calculator; - n format electronic, citibil numai pe calculator. n sistemele informatice, datele nu se nregistreaz ntr-un format tradiional, pe documente surs scrise de mn, ci numai n format electronic,

16

care poate fi tiprit, la cerere, pe suport material de tip hrtie sau poate fi urmrit direct pe ecranul calculatorului. nc din faza de proiectare a unui sistem informatic, auditorii interni i, eventual, externi, urmresc integrarea n sistem a unor tehnici de audit care asigur pstrarea (memorarea) datelor necesare efecturii unui control intern eficient al sistemului respectiv. NTREBRI 1. Definirea unui sistem informatic de gestiune. 2. Auditarea sistemelor informatice. 3. Structura general (modelul conceptual) al unui sistem informatic. 4. Arhitectura (modelul constructiv) al unui sistem informatic. 5. Tipuri de software utilizate de sistemul de calcul. 6. Tipuri de sisteme informatice ca sisteme de prelucrare automat a datelor. 7. Avantajele i dezavantajele utilizrii sistemelor informatice. BIBLIOGRAFIE

[1] Andronie Maria, Auditarea sistemelor informatice de gestiune, Sinteze, Editura Fundaiei Romnia de Mine, Bucureti [2] Eden Ali, Stanciu Victoria, Auditul sistemelor informatice, Editura Dual Tech, Bucureti, 2004. [3] Boulescu Mircea, Corneliu Brnea, Bianca Preda, Expertiz contabil i audit financiar-contabil. Aplicaii i studii de caz, Editura Fundaiei Romnia de Mine, Bucureti, 2004 [4] Boulescu Mircea, Auditul financiar. Repere normative naionale, Editura Economic, Bucureti, 2003 [5] Munteanu Victor, Control i Audit Financiar Contabil, Editura Lumina LEX, Bucureti, 2003 [6] Stanciu Victoria i colectiv, Proiectarea sistemelor informatice, Editura Dual Tech, Bucureti, 2002 [7] Munteanu A., Auditul sistemelor informaionale contabile, Editura Polirom, Iai, 2001 [8] *** Camera auditorilor din Romnia, Audit financiar 2000: Standarde, IFAC, Editura Economic, Bucureti, 2001

17

TEMA 3 UTILIZAREA SISTEMELOR INTEGRATE DE TESTARE N AUDITAREA SISTEMELOR INFORMATICE Obiective: - testarea i monitorizarea controalelor interne implementate ntr-un sistem informatic cu ajutorul sistemului integrat de testare; - necesitatea integrrii unui sistem de audit n compunerea unui sistem informatic. Concepte cheie: sistem integrat de testare, control intern, tehnici de audit, risc de control Introducerea noilor medii bazate pe tehnologia informaiei n cadrul organismelor economice a impus i asigurarea suportului informaional constituit dintr-un fond de aplicaii i instrumente software specializate, proprii domeniului auditului. Auditarea sistemelor informatice simple, care prelucreaz datele folosind algoritmi de calcul uor de aplicat, nu impune testarea acestor sisteme folosind proceduri de test implementate pe calculator; n acest caz, auditorii compar rezultatul prelucrrilor datelor de test, obinut manual, cu cel obinut folosind sistemul informatic auditat i analizeaz diferenele; aceast tehnic este denumit auditarea evitnd calculatorul, deoarece auditorii evit calculatorul n realizarea auditului. Auditarea sistemelor informatice complexe impune ns folosirea procedurilor de audit implementate pe calculator i proiectarea unor teste suplimentare pentru controlul acestor proceduri. Auditorii pot folosi pentru testarea i monitorizarea controalelor interne implementate ntr-un sistem informatic aa-numitul sistem integrat de testare, care const n integrarea unui set de fiiere de test, programe i date de test n sistemul informatic respectiv [1] . Aceste fiiere de test permit ca datele de test pe care le conin s fie prelucrate simultan cu datele reale, fr ca datele reale respective i rezultatul prelucrrii lor s fie afectate. Datele de test, care cuprind toat gama imaginabil de date posibil a fi introduse n sistemul informatic respectiv, afecteaz numai fiierele de test i rezultatele prelucrrilor acestora. Sistemul integrat de testare poate fi implementat n toate tipurile de sisteme informatice, inclusiv n sistemele informatice on-line, n timp real. Sistemul integrat de testare poate fi folosit de auditori i pentru monitorizarea prelucrrilor datelor de test n vederea studierii efectelor produse de prelucrrile efectuate asupra fiierelor de test, listelor de erori i ieirilor18

sistemului informatic. Ei comunic concluziile personalului autorizat sau grupului de control care efectueaz controlul zilnic. Folosirea sistemelor integrate de testare prezint riscul de manipulare eronat a datelor reale, prin transferarea lor n sau din fiierele fictive. Pentru eliminarea acestui dezavantaj, auditorii trebuie s monitorizeze toate activitile n fiierele fictive utilizate i s impun msuri riguroase de prevenire a accesului neautorizat la aceste fiiere. De asemenea, proiectarea unui astfel de sistem trebuie fcut cu atenie, pentru a elimina riscul ca fiierele reale s fie contaminate ntmpltor cu date din fiierele fictive de test. Auditarea sistemelor PC se refer la o varietate de calculatoare mici: calculatoare personale, staii de lucru i terminale inteligente. Dei progresele tehnologice reduc continuu diferenele dintre PC-uri i calculatoarele mari, PCurile rmn, n general, mai puin flexibile, au memorie mai redus i sunt mai lente n procesarea datelor, dect calculatoarele mari. Totui, PC-urile ofer utilizatorilor avantajul accesului direct la calculator, fr timpii de prelucrare i capacitatea de stocare date asociai unui sistem de calcul centralizat. Din acest motiv, chiar i auditul organismelor economice care folosesc sisteme informatice centralizate sofisticate se poate face folosind sisteme PC. Apariia PC-urilor a condus la descentralizarea activitilor de prelucrare, de eviden i control al datelor vehiculate n cadrul unui organism economic. ntr-un mediu PC, calculatoarele se pot plasa n departamentele utilizatorilor i pot fi operate de ctre personalul acestor departamente. Prelucrrile sunt realizate, de obicei, de aplicaii software dedicate, uor de exploatat, achiziionate de la organisme economice specializate, eliminndu-se astfel nevoia de a angaja programatori. Pentru stocarea, crearea unor copii de siguran (back-up) i/sau arhivarea aplicaiilor i Bazelor de Date, sunt folosite discuri magnetice de tipul HardDisk, FloppyDisk, CD-ROM, CD-RW, DVD etc. sau, din ce n ce mai rar, benzi magnetice. Controlul intern al sistemelor informatice bazate pe mediul PC prezint unele particulariti [1] . Astfel, pentru verificarea corectitudinii rezultatelor i distribuiei acestora numai ctre utilizatorii autorizai, se folosete descrierea, n detaliu, a procedurilor de prelucrare a datelor, care trebuie cuprins, obligatoriu, n documentaia sistemului. Pentru protecia datelor manipulate de operatori sau utilizatori fr cunotine n domeniul informatic, se face instruirea acestora n folosirea componentelor sistemului i li se pun la dispoziie manualele de operare i ntreinere complete ale componentelor respective: echipamente, software de sistem i de aplicaie. Pentru reconstituirea datelor i aplicaiilor software utilizate, organismele economice care utilizeaz sisteme informatice bazate pe mediul PC trebuie s efectueze, periodic, copii de siguran (back-up) ale fiierelor de date i de program, pe supori magnetici externi (dischete, CDuri sau benzi), care trebuie depozitai departe de sistem, n locaii sigure.

19

Prin amplasarea calculatoarelor de tip PC n departamentele utilizatorilor, cresc riscul de utilizare neautorizat a acestora i, implicit, posibilitatea de fraud computerizat. Din acest motiv, sistemul de operare al PC-urilor i aplicaiile software utilizate trebuie s permit accesul operatorilor i/sau utilizatorilor n sistem numai pe baz de coduri i niveluri de autorizare, limitnd astfel accesul acestora la anumite fiiere de date i/sau de program. Pentru detectarea activitilor neautorizate trebuie organizat o activitate independent de analiz a jurnalelor generate de sistemele PC. Pentru prevenirea utilizrii neautorizate a sistemelor informatice bazate pe mediul PC: - se limiteaz accesul la originalul i la copiile de siguran ale aplicaiilor software prin utilizarea crora personalul neautorizat poate intra n sistem; - se instaleaz un sistem de blocare a PC-ului n afara orelor de program; - se limiteaz accesul n spaiile de lucru folosite de sistemele informatice bazate pe mediul PC prin paz sau sisteme de acces cu cartel. Auditorii (interni sau externi) ai organismelor economice, care utilizeaz sisteme informatice bazate pe mediul PC, trebuie s impun implementarea tuturor tipurilor de controale interne minim necesare pentru a asigura: - integritatea sistemului informatic implementat; integritatea i corectitudinea datelor vehiculate n cadrul organismului economic respectiv. Centrele de calcul furnizeaz servicii de prelucrare a datelor pentru clienii lor, organisme economice care nu au propriul centru de calcul sau departament de informatic. De regul, centrul de calcul primete datele de prelucrat de la clieni, n loturi, i le transmite rezultatele prelucrrilor efectuate. Unele centre de calcul funcioneaz n regim partajat, n sensul c ofer abonailor lor acces la toate resursele de calcul disponibile, prin intermediul terminalelor proprii, utilizatorul unui astfel de sistem avnd la dispoziie majoritatea serviciilor pe care i le-ar oferi propriul calculator. Controlul intern al centrului de calcul poate interaciona cu sistemul de control al fiecrui client, caz n care auditorii trebuie s neleag i activitile de prelucrare desfurate de centrul de calcul [1] . n plus, dac intenioneaz s reduc nivelul riscului de control bazndu-se pe anumite controale, auditorii trebuie s dovedeasc eficacitatea acestora, prin testarea lor, indiferent dac sunt executate de Centrul de calcul sau de clientul acestuia. Uneori, testarea controalelor aplicate de client este suficient pentru evaluarea riscului de control i detectarea erorilor. Alteori, pentru atingerea obiectivelor de control ale clientului i evaluarea corect a riscului de control, auditorii trebuie s testeze i controalele Centrului de calcul pentru a dovedi c acestea funcioneaz efectiv. i pentru c Centrul de calcul realizeaz, de regul, servicii de prelucrare a datelor similare pentru mai muli clieni, auditorii acestuia ntocmesc un raport asupra sistemului de control intern propriu, pe care l pun la dispoziia

20

auditorilor fiecrui client. Totui, auditorii clientului trebuie s se asigure de competena auditorilor Centrului de calcul. NTREBARI 1. Sistemul integrat de testare: destinaie i implicaii. 2. Controlul intern ntr-un sistem informatic bazat pe mediul PC. 3. Controlul intern ntr-un centru de calcul. 4. Tehnici de audit. 5. Interpretai riscul de control al unui sistem informatic. BIBLIOGRAFIE


21

TEMA 4 AUDITAREA ASISTAT DE CALCULATOR

Obiective: - testarea de ctre auditori a controalelor generale; - testarea de ctre auditori a controalelor de aplicaie; - auditarea asistat de calculator. Concepte cheie: controale adiionale, proceduri de testare, programe controlate, program de analiz, programe de audit generalizat Un mediu bazat pe tehnologia informaiei poate oferi auditorilor posibilitatea unor prelucrri adiionale a unor date de intrare, cu ajutorul unor programe specializate de audit asistate de calculator, care s ofere informaii suplimentare cu privire la funcionarea sistemului informatic. Auditarea asistat de calculator contribuie la creterea performanelor testelor efectuate sistemului informatic, prin aplicarea unor proceduri analitice automatizate a unor tehnici de audit bazate pe tehnologia informaiei. Utilizarea instrumentelor i tehnicilor de audit asistate de calculator asupra unui volum mare de date este facilitat de existena unor proceduri de prelucrare i analiz oferite de calculator. Procedurile de audit (proceduri manuale, tehnici de audit asistate de calculator etc.) efectuate asupra sistemului informatic se vor alege astfel nct riscul de audit s fie minim. Pentru testarea controalelor de audit integrate ntr-un sistem informatic se folosesc proceduri de control cunoscute sub denumirea de controale adiionale de audit, care verific dac controalele de audit descrise n documentaia de audit sunt implementate i funcioneaz aa cum a fost prevzut n analiza de sistem [1] . Auditorii trebuie s efectueze verificarea tuturor controalelor de audit pe care intenioneaz s le ia n consideraie n evaluarea riscului de control aferent sistemului informatic auditat, indiferent de natura acestuia. Trebuie ns precizat c unele controale adiionale de audit, folosite de auditori pentru testarea controalelor de audit integrate ntr-un sistem informatic, depind de natura sistemului informatic auditat. 1. Proceduri de testare a controalelor generale. Testarea controalelor interne ale unui sistem informatic ncepe cu testarea controalelor generale, deoarece eficacitatea unui control specific al unei aplicaii este adesea22

dependent de existena unui control general, efectiv al tuturor activitilor sistemului informatic auditat. De obicei, auditorii testeaz controalele generale ale sistemului informatic auditat prin analiza documentaiei de sistem i urmrirea ndeplinirii sarcinilor de ntocmire a acestei documentaii de ctre personalul organismului economic respectiv: obinerea autorizaiilor de revizuire a sistemului informatic auditat; ntocmirea documentaiilor specifice sistemului informatic auditat; obinerea aprobrilor pentru realizarea sau achiziionarea de programe noi; obinerea aprobrilor pentru modificarea programelor existente; completarea jurnalului cu defeciuni sau anomalii de funcionare a echipamentelor folosite; urmrirea msurilor de siguran implementate etc. Prin natura lui, un control general trebuie mai degrab respectat, dect determinat prin analiza documentaiei sistemului informatic auditat. 2. Proceduri de testare a controalelor de aplicaii. Procedurile folosite de auditori pentru testarea controalelor de aplicaie variaz semnificativ de la un tip de sistem informatic la altul i de la un tip de aplicaie component a sistemului informatic la alta. Procedurile de testare a controalelor de intrare depind de tipul sistemului informatic auditat. Tehnicile de audit folosite pentru testarea controalelor prelucrrilor pot fi manuale sau asistate de calculator. Pentru testarea controalelor prelucrrilor, auditorii [1] : examineaz procedurile de testare a sistemului informatic auditat, efectuate de ctre grupul de control al organismului economic care l utilizeaz; analizeaz rezultatele testrilor controalelor prelucrrilor sistemului informatic auditat, realizate de auditorii organismului economic care l utilizeaz; examineaz rapoartele de erori i jurnalele de activiti generate de calculator; deoarece ele ilustreaz violrile controalelor de program care apar n timpul prelucrrilor, oferind astfel dovezi ale funcionrii, corecte sau eronate, a acestora; analizeaz i testeaz tehnicile, manuale sau asistate de calculator, folosite pentru explicitarea i explicarea incidentelor aprute n timpul prelucrrilor i nregistrate n rapoartele de erori, deoarece efectivitatea controalelor de program depinde de acest lucru. Pentru testarea controalelor de program, auditorii folosesc, de regul, tehnici de audit asistate de calculator. Principalele tehnici de audit asistate de calculator folosite pentru testarea controalelor adiionale de audit sunt [1] : Seturi de date de test: pot fi stabilite de auditori sau de programatorii organismului economic care utilizeaz sistemul informatic de auditat; trebuie s23

includ toate erorile semnificative care afecteaz evaluarea, de ctre auditor, a riscului de control planificat pentru sistemul informatic de auditat: tranzacii cu date lips, eronate sau ilogice, loturi incomplete etc. Duplicate ale programelor sistemului informatic, cunoscute sub denumirea de programe controlate, aflate sub controlul auditorilor; sunt folosite de acetia pentru a monitoriza prelucrarea datelor curente, prin compararea ieirilor acestor programe cu ieirile programelor originale sau pentru reprocesarea datelor iniiale, folosind varianta proprie de program, cu scopul de a compara rezultatul curent cu cel iniial sau de a descoperi schimbrile din programul organismului economic netrecute n documentaie; programele controlate ofer auditorilor posibilitatea de a testa programele organismului economic cu date reale i de test, fr riscul alterrii fiierelor acestuia i n locaii diferite de spaiile de exploatare, fr utilizarea calculatoarelor sau personalului organismului economic respectiv. Programe de analiz, special elaborate, pentru a genera, folosind calculatorul, diagrame de analiz cu ajutorul crora se testeaz logica programelor componente ale sistemului informatic auditat i a controalelor acestora sau se verific dac documentaia sistemului respectiv descrie programele i controalele programelor folosite de fapt. Marcaje (identificatori) de urmrire a schimburilor de date, introduse n sistemul informatic, o dat cu datele pentru urmrirea pailor de prelucrare a schimburilor de date marcate i ntocmirea listelor care conin descrierea, n detaliu, a pailor de prelucrare respectivi, cu scopul de a depista eventualele aciuni neautorizate n programele i controalele programelor sistemului informatic auditat. Programe de audit generalizat (aplicaii software pentru audit generalizat), care pot fi folosite de organismele economice specializate n auditarea sistemelor informatice complexe, pentru testarea fiabilitii programelor i controalelor programelor componente, pentru o gam larg de sisteme informatice sau pentru realizarea unor funcii specifice de audit. NTREBRI 1. Proiectarea controalelor (testelor) de audit ntr-un sistem informatic. 2. Proceduri de testare a controalelor generale. 3. Proceduri de testare a controalelor de aplicaie. 4. Tehnici de audit folosite pentru testarea controalelor prelucrrilor. 5. Tehnici de audit asistate de calculator.

BIBLIOGRAFIE

24


TEMA 525

REZULTATELE PROCESULUI DE AUDITARE AL UNUI SISTEM INFORMATIC

Obiective: - pregtirea auditorilor; - evaluarea riscului de control planificat; - proiectarea de teste adiionale pentru controlul (testarea) procedurilor de audit; - reevaluarea riscului de control i utilizarea testelor independente. Concepte cheie: proceduri de audit, teste suplimentare, raport de audit, teste adiionale, risc de control, teste independente, reevaluarea riscului de control; diagrame de sistem, diagrame de program; chestionare Evaluarea nivelului de pregtire al personalului implicat n dezvoltarea, controlul i ntreinerea unui sistem informatic face parte din auditarea sistemului informatic. Indiferent de tipul sistemului de eviden (gestiune) a activitilor economice i de prelucrare a datelor (manual, mecanic sau informatic) folosit de organismele economice, auditorii trebuie s efectueze un control intern, pentru realizarea cruia este necesar: - s evalueze corect riscul de control (posibilitatea de existen a unor erori care nu pot fi detectate); - s determine natura activitilor desfurate de organismul economic auditat; - s stabileasc tipul i amploarea activitilor de audit necesare; - s aprecieze timpul necesar pentru completarea auditului. Auditorii, pe baza rezultatelor istorice ale organismului economic, indicatorilor de referin (exist numeroase organisme economice asemntoare), standardelor tehnice (de exemplu: ciclul de via al unui sistem informatic, condiiile de temperatur i umiditate, ore de funcionare continu, compatibilitate i interoperabilitate etc.), pot face organismului economic recomandri pentru mbuntirea structurii de control intern. Indiferent de tipul sistemului de gestiune i prelucrare a datelor folosit de un organism economic, recomandrile pe care le fac auditorii cu privire la controlul intern se mpart n patru categorii, corespunztoare urmtoarelor tipuri de activiti [1] : 1) planificarea auditului; pentru aceasta, auditorii trebuie s neleag suficient de bine rolul controlului intern, modalitile de realizare a acestuia i26

tehnicile de integrare a controalelor n sistemul de gestiune i prelucrare a datelor folosit de un organism economic; 2) evaluarea riscului de control i proiectarea testelor adiionale pentru procedurile de control ale sistemului informatic i realizarea testelor adiionale pentru procedurile de control ale sistemului informatic; 3) reevaluarea riscului de control al sistemului informatic i modificarea corespunztoare a testelor de evaluare. 1. Pregtirea auditorilor pentru planificarea auditului i proiectarea controalelor (testelor) de audit [1] Planificarea auditului pentru un organism economic i necesitatea proiectrii de teste de audit eficiente solicit auditorilor s aib cunotinele de specialitate necesare nelegerii structurii unui control intern, indiferent de tipul sistemului de gestiune i prelucrare a datelor utilizat (manual, mecanic sau electronic) i de complexitatea acestuia. Pentru planificarea auditului i proiectarea de teste de audit eficiente, auditorii trebuie s aib cunotine despre: - procedurile i tehnicile de audit disponibile; - proiectarea i realizarea controalelor interne; trebuie s tie ce se urmrete prin auditul intern i cum se poate realiza un audit complet; - sistemele de gestiune i prelucrare a datelor utilizate de organismele economice; trebuie s cunoasc particularitile fiecruia, din punct de vedere al auditului; - tehnicile de integrare a controalelor interne n sistemele de gestiune i prelucrare a datelor disponibile; - natura activitilor desfurate de organismele economice: caracteristicile i particularitile acestora, din punctul de vedere al auditului; - legislaia n vigoare. Evoluia tehnologic a microcalculatoarelor de tip PC, din ce n ce mai performante i mai ieftine, a condus la apariia i dezvoltarea continu a aplicaiilor software i, implicit, la utilizarea, pe scar larg, a sistemelor informatice bazate pe mediu PC. Practic, sistemele de gestiune i prelucrare a datelor clasice (manual sau mecanic) sunt pe cale de dispariie, fiind nlocuite de sisteme informatice. n aceste condiii, auditorii trebuie s aib cunotine suplimentare de informatic, minimul necesar care s le permit s i desfoare activitatea de control. Pentru a stabili natura, durata i amploarea activitilor de audit, auditorul trebuie s aib suficiente cunotine informatice pentru a face analiza procedurilor de prelucrare utilizate i a rezultatelor acestora. Important este s se aib n vedere ce prelucreaz i cum prelucreaz sistemul informatic. Dei tehnologiile informaionale (IT) pot ameliora controlul intern al unui organism economic, apar noi riscuri specifice mediilor bazate pe tehnologiile informaionale care pot avea efecte nsemnate dac nu se iau msuri corespunztoare. Astfel, personalul implicat n prelucrarea iniial a datelor, de27

regul, nu poate interpreta corect rezultatele finale, existnd posibilitatea apariiei unor erori care nu sunt identificate. Anomaliile de proiectare sau de actualizare a unor componente software pot conduce la apariia unor erori sistematice n sistemul informatic. Stocarea datelor n fiiere electronice centralizate conduce la creterea riscului de pierdere sau distrugere a acestora. Utilizarea tehnologiilor informaionale reduce sau chiar elimin deseori documentele justificative i evidenele surs care permit unui organism economic s refac traseul datelor i informaiilor, astfel c sunt necesare alte mecanisme de control care s nlocuiasc posibilitatea de a compara rezultatele finale cu datele primare. Dei exist restricii adecvate privind accesul ntr-un sistem informatic, cum ar fi parolele i codurile de identificare ale utilizatorilor, poate apare riscul unor accese nepermise n sistemul informatic. De asemenea, trebuie avut n vedere protecia fizic adecvat a sistemului informatic care s ofere o funcionare sigur a echipamentelor. Documentaia ntocmit de auditor, aa-numitul raport de audit, variaz n funcie de complexitatea sistemului informatic auditat. Pentru un sistem cu structur simpl de control intern, poate fi suficient o descriere. De regul, ns, raportul de audit trebuie s conin [1] : a) Diagramele Sistemului Informatic, care descriu activitile desfurate de sistemul informatic utilizat de organismul economic auditat i care pot fi: - diagrame de sistem: sunt folosite, n mod curent, n procesul de audit, ca tehnic de descriere a controlului intern; prezint avantajul c fac parte din documentaia standard a sistemului informatic, prin urmare nu mai trebuie ntocmite de auditor; exemplu: diagrama de vnzri, diagrama de credite, diagrama de ncasri etc.; - diagrame de program: prezint, n detaliu, logica unui anumit program folosit de sistemul informatic; auditorii care pot interpreta diagramele de program pot nelege i interpreta controalele coninute ntr-o anumit aplicaie software, folosit de sistemul informatic auditat. b) Chestionare, special proiectate pentru a fi folosite n procesul de control al sistemului informatic; exemplu: chestionare de control al accesului ntr-un sistem informatic. 2) Evaluarea riscului de control planificat i proiectarea de teste adiionale pentru controlul (testarea) procedurilor de audit Riscul de control al unui sistem informatic reprezint posibilitatea de existen a unei erori care nu poate fi prevenit sau detectat n timp util de ctre controlul intern al sistemului respectiv. Pentru a determina nivelul riscului de control planificat al sistemului informatic auditat, auditorii trebuie s cunoasc i s neleag [1] : mediul de control specific organismului economic care utilizeaz sistemul informatic auditat; schimburile de date din cadrul organismului economic care utilizeaz sistemul informatic auditat;28

procedurile de control intern implementate n sistemul informatic auditat. Dac, pentru sistemul informatic auditat, nivelul riscului de control planificat a fost evaluat ca fiind: mare, atunci este admis posibilitatea apariiei unor erori nedetectabile de controlul intern implementat n sistemul respectiv; n aceste condiii, nu sunt necesare teste adiionale pentru verificarea procedurilor de audit utilizate; sczut, atunci nu este admis posibilitatea apariiei unor erori nedetectabile de controlul intern implementat n sistemul respectiv; n aceste condiii, sunt necesare teste adiionale pentru verificarea procedurilor de audit utilizate. n evaluarea riscului de control planificat pentru un sistem informatic, se ine cont de cerinele utilizatorului cu privire la precizia rezultatelor solicitate sistemului respectiv i de specificul domeniului de activitate gestionat cu ajutorul acestui sistem; dac cerinele de precizie impuse sistemului informatic nu admit posibilitatea apariiei unor erori nedetectabile de controlul intern proiectat i implementat n interiorul acestuia, se impun proiectarea i implementarea unor controale de audit suplimentare pentru testarea (verificarea) controalelor de audit folosite. 3) Reevaluarea riscului de control i utilizarea testelor independente Pentru a stabili n ce msur se pot baza pe controlul intern al sistemului informatic n reducerea posibilitilor de apariie a erorilor de funcionare a acestuia, auditorii trebuie s reevalueze riscul de control, pe domenii de activitate, i, pe baza acestuia, s determine natura, locul, momentul de timp i amploarea testelor de control independente de sistemul informatic auditat, necesare n aprecierea corectitudinii rezultatelor oferite de sistemul respectiv utilizatorilor si. Din punct de vedere conceptual, evaluarea controlului intern al activitilor unui sistem informatic nu este diferit de evaluarea altor aspecte ale sistemului. De obicei, sunt necesare mai puine proceduri de testare independente de sistemul informatic auditat, n acele domenii n care se admite un risc de control mare, i mai multe acolo unde se admite un risc de control redus. Pentru evaluarea corect a controlului intern al activitilor desfurate de un sistem informatic, trebuie luate n considerare controalele folosite de utilizatori, de auditorii interni i de specialitii n informatic.

NTREBRI 1. Raportul de audit. 2. Diagramele sistemului informatic.29

3. Evaluarea riscului de control planificat. 4. Utilizarea testelor independente. 5. Reevaluarea riscului de control. BIBLIOGRAFIE


30

Auditarea Sistemelor Informatice

Documents

Transcript of Auditarea Sistemelor Informatice