UNIVERSITATEA EUROPEANA DRAGAN DIN LUGOJ84IntroducereInformaiile furnizate de ntreprinderi stau la baza a numeroase decizii economice i politice de importan considerabil. Din acest motiv, situaiile ntocmite i publicate de organizaii intereseaz o gam larg de utilizatori: investitori, manageri, salariai, clieni, creditori bancari, stat. Practica a demostrat, n mod explicit, c exist un conflict de interese ntre cei care culeg, prelucreaz i sintetizeaz informaiile contabile i informaiile oferite de contabilitate, deoarece productorii de informaii contabile nu sunt, de regul, independeni n raport cu operaiunile efectuate i situaiile prezentate. Consecinele economice majore care pot rezulta, au facut necesar interpunerea activitii auditorilor financiari, acetia avnd menirea de a mri credibilitatea situaiilor financiare publicate de ctre ntreprinderi.Auditul informaiei contabile n condiiile utilizrii sistemelor informatice este o lucrare, structurat n patru capitole, prin intermediul creia se urmreste accentuarea necesitii informatizrii unei misiuni de audit a informaiei contabile i evidenierea particularitilor unui astfel de proces ntr-un mediu informatizat.n cadrul primului capitol intitulat Conceptul de Audit este analizat arhitecura precum i cadrul conceptual al conceptului de audit. n acest context, se impune necesitatea prezentrii acestor elemente pentru ca auditul, indiferent de forma pe care o mbrac: audit financiar, auditul mediului, auditul sistemelor informaionale, auditul calitii, auditul capitalului intelectual, se bazeaz pe o teorie i, ca orice teorie ea se fundamenteaz pe baza unor postulate, principii i reguli.Capitolul 2 denumit:Particulariti ale controlului intern ntr-un mediu informatizat constituie o dezbatere asupra necesitii verificrii i aprecierii acestui control, la nivelul unei organizaii, acesta reprezentnd cheia care i confer auditorului financiar ncrederea asupra datelor ce urmeaz a fi auditate.Verificarea integritii datelor este o etap premergtoare ndeplinirii obiectivelor unei misiuni de audit, deoarece auditorii trebuie s se asigure ca rezultatele din rapoartele finale sunt bazate pe date complete, precise i fiabile.Creterea complexitii sistemelor, n special a sistemelor de contabilitate informatizat, ct i volumul mare al tranzaciilor nregistrate n prezent, au condus la nlocuirea cu o frecven accelerat a tehnicilor clasice de audit, manuale, cu tehnici moderne, asistate de calculator, subiectul fcnd obiectul dezbaterilor din capitolul 3 Tehnici de audit asistate de calculator. Necesitatea utilizrii instrumentelor informatice n cadrul unei misiuni de audit a devenit vital i, se poate aprecia ca, o combinaie a tehnicilor manuale cu cele asistate de calculator asigur reuita unei misiuni de audit, ntr-un timp optim i cu costuri relative reduse.Capitolul 4 denumit Tendine n dezvoltarea software-ului de audit studiaz o posibil integrare a tehnicilor i metodologiilor Data Mining n cadrul aplicaiilor de audit, ncercnd s sublinieze analiza complex pe care o pot oferi acestea asupra datelor clientului auditat.Capitolul final red ntr-o viziune personal utilizarea unui sistem informatic privind auditul situaiilor financiare. Aplicaia utilizat asist auditorul extern n fazele importante ale unui proces de audit, oferindu-i acestuia un instrument care permite eficientizarea muncii sale.Cercetarea i asum dorina de a oferi o imagine coerent asupra procesului de audit ntr-un mediu informatizat i s evidenieze necesitatea informatizrii. CAP.1 CONCEPTUL DE AUDITARHITECTURA CONCEPTULUI DE AUDITn mediul academic i practic nu exist un punct de vedere comun n ceea ce privete definirea conceptului de audit. Definiia cea mai des invocat este ns cea prezentat n 1973 de Asociaia American de Contabilitate (American Accounting Association: AAA) n cadrul "Declaraiei privind conceptele de baz ale auditului". n declaraia respectiv se precizeaz c "auditul este un proces sistematic de obinere i evaluare obiectiv a unor afirmaii privind aciunile i evenimentele cu caracter economic, n vederea aprecierii gradului de conformitate a acestor afirmaii cu criteriile prestabilite, precum i de comunicare a rezultatelor ctre utilizatorii interesai ".( Declaraia (A Statement of Basic Auditing Concepts) este analizat de V.M. O'Reilly, M.B. Hirsch, P.L.Defiliese, H.R. Jaenicke, n lucrarea Mongomerys auditing, Editura John Wiley & Sons, New York, ed. a XI-a,1990.)O analiz detaliat a acestei definiii evideniaz elementele principale ale activitii de audit:Auditul este un proces sistematic. Orice activitate de audit, indiferent de obiectivul su, include, din punct de vedere metodologic, etape fundamentale precum: planificarea, dezvoltarea unei strategii, selectarea probelor i evaluarea acestora n raport cu obiectivele specifice ale misiunii.n Declaraia privind conceptele de baz ale auditului se subliniaz : faza de proces sistematic sugereaz c auditul este bazat, cel puin n parte, pe disciplina i filozofia unei metode tiinifice. Muli auditori nu consider ns c ei aplic o metod tiinific, deoarece o asemenea metod ar implica un grad mai ridicat de structurare dect se dorete n audit. Dei un audit are la baz o strategie, strategia respectiv se poate modifica pe parcursul misiunii, datorit schimbrii condiiilor sau a apariiei unor rezultate neateptate ale procedurilor de audit.Obinerea i evaluarea n mod obiectiv a unor afirmaii. n esen, auditul const n colectarea i evaluarea probelor care vor fi suportul opiniei auditorului. De exemplu, ntr-un audit financiar, exerciiul de culegere a probelor presupune, adesea, o verificare a principiilor i metodelor contabile folosite n ntocmirea situaiilor financiare cu principiile contabile general acceptate (Generally Accepted Accounting Principles: GAAP), fapt ce implic o urmrire a informaiilor n documentele contabile i compararea acestora cu valorile obinute prin inventar, prin verificare ncruciat cu clienii sau prin investigare.n acest context, dac o societate prezint de exemplu, n bilan, postul Instalaii, auditorul trebuie s examineze contractele de achiziie, pentru a verifica faptul c societatea este proprietara instalaiilor, s procedeze la inventarierea fizic a acestora pentru verificarea existenei lor faptice i, n cazul n care instalaiile au fost achiziionate n valut, s verifice dac societatea a ales un curs de schimb adecvat. De asemenea, se va verifica dac amortizarea contabilizat n numele instalaiilor corespunde cu cea prevzut n planul de amortizare.Evaluarea afirmaiilor de ctre auditor presupune exercitarea judecii profesionale a acestuia, ceea ce necesit o capacitate deosebit de interpretare i analiz. De exemplu, pentru a aprecia dac instalaiile sunt evaluate la valoarea cea mai mic dintre cost i valoarea recuperabil, (Valoarea recuperabil reprezint valoarea cea mai mare dintre preul net de vnzare i valoarea de utilitate (IAS 36 Deprecierea activelor)), auditorul trebuie s neleag modul n care societatea determin valorile respective, lucru ce poate fi extrem de dificil avnd n vedere estimrile pe care le implic determinarea valorii recuperabile. Dei practica a demonstrat c exist foarte rar probe care s susin judecile auditorului, aceste judeci sunt cruciale pentru auditarea informaiilor contabile.Afirmaii privind aciunile cu caracter economic: se refer la acele afirmaii i estimri pe care managementul unei entiti le face i care, de altfel, se regsesc incluse n situaiile financiare supuse auditului.n concluzie, se poate afirma c declaraiile fcute de conducerea unei entiti se bazeaz pe contabilizarea tranzaciilor i a evenimentelor economice, proces care implic colectarea, clasificarea, nregistrarea i raportarea informaiilor de natur contabil.Aprecierea gradului de conformitate a afirmaiilor cu criterii prestabilite. Orice misiune de audit are ca obiectiv principal formularea unei opinii de ctre auditor asupra afirmaiilor privind faptele i evenimentele economice ce urmeaz a fi auditate; n acest mod se va preciza n ce msur afirmaiile amintite sunt conforme cu criteriile sau standardele existente.De exemplu, n cazul n care toate afirmaii implicate de expresia stocuri....3000 u.m. sunt conforme cu GAAP-urile (stocurile exist i sunt n proprietatea ntreprinderii, stocurile sunt evaluate la cea mai mic valoare dintre cost i valoarea net de realizare etc.), auditorul va concluziona c exist o coresponden ntre afirmaiile respective i criteriile stabilite. GAAP-urile sunt, de regul, explicite i definite n mod clar i concis, deoarece ele reprezint criteriul pentru nelegerea altor concepte contabile (de exemplu, discuiile referitoare la prezentarea fidel n conformitate cu GAAP-urile).Comunicarea rezultatelor ctre utilizatorii interesai . Episodul final al oricrei misiuni de audit este ntocmirea unui raport care informeaz cititorul asupra gradului n care afirmaiile clientului corespund cu criteriile agreate sau impuse.ntr-un audit financiar, prin opinia sa neutr exprimat, auditorul devine un garant al situaiilor financiare n faa utilizatorilor externi, iar raportul de audit prezint concluziile asupra gradului n care situaiile financiare sunt sau nu conforme cu principiile contabile general acceptate.n Romnia, Normele Naionale de Audit, inspirate din referenialul internaional, au definit auditul ca fiind examinarea profesional a unei informaii n vederea exprimrii unei opinii responsabile i independente, prin raportarea la un criteriu standard de calitate. Ca un corolar al celor dou definiii, se poate aprecia c auditul este o activitate desfurat de profesionitii n domeniu, care colecteaz i evalueaz probe, n vederea exprimrii unei opinii independente privind comparaia dintre aspectele observate i cele prestabilite, conform unui criteriu de calitate.Plecnd de la aceste aspecte generale, se poate observa astzi c noiunea de audit a fost asociat unor domenii diferite precum: auditul financiar, auditul mediului, auditul sistemelor informaionale, auditul calitii, auditul capitalului intelectual etc.CADRUL CONCEPTUAL AL AUDITULUIAuditul opereaz cu idei abstracte; el i are bazele n numeroase tipuri de nvare... are o structur raional de postulate, concepte, tehnici i reguli, bazndu-se pe un studiu intelectual riguros care merit s fie numit disciplin n sensul curent al acestui termen (Mautz i Sharaf citai de O'Reilly, M.B. Hirsch, P.L. Defiliese, H.R. Jaenicke, op. cit ) Altfel spus, auditul are la baz o teorie. n sens restrictiv, teoria auditului este o teorie normativ, deoarece furnizeaz un ghid despre cum ar trebui s fie practica de audit. Cu alte cuvinte, scopul teoriei auditului este s furnizeze un cadru conceptual raional i coerent pentru determinarea procedurilor de audit necesare pentru atingerea obiectivelor de audit definite i pentru evaluarea continu a practicilor curente n scopul perfecionrii lor.O trecere n revist a literaturii de specialitate evideniaz numeroase postulate care stau la baza teoriei auditului. Aceste postulate nu au fost descoperite de unul sau mai muli indivizi, ntr-un loc geografic oarecare i ntr-un moment precis de timp. De asemenea, ele nu pot fi rezultatul experienelor tiinifice de laborator. Dimpotriv, ele fac obiectul schimbrii, deoarece se bazeaz pe un mediu, pe o structur a utilizatorilor de informaii financiare i pe necesitile lor de informare, care evolueaz n mod continu.( Feleag, 1996.)Postulatele cel mai frecvent invocate n lucrrile de audit sunt: Situaiile financiare i informaiile financiare sunt verificabile. Dac aceast ipotez fundamental nu ar fi real, auditul nu ar avea sens i nu ar exista. Verficarea nu implic probe de netgduit, dar sugereaz conceptul de asigurare rezonabil. Mautz i Sharaf subliniaz c doar pe baza acestui postulat, se identific : teoria probei; procedeul de verificare; aplicarea probabilitii teoriei de audit; stabilirea granielor responsabilitii auditorului. Pe termen lung, nu exist un conflict de interese ntre auditori i conducerea entitii auditate. Att auditorii ct i managerii ar trebui s fie interesai n prezentarea unei imagini fidele a situaiilor financiare, deoarece adoptarea unor decizii de investiii bazate pe informaii pertinente este benefic ntreprinderii pe termen lung. Trebuie ns precizat c, pe termen scurt, pot exista conflicte n ceea ce privete: dezacordul onest asupra aplicrii unei politici contabile; ncercarea managerilor de a cosmetiza situaiile financiare, prin ameliorarea performanei publicate sau a gradului de atingere a altor obiective, pentru ai spori propria remuneraie sau acordarea unor bonificaii suplimentare;fraude manageriale. Din acest motiv, pe tot parcursul activitii desfurate, auditorii trebuie s manifeste o atitudine sceptic fa de informaiile furnizate de conducerea entitii. Rezultatul unei misiuni furnizeaz asigurri rezonabile dar nu absolute c vor fi detectate erori semnificative cauzate, n special, de nereguli. Standardul de audit ISA 200 ajut la corelarea acestui postulat cu responsabilitile unui audit modern. Norma prevede c, un audit efectuat n conformitate cu standardele de audit, are ca scop detectarea erorilor semnificative, inclusiv a fraudelor care pot afecta situaiile financiare. Auditorul nu este un garant. Responsabilitatea sa const n a-i exercita ndatoririle cu maxim grij i competen, avnd un grad adecvat de scepticism profesional. Existena unui sistem de control intern satisfctor reduce posibilitatea fraudei i erorilor. Un sistem de control intern se bazeaz pe dou elemente definitorii: separarea responsabilitilor n cadrul unei organizaii i verificarea intern propriu-zis. Aceste dou elemente considerate mpreun nu pot fi eficiente 100%, fapt care conduce la ipoteza c este mai corect a spune c un sistem de control intern bun reduce eroarea, frauda, manipularea rezultatelor, pierderea activelor, fr a elimina total riscul de apariie a acestora. n aceste condiii, auditorul are nevoie de probe suplimentare fa de cele solicitate de un control intern, pentru a-i fundamenta aprecierea rezonabil despre situaiile financiare auditate. Aplicarea constant a principiilor general acceptate de contabilitate ofer o imagine fidel a situaiilor financiare. n momentul n care auditorul i exprim opinia sa n legtur cu situaiile auditate, el consider ca element de referin aplicarea principiilor contabile general acceptate n evaluarea gradului de fidelitate a situaiilor sau informaiilor analizate. Fr un astfel de criteriu, ar fi deosebit de dificil s se stabileasc, cu obiectivitate, dac situaiile financiare prezint sau nu o imagine fidel. Activitatea curent de audit este structurat n funcie de experiena i cunotinele acumulate din auditarea clientului n anii precedeni. n conformitate cu acest postulat, n lipsa unei probe contrarii, auditorul poate s presupun c ceea ce a fost adevrat n trecut, pentru o societate auditat, va rmne valabil i n viitor. Altfel spus, n absena unor schimbri n controlul intern operaional i de personal al clientului, auditorii i pot planifica angajamentele curente, pe probele cumulate din misiunile de audit anterioare, ceea ce mrete eficiena unei misiuni de audit. Independena este esenial n misiunea de audit. Independena este piatra de ncercare a profesiei de auditor. Fr o independen profesional de necontestat, opinia auditorului devine suspect. Din punct de vedere teoretic, factorii care permit determinarea gradului de independen sunt integritatea i obiectivitatea auditorului.Statutul profesional de auditor independent impune anumite obligaii profesionale. n conformitate cu acest postulat, auditorul trebuie s respecte Codul privind conduita etic i profesional n domeniul auditului.1.3. DIMENSIUNILE SI OBIECTIVELE AUDITULUI FINANCIAR-CONTABIL1.3.1 Dimensiunile audituluintr-un cadru restrns, auditul poate fi clasificat, n conformitate cu obiectivul funciei pe care o realizeaz, n: audit de conformitate; audit al performanei; auditul de atestare a situaiilor financiare (audit financiar)Auditul de conformitate are ca scop verificarea bunei aplicri a regulilor i procedurilor, n raport cu un sistem de referin dat (regulile i regulamentele interne ale unei organizaii, dispoziii legale i reglementare).Auditul performanei reprezint o revizuire sistematic a activitilor unei organizaii n corelaie cu anumite obiective stabilite de management, n scopul de a evalua performanele, de a identifica posibilele ameliorri i de a elabora recomandri de dezvoltare a acestor activiti.Msurarea performanelor prin prisma economicitii, eficacitii i eficienei constituie o necesitate pentru manageri, n scopul unei evaluri continue a rezultatelor obinute n raport cu obiectivele propuse.Auditul atestrii situaiilor financiare, cunoscutul sub denumirea de audit financiar, are ca obiectiv atestarea sau comunicarea unei opinii, de ctre o persoan independent, potrivit creia situaiile financiare sunt ntocmite, sub toate aspectele semnificative, n conformitate cu un cadru general de raportare.O sintez grafic a acestei clasificri se regsete n figura 1.1:AUDITAuditul performanteiAudit de conformitateAuditul financiarExaminarea totala sau partiala a activitatilorExaminarea personalului si a activitatilor entitatiiExaminarea situatiilor financiareCriteriul:Princiipiile contabile general acceptateRaport: despre corectitudinea situatiilor financiareCriteriul:Politicile, regulamentele interneRaport : despre conformitatea cu criteriul alesCriteriul:Obiectivul specific al organizatieiRaport: despre sugestii, recomandari si perfectionariFig. 1.1 Clasificarea auditului n funcie de obicetivul urmrit:Din punct de vedere al modului de afiliere al auditorilor n realizarea misiunii, auditul poate fi: audit extern; audit intern; audit guvernamentalAuditul extern, recunoscut sub numele de audit independent, este efectuat pe baz contractual de ctre auditori independeni, fie persoane fizice, fie persoane juridice, care au misiunea de a certifica situaiile financiare ale unei organizaii.Auditul intern, este o activitate de evaluare n cadrul unei entiti, activitate care reprezint un serviciu efectuat n favoarea entitii. Funciile sale includ, printre altele, examinarea, evaluarea i monitorizarea corectitudinii i eficienei sistemului contabil i a sistemului de control intern.Importana actual a auditului intern este subliniat i de existena Institutului Internaional de Audit Intern (The Institute of Internal Auditors: IIA). Acest instituie definea n 1999 auditul intern ca fiind "o activitate independent i obiectiv, care d asigurare unei organizaii n ceea ce privete gradul de control deinut asupra operaiunilor, o ndrum pentru a-i mbunti operaiunile si o ajut s-i ating obiectivele evalund procesele sale de management al riscurilor, de control i de conducere i avansnd propuneri pentru a le consolida eficacitatea". Definiia subliniaz rolul de consiliere al auditorului intern, el realiznd diferite recomandri, pentru a ajuta la atingerea obiectivelor Controlului Intern. ntrebarea care se pune este cnd i de ce a aprut acest concept?Funcia de audit intern este una relativ recent, apariia ei fiind recunoscut n perioada crizei economice din 1929-1933. Pentru a certifica situaiile financiare, auditorii externi trebuiau s desfoare numeroase activiti pregtitoare: inventare de orice natur, analize de conturi, sondaje variate, care necesitau timp ndelungat i cheltuieli mari. Din acest motiv, s-a sugerat ca anumite activiti pregtitoare s fie preluate de personalul ntreprinderii. Cabinetele de Audit Extern i-au dat acordul cu condiia unei anumite supervizri.AUDITAuditul internAudit externAuditul guvernementalEfectuat de auditori independenti pe baza contractualaRealizat de angatii permanenti ai organizatieiRealizat de angajatii institutiilor guvernamentaleInclude atat auditul de conformitate cat si auditul operationalInclude atat auditul de conformitate cat si auditul operationalInclude diferite tipuri de audit, majoritatea fiind focalizate pe auditul situatiilor financiareFigura nr.1.2. Clasificarea auditului n funcie de afilierea auditorilorRelaia Audit intern-Audit extern: astzi, chiar dac Auditul Intern apare pornind de la Auditul Extern, cele dou activiti sunt net difereniate, fiecare avnd obiective clar conturate. Astfel, se pot remarca cel puin opt diferene ntre Auditul Intern i Auditul Extern:a. Auditorul intern face parte din personalul organizaiei, n timp ce auditorul extern este un prestator de servicii, independent din punct de vedere juridic.b. Auditul intern lucreaz n folosul responsabililor organizaiei, iar Auditul Extern realizeaz certificarea situaiilor financiare pentru o gam larg de utilizatori: investitori, manageri, salariai, clieni, bnci, stat etc.c. n timp ce obiectivul Auditului Intern este s aprecieze controlul asupra activitii ntreprinderii i s recomande aciuni necesare ameliorrii acestuia, obiectivul Auditului Extern este s certifice imaginea fidel a situaiilor financiare.d. Domeniul de aplicare a auditului extern nglobeaz tot ceea ce particip la elaborarea situaiilor financiare, dar nu presupune investigaii i observaii doar asupra domeniului contabil. Domeniul Auditului Intern este mult mai vast, el incluznd toate funciile unei ntreprinderi.e. Auditul Extern se preocup de orice fraud, dac aceasta are o influen asupra rezultatelor financiare.f. Independena celor dou activiti este recunoscut, dar ea nu este de acelai tip; astfel independena Auditului Extern este una juridic i statutar, n timp ce a Auditului Intern are restricii.g. Periodicitatea auditului. Auditul Extern i efectueaz misiunile intermitent i la anumite momente adecvate certificrii conturilor: sfrit de an, sfrit de semestru, sfrit de trimestru. Auditul Intern se desfoar n mod permanent.h. Tehnicile i procedurile de audit adoptate sunt, adesea, diferite.Obiectivele auditului financiar contabil i responsabilitile auditoruluiObiectivul auditului a evoluat de la detectarea fraudelor i erorilor, proces care presupunea o verificare detaliat a tuturor operaiunilor patrimoniale i a nregistrrii lor contabile, la exprimarea unei opinii asupra imaginii fidele a patrimoniului, a situaiei financiare i a rezultatelor obinute de ctre societate. Se urmrete, n acest sens, msura n care informaiile nregistrate n contabilitate reflect evenimentele economice care au avut loc ntr-o anumit perioad, iar eforturile auditorului sunt intensificate pentru identificarea eventualelor manipulri ale informaiilor furnizate de sistemul financiar, pentru prevenirea cazurilor de contabilitate creativ sau fraud.Conform standardelor de audit, obiectivul unui audit al situaiilor financiare este acela de a da posibilitatea auditorului s exprime o opinie privind ntocmirea situaiilor financiare respective, sub toate aspectele semnificative, n conformitate cu un cadrul general de raportare identificat. Cu toate c opinia auditorului sporete credibilitatea situaiilor financiare, utilizatorul nu trebuie s considere c aceast opinie este o garanie a viabilitii viitoare a entitii.Utilizatorul extern nu trebuie s atribuie opiniei formulate de auditor o garanie absolut, pentru c este imposibil s nu contientizm c acesta nu-i va ntoarce armele mpotriva propriului client. Astzi, cnd 90% din piaa financiar este dominat de cei Patru Mari (The Big Four: KPMG, ErnstYoung, Deloitte Touche Tomahatsu, Pricewaterhouse Coopers), ntre restul auditorilor exist o concuren acerb. Pe o pia concurenial, clientul ar putea gsi uor un alt auditor care s-i serveasc interesele, fapt ce-l determin pe auditor s treac cu vederea anumite iregulariti. El nu va accepta ns erori semnificative care pot afecta substanial imaginea fidel a situaiilor financiare, pentru c astfel de evenimente deterioreaz reputaia sa pe termen lung.Pentru a nelege ceea ce este un audit i modul n care acesta se desfoar, este necesar s se cunoasc rolul auditului i responsabilitile profesionale ale auditorilor. O semenea analiz implic, nainte de toate, o cunoatere a mediului economic, social i instituional n care se desfaoar procesul de audit. n plus, trebuie s se aib n vedere faptul c scopul auditului, rolul su precum i mijloacele i tehnicile utilizate sunt ntr-o continu evoluie i adaptare la transformrile din mediul existent, ceea ce implic o pregtire continu din partea auditorilor.n esen, rolul auditorului, n special al auditorului extern, este acela de a spori ncrederea utilizatorului n informaia contabil, de a aduce un plus de siguran faptului c informaia contabila a fost prelucrat i prezentat n conformitate cu standardele i principiile contabile general acceptate. Standardul de audit 120 precizez: situaiile financiare sunt ntocmite i prezentate anual i sunt destinate nevoilor comune de informaii ale unei game largi de utilizatori. Muli dintre utilizatori se bazeaz pe aceste situaii financiare ca fiind sursa lor principal de informaii, deoarece ei nu au posibilitatea s obin informaii adiionale care s le satisfac nevoile informaionale specifice Din aceast precizare rezult rolul semnificativ pe care l joac auditul vis--vis de utilizatorii informaiei contabile: auditorul este singurul care, independent de conducerea ntreprinderii care a ntocmit situaiile financiare de sintez, este n msur s dea o asigurare rezonabil asupra faptului c situaiile respective nu sunt viciate de fraude sau erori semnificative i, prin urmare, pot fi utilizate cu suficient ncredere n procesul de fundamentare a deciziilor.Responsabilitatea auditorilor vizeaz acionarii i alte grupuri interesate care vor ctiga sau pierde de pe urma sntii companiei.Astfel, auditul este privit nu numai ca o materie interdisciplinar dar i ca un domeniu de activitate n care, n mod implicit, se impun rigori, standarde de pregtire profesional, o anumit conduit etic, de la care auditorul nu se poate abate fr a suferi consecine profesionale sau materiale.Referindu-se la acest aspect, Mario Manti, Comisionar al Pietei Unice, comenta: Auditorul financiar are un rol esenial n conferirea credibilitii situaiilor financiare ale societii comerciale, deoarece utilizatorii acestor situaii consider raportul auditorului drept asigurare i garanie a credibilitii i veridicitii lor. Informaia financiar-contabil este crucial pentru ncurajarea investitorilor strini n cadrul unei piee, mai cu seam n contextul monedei unice. Rolul auditorilor financiari este crucial pentru consolidarea pieelor mondiale de capital, iar reglementarea independent a profesiei este necesar pentru a ctiga ncrederea publicului n informaiile coninute de situaiile financiare elaborate de societatea comercial. Complexitatea activitii de audit deriv din faptul c nu exist o tehnic universal valabil care, o dat aplicat, poate s asigure un audit complet i un rezultat garantat. Acest punct nevralgic este precizat chiar n prefaa Normelor Naionale de Audit: Este imposibil s se stabileasc norme de audit i de servicii conexe care s se aplice de o manier universal la toate situaiile cu care un auditor se poate confrunta; n consecin, auditorul trebuie s considere normele adoptate ca principii fundamentale ce trebuiesc urmrite n activitatea lor. Procedurile necesare pentru aplicarea acestor norme sunt lsate la judecata fiecrui membru i variaz n funcie de circumstanele fiecrui caz.1.4 NECESITATEA REALIZARII ACTIVITATII DE AUDIT FINANCIAR- CONTABILSituaiile financiare sunt elaborate i prezentate pentru a satisface cerinele comune de informare financiar ale unei game largi de utilizatori: investitori, manageri, salariai, clieni, creditori bancari, stat etc. Concordana dintre coninutul i calitatea situaiilor financiare, pe de o parte, i exigenele referenialului contabil, pe de alt parte, este controlat de managementul societii i/sau auditorii interni, iar la nivel superior de organele de control financiar ale statului. Caracterul subiectiv al acestor forme de control, n condiiile asigurrii nevoilor proprii de informare ale investitorilor, a constituit premisa apariiei instituiilor profesionale de auditori independeni. Necesitatea unei astfel de activiti a fost accentuat de:Conflictul de interese dintre utilizatorii externi de informaii contabile (acionarii, creditorii bancari) i cei ce pregtesc i furnizeaz aceste informaii (managerii). Se poate afirma c interesul managerului este legat, n principal, de cota-parte care i revine din profit. Acest interes l determin s aib un comportament oportunist, optnd pentru procedurile care i permit meninerea drepturilor proprii la un nivel ridicat. Beneficiind de un acces imediat, complet i gratuit la informaiile contabile, managerii acord o atenie deosebit felului n care informaiile publicate sunt percepute n exterior, pentru c aceste informaii publicate informeaz terii despre felul n care societatea a fost gestionat.Acionarii, n calitatea lor de proprietari, vor s se asigure c managerii nu au profitat de mandatul ncredinat pentru a-i nsui o parte din bogia societii. Acionarii nu reprezint ns un grup omogen. Astfel, acionarii cu aciuni privilegiate, sunt interesai de capacitatea ntreprinderii de a produce ctiguri viitoare, de strategia adoptat de aceasta pentru asigurarea sntii pe termen lung, n timp ce acionarii cu aciuni ordinare, vor fi interesai de mrimea dividendului ce le revine. De asemenea, acionarii minoritari i majoritari nu au ntotdeauna aceleai nevoi informaionale i nici aceleai interese. Acionarii minoritari sunt interesai de ctigul imediat sub form de dividende, n timp ce acionarii majoritari sunt interesai de avantajele pe termen lung.Creditorii, n special creditorii bancari, sunt interesai de capacitatea ntreprinderilor de a produce profit, acesta reprezentnd singura surs de acoperire a dobnzilor i de rambursare a mprumuturilor. n acest context, se acord o atenie deosebit ratelor de lichiditate i de ndatorare. Controlul conflictului de interese a fost asigurat de serviciile auditorului extern.Fundamentarea deciziilor de investiii, mprumut i alte decizii necesit informaii despre poziia financiar, performanele i fluxurile de trezorerie ale unei societi, furnizate de situaiile financiare publicate. Consecinele economice majore care pot rezulta, i pot determina pe utilizatorii externi s solicite de la auditorul extern asigurarea c situaiile financiare sunt corecte, complete i conforme cu standardele contabile acceptate.Complexitatea crescnd pe care o cunoate contabilitatea determin riscul apariiei erorilor neintenionate i a interpretrilor greite. Din acest motiv, utilizatorii externi solicit opinia auditorului, pentru asigurarea credibilitii informaiei financiarcontabile, auditul n sine permind reducerea, ntr-o msur semnificativ, a riscului informaiei.Accesul selectiv la nregistrrile contabile pe baza crora sunt construite situaiile financiare, a accentuat n practic inegalitatea dintre categoriile de utilizatori. Acionarii i bncile au dreptul la informaii specifice (altele dect cele publicate), adesea cu titlu gratuit, n timp ce ali utilizatori pot beneficia de astfel de informaii contra cost. Chiar i n astfel de condiii, o examinare semnificativ a informaiilor, o evaluare a calitii situaiilor finaciare nu este cert.n condiiile n care informaia contabil permite redistribuirea bogiei, unele societi ncearc s i cosmetizeze situaiile financiare prin utilizarea unor tehnici de contabilitate creativ. n mod concret, utilizarea tehnicilor de contabilitate creativ este unul din aspectele urmrite de auditorul extern, datorit efectelor sale: Majorarea sau diminuarea cheltuielilor. Normele contabile las o anumit marj de manevr n cuantificarea cheltuielilor care aparin unui exerciiu. De exemplu, pentru anumite active se indic doar numrul maxim de ani n care trebuie amortizate. O durat mai mare sau mai mic de amortizare afecteaz mrimea rezultatului. n mod similar, se pot analiza provizioanele i posibilitatea activrii anumitor cheltuieli. Majorarea sau diminuarea veniturilor. In anumite cazuri, se poate grbi sau ncetini recunoaterea veniturilor prin aplicarea principiului prudenei sau a principiului conectrii cheltuielilor la venituri. Majorarea sau diminuarea activelor. Existena unei flexibiliti, n ceea ce privete calculul amortizrii si provizioanelor, creaz posibilitatea majorrii sau diminurii valorii nete a activelor. De asemenea, stocurile se pot evalua prin diferite metode i, ca urmare, valoarea lor poate fi diferit, cu efecte asupra contului de profit i pierdere.Majorarea sau diminuarea fondurilor proprietarilor. Modificarea veniturilor i cheltuielilor afecteaz mrimea rezultatului, i n consecin, mrimea rezervelor. Se modific, astfel, valoarea fondurilor proprietarilor i toate ratele calculate pe baza acestora. Majorarea sau diminuarea datoriilor. n unele ri, normele contabile las posibilitatea regularizrii anumitor datorii, precum cele legate de pensionare, pe un interval de timp. Ca urmare, o ntreprindere interesat n majorarea rezultatului va proceda la repartizarea datoriei pe o perioad maxim permis. Reclasificarea activelor i datoriilor. Uneori, pot exista dubii n ceea ce privete ncadrarea unui element ntr-o categorie sau alta. Este, de exemplu, cazul titlurilor, care n funcie de intenia ntreprinderii, trebuie nscrise n activele curente sau activele necurente. Manipularea informaiilor prezentate n anex. Lipsa unor informaii relevante poate afecta deciziile utilizatorilor externi.Prezentarea informaiilor. Criteriile utilizate n prezentarea informaiilor contabile pot reprezenta o porti pentru manifestarea creativitii. Analiza elementelor prezentate relev faptul c, adesea societile profit de breele existente n norme i de flexibilitatea acestora n vederea distorsionrii informaiilor publicate. Dei exist o diferen clar ntre contabilitatea creativ i nclcarea deliberat a legii, ambele fenomene apar n condiii de dificultate financiar a ntreprinderilor i au la baz intenia de a nela. n consecin, chiar dac utilizarea contabilitii creative nu este ilegal, ea indic faptul c managerii, aflai sub presiune financiar, caut soluii fr a-i mai pune problema respectrii unor standarde etice.CAP.2 PARTICULARITI ALE CONTROLULUI INTERN NTR-UN MEDIU INFORMATIZAT2.1 Analiza mediului de control i a riscului ntr-un mediu informatizat2.1.1 Analiza mediului de control ntr-un sistem informatizatSocietatea actual, o societate informatizat pentru care informaia i tehnologia informaiei sunt cele mai importante valori, necesit astzi sisteme de comunicaie rapide, sigure i fiabile care s-i asigure confidenialitatea, integritatea i disponibilitatea resurselor informaionale.nelegerea mediului de control, a caracteristicilor sistemului informaional n ansamblul su este un pas important i hotrtor pentru auditori, n vederea stabilirii gradului de credibilitate al sistemului nsui i a informaiilor pe care le furnizeaz.Obiectivul general i procesul de audit ntr-un mediu informatizat nu difer, structural, de etapele i procedeele clasice. Excepiile apar numai din necesitatea cunoaterii de ctre auditor a sistemului informatic existent, a nelegerii aplicaiilor informatice utilizate n procesarea automat a datelor, precum i a modului n care acesta satisface cerinele utilizatorului.n etapa de Planificare a auditului, auditorii trebuie s-i formeze o imagine asupra semnificaiei i complexitii mediului informatic, a accesibilitii datelor n vederea auditrii. Aceast imagine este definit de caracteristicile: Structura organizatoric a mediului informatic, ce pune un accent deosebit pe necesitatea separrii funciilor incompatibile adresate aceleiai persoane. Complexitatea i importana procesrii automate a fiecrei aplicaii semnificative. O aplicaie informatic poate fi considerat complex atunci cnd:- volumul tranzaciilor este considerat de utilizatorii aplicaiei ca fiind dificil pentru identificarea i corectarea erorilor n timpul procesrii;- aplicaia poate genera automat tranzacii semnificative sau poate furniza intrri ctre alte aplicaii ;- complexitatea calculelor aritmetice;- tranzaciile sunt schimbate electronic cu alte organizaii, ceea ce implic controale suplimentare asociate cii de comunicaie. Disponibilitatea datelor. ntr-un mediu informatizat, anumite informaii solicitate de auditor pot exista doar pentru o scurt perioad i doar ntr-o form electronic; n legtur cu acest aspect se impune a fi aminti i vulnerabilitatea mediilor de stocare a datelor sau informaiilor. Utilizarea tehnicilor de audit asistate de calculator pentru o cretere a performanei procedurilor de audit. Aceast analiz a importanei i complexitii activitilor mediului informatizat are un impact favorabil n evaluarea riscurilor inerente i de control. ntr-un mediu informatizat, amploarea riscurilor ia o alt dimensiune, natura lor fiind influenat de:a. Densitatea informaiei este mult mai mare dect n sistemele clasice, bazate pe hrtie. Dischetele, discurile optice i alte suporturi moderne ce sunt utilizate pentru salvarea acestui volum mare de informaii, nsumnd zeci de mii de pagini de hrtie, pot fi subtilizate mult mai discret genernd astfel fraude sau cel puin afectnd confidenialitatea acestor informaii.b. Transparena documentelor privind desfurarea unor operaiuni:Absena documentelor de intrare datele pot fi introduse n sistem fr a avea la baz documente justificative este exemplul tranzaciilor din sistemele on-line.Lipsa unor urme vizibile a tranzaciilor: dei n practica prelucrrii manuale, orice tranzacie poate fi urmrit plecnd de la documentul primar, apoi n registrele contabile, conturi n prelucrarea automat, traseul unei tranzacii poate exista o perioad limitat , ntr-un format electronic.Lipsa unor ieiri vizibile: anumite tranzacii sau rezultate, n special cnd acestea reprezint detalii, se pot regsi memorate doar n fiierele aplicaiei (nu i ntr-o form tiprit).c. Autorizarea tranzaciilor. ntr-un mediu informatizat se poate include i capacitatea calculatorului de a iniia i executa automat unele tranzacii; altfel spus, este vorba de modul de proiectare a aplicaiei informatice care poate avea ncorporate anumite autorizri implicite i funcii de generare automat.d. Procesarea uniform a tranzaciilor. O aplicaie informatic proceseaz n mod uniform tranzacii similare, pe baza acelorai instruciuni program. n felul acesta, erorile de redactare a documentelor asociate unei procesri manuale sunt n mod virtual eliminate. n schimb, erorile de programare pot conduce la procesarea incorect a tranzaciilor, astfel nct auditorii i vor concentra atenia asupra acurateei i consistenei ieirilor.e. Accesul neautorizat la date i fisiere se poate efectua cu o mai mare uurin, ceea ce implic un mare potenial de fraud i eroare.f. Remanena suporturilor de memorare a datelor, dup ce au fost terse poate constitui o cale sigur de a intra n posesia unor informaii de valoare.g. Agregarea datelor. Noile sisteme de prelucrare automat a datelor, precum sunt cele de asistare a deciziei, au condus la valorificarea unor informaii importante ale entitii, genernd prognoze, strategii i tactici de parcurs ntr-un anumit domeniu. Astfel, informaiile capt valene suplimentare dect cele avute prin pstrarea lor n mai multe locuri, separate unele de altele.h. Evoluia tehnologiei informaionale a cunoscut n ultimii ani un ritm accelerat, dar nu acelai lucru se poate spune despre progresele nregistrate n domeniul securitii datelor.i. Integrarea puternic a sistemelor apare ca o consecin a mbuntirii formelor de comunicaie i a proliferrii reelelor de calculatoare. Aplicaiile de comer electronic sunt doar un exemplu n acest sens, dar se poate afirma c au deschis i mai mult apetitul specialistilor n ceea ce privete frauda informaional.j. Lipsa urmelor eventualelor atacuri criminale constituie un alt element ngrijortor al noului mediu de lucru , n aces sens modificarea datelor, adugarea sau chiar tergerea lor au devenit operaii mult mai uor de realizat, dar n acelai timp, destul de greu de depistat.2.1.2 Analiza riscului ntr-un mediu informatizatObiectivul unei analize a riscurilor informaionale (riscuri IT) este de a identifica modalitile prin care datele i, implicit, sistemul informatic care le conine, este expus la risc. Elementele prezentate n paragraful anterior conduc la ideea c mediul informatizat genereaz noi riscuri i orice organizaie, n vederea asigurrii unei protecii eficiente a informaiilor, este necesar s dezvolte un proces complex de studiu i analiz a riscurilor.Riscul IT se manifest prin intermediul componentelor sale proprii: ameninri, vulnerabiliti i impact. Ameninrile exploateaz vulnerabilitile unui sistem cauznd impactul i n esen, combinaia celor 3 elemente determin mrimea riscului. Riscul la nivelul unei organizaii nu poate fi eliminat, el va exista ntotdeaua, managmentul societii fiind responsabil de reducerea lui la un nivel acceptabil. n acest sens, figura 2.1 pune n coresponden diferite elemente ce necesit a fi luate n calcul pentru reducerea riscului. Fig nr. 2.1 Componentele riscului ITn general, riscurile asociate unui sistem informaional, pe care orice auditor trebuie s le analizeze i evalueze (tehnica frecvent utilizat n acest caz este chestionarul), n vederea aprecierii sistemului n sine, vizeaz: Riscul securitii fizice ce va fi evaluat n funcie de informaiile culese, cu privire la: existena sistemelor de paz, detecie i alarm a incendiilor, sistemelor de protecie mpotriva cderilor de tensiune, protecia echipamentelor mpotriva furturilor, protecia mpotriva catastrofelor naturale (inundaii, cutremure..), protecia fizic a suporilor de memorare. Riscul de comunicaie poate lua valene diferite, n funcie de disponibilitatea sistemului la reeaua public, situaie n care auditorul e necesar s analizeze msurile de securitate adoptate: existena unui firewall, modul de configurare a acestuia, analiza modului de transmitere a datelor prin reeaua public (utilizarea tehnicilor de criptare, existena unei reele virtuale private - VPN). Acest risc se poate manifesta i la nivelul unei reele locale, atunci cnd configurarea acesteia las de dorit i prin ascultarea liniilor de comunicaie, traficul acesteia poate fi compromis. Confidenialitatea informaiilor nu vizeaz doar memorarea acestora pe staiile de lucru sau servere, ci i liniile de comunicaie. Riscul privind integritatea datelor i tranzaciilor vizeaz toate riscurile asociate cu autorizarea, completitudinea i acurateea acestora. Riscul de acces se refer la riscul asociat accesului inadecvat la sistem, date sau informaii. Implicaiile acestui risc sunt majore, el viznd confidenialitatea informaiilor, integritatea datelor sau bazelor de date i disponibilitatea acestora. n acest sens, aciunile auditorului presupun o analiz a managementului parolelor la nivelul organizaiei (altfel spus atribuirea i schimbarea parolelor de acces fac obiectul unei aprobri formale?), o investigare a ncercrilor de accesare neautorizat a sistemului (exist o jurnalizare a acestora ?), o analiz a proteciei staiilor de lucru (sunt acestea dotate cu soft care s blocheze accesul la reea, atunci cnd utilizatorul nu se afl la staia sa ?). Riscul privind protecia antivirus ce impune o analiz a existenei programelor antivirus n entitate, utilizarea lor la nivel de server i staii de lucru, upgrade-ul acestor programe (manual sau automat). Lupta cu viruii este esenial, dar nu uor de realizat. n ciuda numrului mare de programe antivirus existente este necesar o analiz a caracteristicilor programului privind: scanarea n timp real a sistemului sau monitorizarea continu a acestuia, scanarea mesajelor e-mail, scanarea manual. Riscul legat de documentaia sistemului informatic. Documentaia general a unui sistem informatic vizeaz pe de o parte documentaia sistemului de operare sau reelei i, pe de alt parte, documentaia aplicaiilor instalate. Aceast documentaie poate fi diferit pentru administratori, utilizatori i operatori astfel nct s ajute la instalarea, operarea, administrarea i utilizarea produsului. Riscurile asociate documentaiei se pot referi la faptul c, aceasta nu reflect realitatea n ceea ce privete sistemul, nu este inteligibil, este accesibil persoanelor neautorizate, nu este actualizat. Riscul de personal poate fi analizat prin prisma urmtoarelor criterii:Structura organizaional la nivelul departamentului IT ce va avea n vedere modul n care sunt distribuite sarcinile i responsabilitile n cadrul acestuia. Alocarea unui numr prea mare de responsabiliti la nivelul unei singure persoane sau unui grup de persoane este semnul unei organizri interne defectuoase.Practica de selecie a angajailor. La baza unui mediu de control adecvat stau competena i integritatea personalului, ceea ce implic din partea auditorilor o analiz a politicilor i procedurilor organizaiei privind angajarea, specializarea, evaluarea performanelor i promovarea angajailor. Riscul de infrastructur se concretizeaz n faptul c organizaia nu deine o infrastructur efectiv a tehnologiei informaiei (hardware, retele, software, oameni i procese) pentru a susine nevoile acesteia.Riscul de management al situaiilor neprevzute (risc de disponibilitate) este riscul asociat pericolelor naturale, dezastrelor, cderilor de sistem care pot conduce la pierderi definitive ale datelor, aplicaiilor, n absena unor proceduri de monitorizare a activitii, a planurilor de refacere n caz de dezastre.2.1.3. Metode cantitative i calitative de evaluare a riscurilor ITModelele de risc, fie ele cantitative sau calitative, reprezint instrumente deosebit de utile auditorilor IT pentru identificarea diferitelor tipuri de risc, oferind n acelai timp informaii pentru a le determina i controla.Literatura de specialitate abordeaz dou modele de analiz a valorii riscului: modelul cantitativ i modelul calitativ ; acestea pornesc de la premisa c orice organizaie se poate atepta la apariia unor pierderi cauzate de ineficiena unui sistem informatic, iar acest risc al pierderilor, rezult din impactul pe care l au ameninrile asupra resurselor organizaiei.Modelul cantitativ se bazeaz pe urmtoarele elementele: valoarea monetar credibil a activelor; impactul ca procent din valoarea activelor; probabilitatea pierderilor anuale; pierderea anual ateptat; costul controlului i msurilor de precauie; incertitudinea.Impactul generat de o singur ameninare sau pierderea potenial asociat unei singure apariii se calculeaz astfel:Impact=FV * VA sau PPA = FV * VAPierderea anual anticipat este influenat de rata anual a apariiei riscului i poate fi determinat astfel: PAA = PPA * RAA unde: FV factor de vulnerabilitate VA valoarea activului PPA pierderea potenial asociat unei apariii. PAA pierdearea anual anticipat RAA - rata anuala a apariieiO astfel de analiz include de asemenea o evaluare a raportului cost/beneficii ce va facilita proiectarea ratei de recuperare a investiiilor (ROI) pentru un anumit set de controale. ROI=Benefiii nete/CostAceste modele matematice furnizeaz un rezultat concret, dar care trebuie inclus n mediul economic i observat dac el reprezint realitatea.Specialistul Alan Oliphant propune un model calitativ de determinare a nivelului de risc, conform cruia sunt luai n calcul 4 factori de baz n aprecierea valorii riscului: impactul financiar, vulnerabilitatea, complexitatea i ncrederea .( anexa 1.1)n acest caz, valoarea riscului va fi exprimat prin valorile Foarte Sczut, Sczut, Mediu, nalt, Foarte nalt i nu n valori absolute ; formula de determinare a valorii riscului este urmtoarea : VR= VF * [( Cv*Wv )+( Cc*Wc )+( Ct*Wt )]unde:VR - valoarea de riscVF - impactul financiar asupra organizaiei; acesta reprezint un cost potenial al organizaiei n eventualitatea apariiei unei erori, cderi de sistem, fraude sau alte evenimente negative. Valoarea material va fi dat de valoarea financiar sau valoarea activelor. Impactul asupra organizaiei poate fi sporit prin intermediul unui multiplicator non financiar:[(Cv*Wv)+(Cc*Wc)+(Ci*Wi)]Acest model de calcul poate fi privit ca un punct culminant al analizei factorilor de risc: vulnerabilitate, complexitate i ncredere.Cv - vulnerabilitatea, se refer pe de o parte la modul n care utilizatorii autorizai au acces n sistem i pe de alt parte la accesibilitatea sistemului i a activelor organizaiei de ctre utilizatori neautorizai. Accesibilitatea unui sistem informaional se poate evalua n funcie de restriciile fizice implementate n cadrul organizaiei i de modalitile de acces prin intermediul reelei de comunicaie.Cc - complexitatea - are n vedere riscul asociat tehnologiei informaionale n sine, numrul utilizatorilor din cadrul compartimentelor sau n termeni mai generic complexitatea organizaional.Ci - ncrederea, reflect comportamentul uman din organizaie i vizeaz dou aspecte: integritatea personalului i gradul de implicare al managerilor.Wv, Wc, Wi - reprezint factori de greutate (important) care pot fi aplicai la discreia auditorului, n funcie de condiiile specifice. Iniial, aceti factori pot fi stabilii la o valoare de 0.33 n vederea determinarii unui multiplicator mediu general al riscului ; aceast valoare nu este fix i atunci cnd se consider c unul dintre elemente are un impact mai mare dect celelalte, se pot folosi valori diferite.Valoarea de risc calculat va fi transpus ntr-un tabel de traducere, indicndu-se nivelul de risc; n proiectarea acestui tabel, auditorii au n vedere urmtoarele reguli: valoarea cea mai sczut de risc = 0 i valoarea cea mai ridicat se apreciaz ca fiind valoarea total (financiar) a organizaiei multiplicat cu 3.Un exemplu n acest sens, va elucida eventualele ambiguiti create: se consider o banc a cror active sunt apreciate la 1 milion $. Modelul va fi aplicat asupra a dou categorii de operaii: conturi curente i operaii cu schimburi valutare. Valoarea activelor bancare fiind apreciat la 1 milion $, maximul valorii de risc va fi deci de 3 milioane $.Pentru a construi tabelul de traducere se va mpri aceast plaj de valori n segmente, apreciate la nivelele de risc pe scara de la 1..5. (Tabelul 2.1) Cea mai simpl metod o va reprezenta mprirea n intervale egale. Din nefericire, n practic lucrurile nu sunt chiar att de simple. n mod evident, pierderea integral a activelor poate fi considerat un risc nalt, dar inevitabil, apar ntrebri de genul: De unde ncep riscurile s creasc? Unde ating riscurile nivelul mediu?n general, n construirea acestui tabel de traducere auditorii solicit i consultarea managementului entitii.Valoarea de riscNivelul de riscDe la La010.000.000110.000.001100.000.0002100.000.001200.000.0003200.000.001400.000.0004400.000.0013.000.000.0005Tab.2.1 Tabelul de traducere a valorii risculuiSoluia prezentat anterior nu este general valabil, auditorii putnd s-i foloseasc experiena profesional n funcie de particularitile situaiei analizate. Tabelul 2.2 prezint informaii relevante pentru analiza riscului, n cazul ales CriteriuConturi curenteOperaii de schimb valutarValoarea financiar250.000.000$400.000.000$VulnerabilitateaAccesul la sistem poate fi obinut de la majoritatea terminalelor din interiorul bncii, ct si a sucursalelor.n plus accesul poate fi realizat prin sistemul Internet Banking si pe arii limitate de la terminalele ATM (Automat Teller Machine).n concluzie majoritatea utilizatorilor pot accesa sistemul.Rata vulnerabilitii :naltAccesul intern este restricionat de la terminale speciale, aflate n ncperi cu un acces controlat . Se poate aprecia c pentru acest sistem accesul utilizatorilor este mult limitat.Rata vulnerabilitii: MedieComplexitateaSistemul este vechi, utilizat de peste 15 ani , actualizat in timp.Cel puin 10 specialiti IT au cunotine detaliate despre sistem, documentaia existent nu a fost actualizat cu noile modificri. Sistemul se caracterizeaz prin multiple funcii, este integrat cu multe alte sisteme bancare i furnizeaz informaii oricrui departament.Rata complexitii : naltSistemul este utilizat de 3 ani. Este un sistem proprietar care nu a suferit modificri. Documetaia este actualizat de proprietar i numai 2 specialiti IT au fost instruii n buna intreinere a sistemului. Sistemul se caracterizeaz prin cateva funcii i poate fi integrat doar cu sistemul contabil. Departamentul Trezorerie este singurul utilizator.Rata complexitii: Sczutncrederea Managementul acord o importan deosebit acestui sistem deoarece s-au nregistrat numeroase cderi ale acestuia.Rata ncrederii: nalt Managementul este concentrat asupra unor probleme de securitate legate de comunicaia cu exteriorul, dar n timp nu s-au nregistrat cderi ale acestuia.Rata ncrederii: nalt Tabelul 2.2 Informaii de apreciere a ratelor de risc pentru cei 3 factori: complexitate, vulnerabilitate i ncredereVR = VF * [(Cv*Wv)+(Cc*Wc)+(Ci*Wi)]Deci:1. VR=250.000.000*[(3*0.33)+(3*0.33)+(3*0.33)]=750.000.000 $2. VR=400.000.000*[(2*0.33)+(1*0.33)+(3*0.33)]=266.666.666 $Aceste valori vor fi interpretate cu ajutorul tabelului de traducere a valorii riscului (tabelul 2.1) astfel: pentru sistemul conturi curente riscul este considerat Foarte nalt; pentru sistemul asociat schimburilor valutare riscul este considerat nalt. Concluziile finale ale acestei analize pot fi considerate drept premise pentru crearea planului de audit sau pentru determinarea nivelului de control care trebuie implementat.2.2 Controlul general al sistemului informaionalControlul general este destinat s supervizeze sistemul informaional n ansamblul su, avnd o inciden asupra tuturor aplicaiilor informatice ce funcionez n mediul informatizat. Numai prezena acestui control nu ofer o garanie asupra fiabilitii unei aplicaii informatice i nici asupra completitudinii i acurateei ieirilor acesteia, ntruct credibilitatea lor este dependent de controlul aplicaiilor. Componentele controlului general sunt reprezentate n figura 2.2. Figura nr.2.2 Componentele controlului general2.2.1. Controlul organizaionalEvideniaz psihologia managerului i stilul su de operare, poziia acestuia fa de sistemul informaional. ntr-un mediu informatizat managerul trebuie s se asigure c exist o separare a funciilor incompatibile la nivelul tuturor departamentelor informaionale. n domeniul prelucrrii automate exist numeroase funcii, care, din considerente de securitate, se recomand s fie exercitate de persoane diferite, cum ar fi: operarea la calculator i programarea aplicaiilor; pregtirea datelor i prelucrarea lor; prelucrarea datelor i controlul calitii prelucrrii; operarea la calculator i gestiunea suporilor de memorare; reproducerea, eliberarea sau distrugerea informaiilor importante i autorizarea nfptuirii lor; scrierea programelor de aplicaii i administrarea bazei de date; proiectarea, implementarea i modificarea softului privind securitatea sistemului i exercitarea oricrei alte funcii; controlul privilegiilor de acces i exercitarea oricrei alte funcii.Controlul organizaional urmrete s verifice dac departamentul informatic ocup locul care i revine n cadrul entitii, numrul de persoane aferent acestuia este suficient, iar sarcinile incompatibile s fie separate. n realizarea acestui obiectiv, auditorul va examina: planurile strategice asociate tehnologiei informaionale sunt stabilite i revzute anual, examinate i aprobate de responsabilii importani ai entitii; responsabilul informatic ocup o poziie ierarhic ce reflect importana tehnologiei informaionale pentru entitate; separarea funciilor n cadrul compartimentului informatic; descrierea sarcinilor corespunztoare fiecrei funcii specifice compartimentului informatic; definirea nivelurilor de autorizare i supervizare n fiecare domeniu funcional al serviciului informatic; politica de personal n domeniul IT permite asigurarea formrii i durabilitii colaborrii personalului care posed experiena necesar.2.2.2.Controlul dezvoltrii i ntreinerii sistemuluiEste conceput, s ofere o asigurare rezonabil asupra faptului c sistemul este dezvoltat i ntreinut ntr-o manier autorizat i eficient.Mediul concurenial i volatilitatea informaiilor reprezint, adesea, factori ce impun modificri ale aplicaiilor de procesare automat a datelor tocmai pentru a ine pasul noilor exigene (spre ex: modificarea impozitarului salariilor, noi modificri legislative pentru cota de tva). Orice modificare adus aplicaiilor din cadrul sistemului informatic va fi subiectul unei autorizri stricte, unor proceduri de testare i control. n acest sens, pentru se asigura eficiena i eficacitatea activitilor, auditorul va verifica dac sunt ndeplinite un minim de cerine: exist proceduri care asigur documentarea i planificarea calendaristic a oricrei modificri aduse sistemului iniial sau unor componente ale acestuia; modificrile necesare sistemului sunt analizate astfel nct s se determine, pe ct posibil, tendinele viitoare; exist proceduri prin care se asigur execuia numai a modificrilor autorizate; aplicaiile modificate sunt date n exploatare numai dup ce acestea, n prealabil, au fost testate i documentate; dup implementarea noilor modificri, se asigur utilizatorilor o perfecionare adecvat; exist mecanisme de control care s previn modificarea neautorizat a sistemului; se asigur un control al accesului la documentaia sistemului; achiziionarea unui nou sistem de la tere pri, are la baz un studiu de fezabilitate, este acesta un proces controlat de autoritile interne, noul sistem este compatibil cu sistemul existent (altfel spus organizaia dispune de resurse hardware i software compatibile noului sistem), satisface acesta cerinele organizaiei. Orict de bun ar fi un sistem, dac ntreinerea i dezvoltarea acestuia nu reprezint un proces continuu i adecvat, uzura moral a acestuia, mai devreme sau mai trziu i va face simit prezena, iar toate eforturile depuse pentru achiziionarea i implementarea lui pot fi dearte.La nivelul departamentului de audit intern, se impune realizarea unui control al modificrii programelor surs, control ce poate fi implementat din partea auditorilor, cu ajutorul tehnicilor:- testul de numrare a biilor: realizeaz o comparaie a lungimii copiei de siguran i a programului n lucru. Testul pare a fi destul de relevant pentru c este dificil a schimba logica unui program fr a-i afecta lungimea sa.- testul de program logic: presupune o comparare a codului surs a aplicaiei n uz cu versiunea arhivat. Cele dou versiuni sunt analizate linie cu linie, lucru destul de obositor dac avem n vedere dimensiunea aplicaiilor.- testul bazat pe folosirea unor date fictive (Integrated Test Facility: ITF) este un test mai complex ce solicit timp din partea auditorului pentru a-i proiecta datele de intrare; ulterior datele sunt introduse prin programul n lucru i se verific ieirile.2.2.3. Controlul securitii sistemuluiAlegerea unei strategii corecte de abordare a securitii unui sistem trebuie s porneasc de la adevrul unanim acceptat c nu exist un produs de securitate universal valabil. Practica a demonstrat c nu exist o reet unic care, odat implementat, va asigura beneficiarul c datele nu vor fi modificate sau furate. Nici un sistem nu poate fi 100% securizat i utilizat n acelai timp, fapt care conduce la formularea unor afirmaii de genul: "ceea ce se ctig n securitate, se pierde n funcionalitate".Controlul securitatii asigur protecia organizaiei fa de un acces neautorizat la resursele organizaiei, att din partea angajailor ei ct i din partea persoanelor din afara ei. Problema securitii se resimte astzi ca o nevoie acut, dei implementarea ei apare adeseori n urma pierderilor importante de date, fraude sau furturi informaionale. Printre actorii acestei scene adesea persoanele din interiorul entitii angajaii numii n literatura de specialitate infractorii de tip "guler alb" comit majoritatea infraciunilor informatice. n acest context, este necesar s se contientizeze c securitatea sistemelor informaionale este, n primul rnd o problem uman i nu una tehnic, ceea ce impune sensibilizarea i motivarea factorului uman n acest sens.Auditorul trebuie s verifice msura n care controlele existente n organizaie asigur confidenialitatea, integritatea i disponibilitatea resurselor informaionale.Confidenialitatea vizeaz protejarea informaiilor mpotriva oricrui acces neautorizat. Aspectul cel mai important n acest caz l reprezint identificarea i autentificarea utilizatorilor sistemului.Integritatea informaiilor se refer la protejarea acestora mpotriva modificrilor (accidentale sau intenionate) neautorizate; un acces neautorizat la informaiile strategice ale organizaiei conduce adeseori la fraud.Disponibilitatea presupune asigurarea accesibilitii sistemului informatic ori de cte ori persoane autorizate din cadrul sistemului solicit acest lucru. Ce este necesar s protejezi, mpotriva cui i cum ?, sunt ntrebri ce stau la baza definirii unei strategii de securitate la nivelul unei organizaii.Securitatea este o protecie a informaiei i proceselor unui sistem informaional mpotriva dezastrelor, greelilor umane i manipulrilor frauduloase astfel nct impactul asupra organizaiei s fie minimizat. Cerinele unei securiti n domeniul tehnologiei informaionale sunt adesea redate de urmtorii termeni:Asigurare: faptul c sistemul funcionez conform ateptrilor, rspunde cerinelor utilizatorilor.Identificare/Autentificare: procesul prin care calculatorul recunote prezena unui potenial utilizator al sistemuluiResponsabilitate/Audit trail: abilitatea de a ti cine, ce execut, unde i cum. Utilizatorii sunt responsabili i trebuie s-i justifice aciunile lor.Controlul accesului: accesul la resursele informaionale poate fi restricionat pe diferite categorii de utilizatori.Acurateea: asigur completitudinea i integritatea informaiilor.Securizarea transferului electronic: prin asigurarea confidenialitii, integritii, autenticitii mesajului transmis i non-repudierea acestuia.Continuitatea serviciilor: asigur disponibilitatea datelor i proceselor utilizatorilor sistemului.2.2.3.1 Politica de securitate informaionalStrategia de securitate a unui sistem trebuie s se bucure de simplitate, coeren i conformitate cu standardele existente. Ceea ce confer o baz solid unei societi este politica de securitate informaional adoptat i ea poate fi definit ca un set de reguli i practici care regleaz modul n care o organizaie folosete, administreaz, protejeaz i distribuie propriile informaii sensibile. Un astfel de document, conform Computer Control Guidelines, ar trebui s conin:- responsabilitile personalului n ceea ce privete securitatea informaional;- atribuiile responsabilului cu securitatea informaiilor n cadrul organizaiei;- clasificarea datelor i nivelurilor de securitate asociate acestei clasificri;- rolul auditorului intern n monitorizarea securitii sistemului;Odat instituite aceste politici ntr-o organizaie ele confer credibilitate resurselor informaionale. Practica a demonstrat c nu exist dou organizaii care s aib politici de securitate identice, acestea individualizndu-se tocmai datorit particularitilor pe care le implic o entitate. ntr-o unitate sunt necesare politici speciale pentru utilizarea Internetului i a e-mail-ului, pentru accesarea de la distan a sistemului, pentru modurile de utilizare a unui sistem informatic, pentru protecia informaiilor, politica managementulu parolelor,etc. Aadar, se poate spune c, printr-o politic de securitate informaional se definete politica de ansamblu a organizaiei n domeniul informaional, precum i responsabilitile din sistem.2.2.3.2 Strategia de control a securitii sistemuluiO strategie de control a securitii sistemului informaional impune parcurgerea urmtorilor pai: Analiza activelor, etap ce presupune o identificare i evaluare a resurselor sistemului informatic ce se doresc a fi protejate: sistem de operare, aplicaii, infrastructura reelei, informaiile prelucrate de sistem. Auditorul va verifica existena unei clasificri a informaiilor, n funcie de importana lor, n cadrul politicii de securitate existente pentru c msurile de protecie ce se impun a fi luate vor fi corelate cu valoarea acestor active. Analiza politicilor, practicilor de securitate existente. Analiza posibilelor ameninri ale sistemului.Ameninrile sunt acele evenimente sau activiti, n general externe unui sistem, care pot afecta la un moment dat punctele slabe ale acestuia, cauznd impacturi. n general o ameninare este o potenial for care poate degrada confidenialitatea i integritatea sistemului, genernd adeseori ntreruperi de servicii ale acestuia. O clasificare identific urmtoarele categorii de ameninri, care vizeaz: Identificarea / autentificarea utilizatorilor sistemului: impostori ce se prezint drept utilizatori ai sistemului, programe tip spargatoare de parole pentru aflarea parolelor din sistem; disponibilitatea informaiilor: cutremurele, inundaiile, alunecrile de teren, variaii brute de temperatur, incendii, explozii, fenomene astrofizice, fenomene biologice, suprancrcarea serverului, cderi de sistem, sabotarea sistemului: distrugerea fizic a conexiunilor reelei, distrugerea fizic a mediilor de stocare, introducerea viruilor, tergerea datelor critice; secretele organizaiei: supravegherea reelei, acces neautorizat la informaiile secrete; integritatea/acurateea informaiilor: modificarea deliberat a informaiilor; controlul accesului: folosirea incorect a parolelor, configurarea improprie a reelei, acces fizic neautorizat; repudierea: refuzul recunoterii expedierii/ recepionrii unui mesaj; legalitatea: nerespectarea regulamentelor interne i a cerinelor legale de protejare a datelor; elemente cu caracter general precum erori umane, fraud, furt, delapidare, vnzarea informaiilor confideniale, folosirea neautorizat a calculatoarelor, introducerea de virui n sistem, etc. Aceste ameninrile exist oricum, ele nu pot fi controlate, eradicate sau redirecionate, ci numai monitorizate, detaliate pe proceduri i tehnici de manifestare, iar concluziile vor fi baza evalurii vulnerabilitilor sistemului propriu.Sursele manifestrii acestor ameninri sunt: spionaj politic, comercial, angajai, hackeri, vnztori care au acces la sistem, detectivi particulari, mercenari, jurnaliti. Analiza impactului financiar : este definit ca estimarea valoric a pierderilor entitii ca urmare a exploatrii vulnerabilitilor sistemului de ctre ameninri. Acest impact poate avea dou componente: un impact pe termen scurt i un impact pe termen lung. Aprecierea acestuia poate fi considerat ca un numr pe o scar de la 0 ... 5 cu semnificaia: 0 impact neglijabil; 1 efectul e minor, procesele organizaiei nu vor fi afectate; 2 procesele organizaiei sunt afectate o perioad de timp, se nregistreaz pierderi financiare i chiar confidenialitatea clienilor este afectat minim; 3 se nregistreaz pierderi semnificative asupra proceselor organizaiei, confidenialitatea clienilor este pierdut, valoarea de pia a aciunilor scade; 4 efectele sunt dezastruoase, dar organizaia poate supravieui cu costuri semnificative; 5 efectele sunt catastrofice, societatea nu poate supravieui.n esen, impactul este specific fiecrei organizaii, depinde de activele acesteia, de tipul organizaiei, de msurile de prevenire existente, descrie efectul ameninrii i se poate manifesta ca o pierdere financiar direct, ca o consecin asupra reputaiei entitii sau ca o sanciune temporar, cu o ulterioar consecin financiar (figura 2.3). Figura nr.2.3 Relaia dintre vulnerabiliti, ameninri, impact i msuri de prevenirePosibile impacturi:1. Dezvluirea secretelor companiei, a datelor despre clieni, dezvluirea informaiilor contabile.2. Modificarea datelor contabile, datelor despre partenerii organizaiei (furnizori, clieni,..).3. Atacuri din partea unor persoane care pretind c reprezint compania.4. O campanie publicitar negativ ce poate divulga punctele slabe ale sistemului\ (breele de securitate) hackerilor.5. O campanie publicitar negativ ce poate conduce la modificarea, tergerea informaiilor despre partenerii societii.6. Perturbarea major a proceselor organizaiei.7. Perturbarea major a reelei.8. Pierderea confidenialitii clienilor.9. Organizaia poate fi acuzat legal (neglijen n aplicarea legii sau chiar nclcarea ei).10. Reducerea calitii serviciilor11. Fraude informatice12. Reeaua poate fi utilizat ca o baz pentru atacatori, n vederea distrugerii altor site-uri. Calculul riscului: ntr-un capitol anterior, au fost prezentate mai multe metode cantitative sau calitative de determinare a riscului recunoscute n practic, conform crora relaia de determinare a riscului poate fi prezentat sintetic astfel:Risc = Impact * Probabilitate Care este probabilitatea apariiei ameninrilor ? Experii tehnici pot evalua mai bine dect cei financiari acest element ca un numr pe o scar de la 0 ... 5.1 ameninarea este foarte improbabil s apar2 ameninarea e posibil s apar mai puin de o dat pe an3 - ameninarea e posibil s apar o dat pe an4 - ameninarea e posibil s apar o dat pe lun5 - ameninarea e posibil s apar o dat pe sptmn6 - ameninarea e posibil s apar o dat pe ziRiscul poate avea o valoare minim 0 i una maxim 25. Auditorul n aceast etap va seta o valoare a riscului acceptabil. Analiza msurilor de prevenire a atacurilor: sistemul de control intern, ntr-un mediu informatizat, identific patru categorii de mecanisme de control:Controlul preventiv urmrete o detectare a problemelor nainte de apariie, o prevenire a erorilor, omisiunilor i actelor maliioase nainte de apariie i implic: angajarea numai de personal calificat, separarea sarcinilor de serviciu, instructaje adecvate, regulamente interioare, un control al accesului la informaiile sensibile astfel nct acesta s fie permis numai persoanelor autorizate. n completarea acestuia, controlul detectiv are ca obiectiv descoperirea i corectarea erorilor care au aprut printr-o verificare a datelor de intrare/ieire, a controlului comunicaiilor acestor informaii i a controlului totalurilor tranzaciilor prelucrate.Controlul corectiv urmrete minimizarea impactului ameninrilor, remedierea problemelor descoperite de controlul detectiv, identificarea cauzelor problemelor, corectarea erorilor asignate acestora, ceea ce implic proceduri de back-up, proceduri de reluare a execuiei. Figura nr. 2.4. Tipuri de controale ale accesului n sistemDeterminarea riscului rezidual: riscul rezidual se definete ca acel nivel de risc ce rmne dup analiza i evaluarea tuturor msurilor de combatere a riscurilor. Acest risc va exista ntotdeauna, dar o problem rmne de a aprecia dac acest nivel este acceptabil sau mai trebuie ajustat.Figura nr.2.5 Reprezentarea riscului rezidualRiscul rezidual ia forma unai concluzii la care s-a ajuns n urma unui proces de analiza a lui i trebuie s conin: semnalarea punctelor slabe, nevralgice ale sistemului asociate cu ameninrile corespunztoare i probabilitatea lor de a avea loc; toate msurile (recomandrile) ce se impun a fi aplicate dac riscul rezidual nu se ncadreaz la un nivel acceptabil. ntocmirea unui raport de analiz a riscurilor identificate i a securitii n ansamblul su o poate reprezenta detalierea testelor pentru elementele semnificative ale sistemului, aa zisele puncte slabe, vulnerabile. n acest sens, auditorul poate urmri:- securitatea comunicaiilor;- controlul accesului logic i fizic;- securitatea fizic;- evaluarea sistemului copiilor de siguran(back-up);- evaluarea sistemelor de protecie antivirus;2.2.3.3 Securitatea comunicaiilorn prezent, una din problemele comunicaiei datelor o reprezint securitatea transmisiei i recepiei lor. O aplicaie ce utilizeaz sistemele bazate pe securitate trebuie s asigure:a. Confidenialitatea: meninerea caracterului privat al informaieib. Integritatea: dovada c respectiva informaie nu a fost modificatc. Autenticitatea: dovada identitii celui ce transmite mesajuld. Non-repudierea: sigurana c cel ce genereaz mesajul nu poate s-l denigreze mai trziu. Toate aceste proprieti pot fi ndeplinite prin utilizarea cheilor publice criptografice.Criptografia este considerat a fi arta sau tiina de meninere a mesajelor secrete, asigurnd confidenialitatea, prin criptarea unui mesaj, folosind n acest sens chei asociate cu un algoritm. Cheia utilizat trebuie s fie secret ambelor pri, problema reprezentnd-o managementul cheilor i meninerea lor secret. Aceasta procedur este reprezentat n mod schematic n figura 2.6 : Figura nr.2.6 Tehnica de criptare a unui mesajUn "mesaj clar" este supus unei transformri (criptare) prin intermediul unei chei (K) rezultnd un text cifrat numit criptogram. Textul cifrat este transmis prin mediul de comunicaie ctre un destinatar, care cu ajutorul unei chei de descifrare (K) obine "mesajul clar". Sistemele criptografice se pot clasifica n sisteme simetrice i asimetrice.Sistemele de criptare simetrice: folosesc o singur cheie att pentru incriptare, ct i pentru decriptare solicitnd o ncredere reciproc a prilor implicate. Altfel spus, expeditorul cripteaz textul clar cu ajutorul unei chei secrete, iar destinatarul va decripta mesajul criptat folosind aceeai cheie, reuita fiind asigurat de secretizarea cheii. Ideal ar fi ca o astfel de cheie simetric s fie utilizat o singur dat. Nu n ultimul rnd succesul sistemului se bazeaz pe dimensiunea cheii. Astfel, dac ea are mai mult de 128 bii, este o cheie sigur, ceea ce nseamn siguran n exploatare. Cel mai cunoscut sistem bazat pe chei simetrice este Data Encryption Standard (DES), conceput n 1972, ca o dezvoltare a algoritmului Lucifer al firmei IBM.Sistemele de criptare asimetric folosesc dou chei: una public i una privat, ele reprezentnd o soluie elegant n ceea ce privete distribuirea cheii. Dou sisteme de criptare asimetric, se fac astzi recunoscute: RSA Data Security i Pretty Good Privacy , ambele folosesc acelai algoritm: cheia public este produsul a dou numere prime, iar cheia privat este unul dintre cele 2 numere prime. Un utilizator care cunoate cheia privat poate verifica dac pentru crearea cheii publice s-a folosit cheia privat.Astzi se acord o atenie deosebit dezvoltrii de standarde i reguli juridice pentru rezolvarea principalei slbiciuni a sistemelor de criptare cu cheie public: alturarea unei chei publice a unui utilizator cu identitatea acelui utilizator. Cum poate ti cu siguran un receptor dac, cheia public a destinatarului aparine cu adevrat acelei persoane i nu unui impostor?Soluia o reprezint asocierea unei semnturi digitale la cheia public. O semntur digital32 este un bloc de date (alctuit din cifre binare) ce se ataeaz unui mesaj sau document pentru a ntri ncrederea unei alte persoane sau entiti, legndu-le de un anumit emitor. n esen, semntura digital stabilete autenticitatea sursei mesajului. Dincolo de managementul cheilor de criptare, criptografia trebuie nsoit de un set de reguli, politici sub care sistemele criptografice pot opera aa numita infrastructur : Public Key Infractructure (PKI).PKI este o combinaie de produse hardware i software, politici i proceduri care asigur securitatea de baz necesar astfel nct doi utilizatori, care nu se cunosc sau se afl n puncte diferite de pe glob, s poat comunica n siguran. La baza PKI se afl certificatele digitale, un fel de paapoarte electronice ce mapeaz semntura digital a utilizatorului la cheia public a acestuia, la care se mai adaug autoritile de certificare, autoritile de nregistrare, politicile i procedurile cu chei publice, revocarea certificatelor, nerepudierea, aplicaiile de securitate.2.2.3.4 Controlul accesuluiSe refer la metodele prin care se controleaz accesul unui utilizator autorizat la fiiere, directoare, porturi i chiar protocoale. n acest sens se poate vorbi pe de o parte, de un control al accesului n sistem (control fizic), iar pe de alt parte de un control al accesului la resursele acestuia (control logic). Controlul accesului n sistem vizeaz o verificare a unui utilizator autentificat de sistem prin prisma urmtoarelor caracteristici: timpul din zi, ziua din sptmn, data, locul unde se afl terminalul. (Permite sistemul accesul utilizatorului la acea or din zi?, n acea zi din sptmn?, De la acel terminal? ). Controlul accesului la resurse este posibilitatea de a acorda sau interzice accesul unui utilizator la o resurs dat - trebuie s fie parte integrant a unui sistem de operare de reea. Majoritatea sistemelor de reea prezint o anumit form de acces al controlului bazat pe un sistem de privilegii sau permisiuni, cum ar fi: permisiunea de a citi, scrie, terge sau afia date. Auditorul va verifica sistemul de restricii impus de administratorul reelei - sistem ce trebuie s asigure un filtru adecvat al utilizatorilor n procesele de prelucrare a datelor i nu n ultimul rnd, va analiza proiectarea reelei ct i instrumentele de securitate folosite n cadrul ei.O bun gestiune a accesului utilizatorilor presupune ca n fiecare moment s se cunoasc cine are acces n reea, ce execut, de ct timp acceseaz resursele sistemului. Accesul utilizatorilor la un sistem presupune identificarea, autentificarea i autorizarea acestuia n sistem.O serie de vulnerabiliti, precum gestionarea incorect a drepturilor utilizatorilor de ctre administratorul retelei, nedeconectarea utilizatorilor dup un numr de logri euate, gestionarea incorecta a parolelor, ineficiena mecanismului de control al utilizatorilor, lipsa unui jurnal care s memoreze ultima logare reuit sau nereuit, lipsa unui sistem de control al accesului la fiiere n funcie de nivelul de autorizare, conduc la un acces neautorizat, impropriu la resusele reelei. Accesul neautorizat const n accesul fr drept la un sistem sau la o reea informatic prin violarea regulilor de securitate. Controlul accesului prin parole reprezint un instrument utilizat frecvent de auditor n cadrul misiunii sale. Parola, cel mai simplu accesoriu folosit n asigurarea securitii, reprezint adesea o vulnerabilitate uor atacabil a unui sistem informatic. Adesea utilizatorii nu sunt educai n alegerea unei parole corecte, ei necontientiznd faptul c securitatea fiecrui utilizator este important pentru securitatea ntregului sistem.Auditorul va verifica dac sunt stabilite proceduri pentru schimbarea lor periodic, pstrarea confidenialitii parolei, "transparena" parolelor, accesul la fiierele cu parole este protejat. Astzi nimnui nu-i mai este strin termenul de "sprgtor de parole" care nu este altceva dect un program ce poate decripta parole sau poate dezactiva protecia prin parole. Acesta ar putea reprezenta chiar unul din instrumentele auditorului pentru a descoperi parolele slabe care exist n sistem.Sistemul parolelor, orict de complex ar fi el, utilizat singur nu reprezint instrumentul ce asigur securitatea unui sistem. Pentru prentmpinarea unor aspecte vulnerabile din sistemul de protecie prin parole, se recomand ca o parol s fie nsoit de un alt instrument de securitate ce va permite identificarea utilizatorului (o cheie de acces la consol, spre exemplu).Momentul 11 septembrie 2001 a schimbat sensul controlului accesului n sistem, att prin prisma mijloacelor de exercitare, ct i a domeniilor de aplicare. O tendin pregnant n acest sens o constituie sistemele de identificare biometric a persoanelor, care exist la ora actual; nsi firma Microsoft realizeaz identificarea angajailor si prin intermediul unei cartele inteligente, cu elemente biometrice incluse.Controlul accesului n mediile publice: pentru a supravieui pe piaa competitiv de astzi, firmele trebuie s-i fac simit prezena pe Internet. Vulnerabilitile reelei Internet pot genera atacuri surpriz din partea utilizatorilor reelei conducnd la un acces neautorizat la reeaua privat cu consecinele de rigoare. Auditorul unei astfel de organizaii, ce folosete servicii Internet, va verifica existena i configurarea instrumentelor specifice cum ar fi: firewall-urile, VPN (Virtual Private Network), instrumente de detectare a intruziunilor (Intrusion Detection System), tehnici de criptare i PKI, programe antivirus.Firewall-urile sunt produse software sau hardware care restricioneaz accesul ntre o reea protejat i Internet sau alte seturi de reele, mpiedicnd astfel accesul neautorizat n interiorul reelei. Un firewall este un sistem plasat ntre dou reele care se individualizeaz prin urmtoarele caracteristici: tot traficul dinspre interior spre exterior i viceversa trebuie s treac prin acesta; este permis trecerea numai a traficului autorizat prin politica local de securitate; sistemul nsui este imun la ncercrile de penetrare a securitii acestuia.Deoarece un firewall este dispus la intersecia dintre dou reele, acesta poate rezolva i alte probleme, dect acela de control al accesului, cum ar fi: o bun monitorizare a traficului i o uoar detectare a ncercrilor de penetrare n reea. n acest sens, un firewall poate jurnaliza serviciile folosite i cantitatea de date transferate prin conexiuni TCP/IP ntre propria organizaie i lumea exterioar; poate permite sau interzice anumite servicii, blocarea accesului de sau pe anumite staii, accesul anumitor utilizatori; poate bloca complet traficul ntr-un anumit sens; poate fi folosit pentru interceptarea i nregistrarea tuturor comunicaiilor dintre reeaua intern i exterior poate izola complet reeaua intern de cea public. Avantajele prezentate nu trebuie s ne conduc la idea c un firewall este o soluie pentru toate problemele de securitate, dar el reprezint o "prim linie" de aprare mpotriva atacurilor externe. Acest mediu de securitate avansat, poate implementa msuri de securitate prea stricte genernd o funcionare necorespunzatoare a reelei. n acest sens, spre exemplu, nu este indicat un firewall n mediile care folosesc aplicaii distribuite, deoarece politica de securitate strict implementat, va conduce la o exploatare greoaie a acestora. Evaluarea unui firewall impune: verificarea configurrii corecte a acestuia; verificarea regulilor de filtrare a informaiilor; verificarea canalelor de comunicaie deschise; verificarea aplicaiilor de tip IRC (Internet Relay Chat) sau Instant Messaging, pentru c acestea constituie ci prin intermediul crora se lanseaz diferite atacuri.Reele private virtuale (VPN). Vulnerabilitile reelei Internet pot fi eliminate prin utilizarea unui VPN, instrument ce asigur confidenialitatea datelor prin criptarea i ncapsularea datelor n timpul transmiterii. O reea privat virtual conecteaz componentele i resursele unei reele private prin intermediul unei reele publice. Altfel spus, o reea privat virtual este o extensie a Intranetului unei firme peste o reea public, cum este Internetul. VPN permite utilizatorilor s comunice prin aa numitele tuneluri care strbat Internetul, oferind participanilor s se bucure de aceeai securitate ca a reelei private. Tunelul este invizibil utilizatorilor din afara reelei i n plus toate datele transmise prin el sunt criptate. Fiecare utilizator al VPN-ului este verificat i comparat cu o baz de date existent pentru a i se aplica nivelul de securitate specific. n esen, soluia trebuie s asigure securitatea i integritatea datelor cnd traverseaz Internetul.O reea privat virtual va oferi garania urmtoarelor funcionaliti:autentificarea utilizatorului, accesul prin VPN fiind permis numai utilizatorilor autorizai; mai mult instrumentul va permite monitorizarea i jurnalizarea activitilor, pentru a arta cine i cnd a accesat o informaie.gestionarea adreselor: unui utilizator autorizat i se va asocia o adres din reeaua privat, iar soluia trebuie s garanteze confideialitatea lor.criptarea datelor: datele transferate prin reeaua public trebuie fcute invizibile utilizatorilor neautorizai.gestiunea cheilor de criptare; Soluia trebuie s genereze i s actualizeze cheile de criptare pentru client i pentru server.recunoaterea protocoalelor existente n reeaua public (cum ar fi Internet Protocol, Internet Paccket Exchange.) Implementarea unui VPN ofer unei organizaii o serie de avantaje importante: flexibilitate, uurina administrrii, ignorarea uzurii morale a tehnologiei, conectivitate global. n acest context, tehnologia VPN vine n ntmpinarea noilor cerine impuse de operarea afacerilor de la distan, operaii de parteneriat interdependente, n care participanii trebuie s se poat conecta la resursele centrale, s comunice unul cu altul.2.2.3.5 Securitatea fizicControlul securitii fizice include msuri ce vor face ca procesarea datelor s nu fie afectat de dezastre naturale (foc, inundatii), accidente tehnice (cderi de tensiune), condiii de mediu (umiditate, lipsa ventilaiei). Auditorul verific msura n care accesul fizic la date i resursele hardware sunt restricionate corespunztor:- spaii speciale pentru amenajarea calculatoarelor cu protecie la incendii, inundaii, etc.- analiza mediilor de stocare a datelor. Existenta unor programe gen Easy Recovery sau Lost & Found care permit recuperarea datelor terse de pe mediile de stocare pot genera prejudicii importante.- echipamentelor trebuie s li se asigure condiiile de mediu specificate n documentaia tehnic.- sisteme de supraveghere i alarm;- controlul personalului de securitate.2.2.3.6 Evaluarea sistemului de back-upPentru a asigura supravieuirea imediat a sistemelor, copiile de siguran hardware i software sunt eseniale pentru succesul fazei de stand-by. Cea mai popular tehnic de refacere a datelor este sistemul "fiu - tata - bunic" i ea const n: realizarea unor copii zilnice; back-up zilnic se suprascrie n sptmna urmatoare; la sfritul unei sptmni se realizeaza un back-up separat (copia sptmnii); back-up sptmnii va fi suprascris n luna urmtoare.Realizarea i pstrarea unor astfel de copii de siguran este absolut necesar n condiiile unei ntreruperi nejustificate a sistemului sau n situaii de alterare a calitii informaiilor. n evaluarea eficienei unui sistem back-up e necesar s se analizeze: care sunt datele sau informaiile crora li se fac copii de siguran; frecvena realizrii acestei operaii, n principu, ea fiind proporional cu volumul tranzaciilor prelucrate i importana acestora pentru organizaie; sigurana pstrrii copiile de siguran; suporii magnetici utilizai pentru back-up, din punct de vedere al costurilor i performanei; maniera de restaurare rapid i eficient a informaiei, n cazul unor evenimente nedorite; instructaje adecvate realizate personalului organizaiei;2.2.3.7 Evaluarea sistemelor de protecie antivirusAcesta presupune: verificarea existenei programelor antivirus la nivel de server i staie de lucru; o analiz a update-ul software-ului antivirus cu cele mai recente detalii despre noii virui (automat, manual); drepturile de a suspenda monitorizarea antivirus aparine numai administratorului sau/i operatorilor, utilizatorilor; analiza configurrii software-ul antivirus astfel nct acesta s aib posibilitatea de a verifica e-mail-ul, cd-urile, floppy-discurile, browser-ul de web, arhivele.2.3 Controlul aplicaiilorControlul aplicaiilor dintr-un sistem informatic vizeaz att un control administrativ care promoveaz eficacitatea exploatrii, ct i un control al fiabilitii aplicaiei. O aplicaie pentru a fi de calitate, n general, trebuie s respecte cteva condiii eseniale: s fie n conformitate cu nevoile beneficiarului; s nu prezinte disfucionaliti; s fie adaptabil schimbrilor legislative, tehnice.Controlul unei aplicaii este o activitate complex deoarece depinde n cea mai mare msur de alte controale, care, ntr-o prim faz, pot fi invizibile pentru auditor: controlul dezvoltrii, implementrii i ntreinerii programelor; controlul accesului fizic i logic; separarea funciilor incompatibile; controlul copiilor de siguran i al procedurilor de restaurare. Controlul n sine are n vedere: fiierele principale, versiunea aplicaiei folosit n prelucrare, autorizarea datelor de intrare, erorile depistate i coreciile acestora.Controlul unei aplicaii abordeaz: controlul datelor de intrare; controlul asupra procesrii i fiierelor de date; controlul datelor de iesire2.3.1. Controlul datelor de intrareSe definete ca un ansamblu de tehnici i metodologii care vor garanta integritatea, acurateea i oportunitatea datelor contabile din momentul prezentrii lor spre procesare pn la regsirea lor n situaiile financiare. Importana acestui control este de necontestat, pentru c n acest punct incidena erorilor ct i tentativa de fraud sunt frecvente.Controlul datelor de intrare poate identifica mai multe tipuri de controale reprezentaten figura 2.7: Figura nr.2.7 Tipuri de controale asupra datelor de intrareControlul asupra autorizrii furnizeaz n general, o asigurare c toate tranzaciile sunt autorizate i c persoanele care autorizeaz fiecare tranzacie au ntr-adevr competena s o fac. n general un astfel de control se regsete implementat n cadrul organizaiilor, dar el poate fi revizuit de auditor printr-o serie de teste, cum ar fi:- controlul accesului la aplicaiile informatice garanteaz faptul c procedurile de culegere a datelor revin persoanelor autorizate.- verificarea documetelor autorizate: autorizare furnizat de obicei de o tampil sau o semntur pe sursa documentului.- verificarea intrrilor ce nu au ca surs un document scriptic. Controlul asupra acurateei datelor de intrare, i va permite auditorului s desfoare o serie de teste ce urmresc s detecteze date incomplete, incorecte i nerezonabile. Diversitatea acestor teste este recunoscut i ele pot include:- testul privind formatul datelor: natura datelor, lungimea cmpurilor, acceptarea valorilor negative sau doar a celor pozitive, formatul datei calendaristice.- testul verificrii domeniului de definire al atributelor. - testul rezonabilitii datelor, incluznd verificarea relaiilor logice dintre 2 sau mai multe fiiere sau de asemenea poate viza conformitatea datelor cu un standard sau cu legislaia n vigoare (ex. Grila de impozit aferent salariilor angajailor)- testul coerenei datelor de intrare (de ex. Rulaj creditor=Rulaj debitor)- testul privind verificarea restriciilor de integritate ce se impun a fi definite:- restricii asupra valorilor unui cmp; exemplu: pret>0- restricii asupra valorilor mai multor cmpuri ce provin din aceeai tabel; exemplu: cantitate * pret > 1000000 TIP_CONT =ACTIV SOLD_I_CREDITOR = 0 - restricii asupra valorilor mai multor cmpuri ce provin din tabele diferite; exemplu: data_facturii>=data_contract - restricii asupra unor va