Sunteți pe pagina 1din 21

Aspecte privind fundamentele teoretice ale auditului sistemelor informatice financiar-contabile

Seminar tiinific Bucureti, 12.12.2013

Drd. Vlcea (cs. Drgoi) Antoanella-Mariyeane ndrumtor prof.univ. dr. avel !"#$A#%

&'(%)$(V% *%!%+A,% -( # %)(.()% Tema i propune s prezinte aspectele teoretice cu privire la auditarea sistemelor informatice financiar- conta ile folosite de entitile economice pentru desfurarea activit!ilor n domeniu. Seminarul cuprinde te"nici i metode de auditare reprezentative, adaptate la caracteristicile sistemelor informatice financiarconta ile comple#e folosite la ora actual, activitatea de audit fiind permanent afectat de pro$resele din domeniul te"nicii de calcul i de utilizarea acesteia, pe scar lar$, n desfurarea activit!ilor economice. %ractica este direc!ionat ctre sisteme informatice financiar- conta ile implementate ntr-un numr mare de entiti economice care au ca o iect de activitate produc!ia de unuri sau prestarea de servicii, dar i alte activiti n ceea ce prive te modul de auditare al sistemelor informatice respective fiind, n fond, independent de domeniul economic n care sunt inte$rate. &a nivel de sintez, n cuprinsul acestui material de studiu sunt prezentate conceptele fundamentale i te"nicile de auditare a sistemelor informatice uzual folosite n procesul de audit al unui sistem informatic economic, inclusiv n auditarea sitemelor informatice financiar-conta ile. A# %)$% +(V(!D ./!DAM%!$%,% $%&+%$()% Auditarea sistemului informatic financiar-contabil const n verificarea i controlul activit!ilor sistemului respectiv care este practic un caz particular de sistem informatic economic. Sistemul informatic economic fiind, la r'ndul lui, un caz particular de sistem informatic, te"nicile i mecanismele de auditare a sistemelor informatice sunt vala ile i pentru sistemele informatice economice, inclusiv pentru sistemele financiar- conta ile. (e aceea, la nivel de sintez se va discuta numai despre auditarea sistemelor informatice, ca fiind mai cuprinztoare. %entru a n!ele$e procesul de audit al sistemului financiar- conta il, ca sistem economic, tre uie fcut distinc!ie ntre auditul activitilor economice desfurate n cadrul unui entitatea economic i auditul sistemului informatic utilizat de entitatea economic respectiv, pentru eviden!a activit!ilor desfurate i a unurilor sale. Auditul activitilor economice desfurate de o entitate economic urmrete) eviden!ierea tuturor activit!ilor economice desfurate, prin nre$istrarea corect a acestora, pe documente de eviden! i control - suport de "'rtie sau format electronic* efectuarea prelucrrilor asupra datelor rezultate din activit!ile economice desfurate, n conformitate cu re$ulile de $estiune intern ale acestuia, cu normele, re$lementrile i le$isla!ia n vi$oare* $enerarea tuturor rapoartelor i situa!iilor necesare factorilor de conducere +mana$erilor, pentru a lua cele mai une decizii* determinarea valorii ta#elor i impozitelor care tre uie pltite, conform le$isla!iei n vi$oare* ntocmirea corect a declara!iilor financiare, n conformitate cu le$isla!ia n vi$oare.

Auditul activitilor sistemului informatic, utilizat de o entitate economic n desfurarea activitilor sale economice, urmrete; asi$urarea corectitudinii, completitudinii i preciziei datelor introduse n sistem, deoarece afecteaz rezultatele prelucrrilor efectuate de acesta* asi$urarea corectitudinii prelucrrilor efectuate asupra datelor introduse n sistem, n sensul c rezultatele acestora respect re$ulile de $estiune specifice entitii economice respective i le$isla!ia n vi$oare* asi$urarea corectitudinii i inte$rit!ii ieirilor sistemului, n sensul c acestea sunt cele solicitate de mana$erii entitii economice respective i de or$anismele de control financiar* asi$urarea corectitudinii procedurilor de control +controalelor, folosite pentru auditarea sistemului informatic respectiv. -tilizarea sistemelor informatice n desfurarea activit!ilor lor economice i.sau pentru eviden!a i controlul acestora ofer entit ilor economice at't avanta/e, c't i dezavanta/e. %rincipalele avantaje oferite de utilizarea sistemelor informatice de ctre entitile economice sunt) mbuntirea preciziei rezultatelor prelucrrilor, prin eliminarea erorilor umane care pot aprea ntr-un sistem manual de prelucrare i prin procesarea uniform a datelor, pe msura apari!iei acestora* creterea vitezei de procesare, prin prelucrarea automat a datelor i eliminarea timpilor de prelucrare manual a acestora, oferind utilizatorilor informa!iile solicitate, n momentul c'nd acetia au nevoie de ele* eliminarea forei de munc implicate n prelucrarea manual a datelor, prin prelucrarea automat a acestora, folosind calculatorul* sporirea volumului de informaii oferite utilizatorilor ntr-un interval dat de timp, prin creterea volumului de date prelucrat pe unitatea de timp determinat de prelucrarea automat a acestora* sporirea diversitii i complexitii informaiilor oferite utilizatorilor, prin prelucrarea automat a datelor i folosirea caracteristicilor $rafice ale ec"ipamentelor i pro$ramelor disponi ile. %rincipalele dezavantaje oferite entitilor economice de utilizarea sistemelor informatice n desfurarea activit!ilor lor, economice sau neeconomice +tiin!ifice, de proiectare etc.,, se numr) posi ilitatea apari!iei unor defecte hard are, care pot determina pierderea datelor i, implicit, imposi ilitatea de o !inere, n timp util, a informa!iilor azate pe rezultatele prelucrrii lor* pentru diminuarea efectelor produse de defectele te"nice, fa rican!ii inte$reaz n ec"ipamente protec!ii speciale* posi ilitatea apari!iei unor erori soft are, la nivelul pro$ramelor de aplica!ie, care pot conduce la rezultate incorecte, neo servate de ctre utilizator, deoarece acesta nu are control direct asupra prelucrrii datelor* pentru depistarea i eliminarea acestui tip de erori, proiectan!ii inte$reaz n pro$ramele de aplica!ie protec!ii speciale* posi ilitatea virusrii pro!ramelor utilizate +soft0are de sistem sau pentru dezvoltarea de aplica!ii sau de utilizator,, care poate determina pierderea sau alterarea datelor i.sau pro$ramelor, conduc'nd astfel la imposi ilitatea utilizrii lor*

pentru eliminarea efectelor determinate de virui se utilizeaz pac"ete de pro$rame +soft0are, antivirus, puse pe pia! de productori soft0are specializa!i +!orton AntiVirus, 123fee etc.,* posi ilitatea de apari!ie a unor erori de manipulare a datelor i"sau a pro!ramelor, care poate determina pierderea i.sau alterarea acestora, nso!it de prelucrri $reite, i, implicit, rezultate incorecte care pot trece neo servate at't de ctre operator, c't i de ctre utilizator, deoarece acetia nu au un control direct asupra prelucrrilor efectuate* pentru reducerea efectelor produse de ne$li/en!a sau neaten!ia n manipularea datelor i.sau pro$ramelor se impun msuri adecvate de si$uran!. %rin urmare, capacit!ile de prelucrare i precizia calculatorului nu asi$ur corectitudinea rezultatelor unui sistem informatic. %entru verificarea rezultatelor prelucrrilor, la nivel de operator sau utilizator, sunt necesare te"nici i mecanisme speciale de audit, asistate sau nu de calculator, inte$rate sau nu n componentele sistemului de prelucrare automat a datelor utilizate. n opinia noastr, avanta/ele economice i informa!ionale oferite de utilizarea sistemelor informatice n desfurarea activit!ilor lor sunt mult mai importante pentru entitile economice dec't dezavanta/ele utilizrii acestor sisteme, motiv pentru care acestea prefer s le foloseasc i s ia toate msurile impuse de necesitatea eliminrii, reducerii sau compensrii efectelor dezavanta/elor respective. %rin urmare, n condi!iile n careentitile economice folosesc n activitatea lor sisteme electronice de calcul, economitii tre uie s fie pre$ti!i s lucreze ntr-un mediu aflat ntr-o continu sc"im are, n care prelucrrile, eviden!ele i controlul se fac folosind de la sisteme informatice simple, formate dintr-un sin$ur sistem %2 +calculator personal pe care sunt instalate pro$ramele necesare i imprimant,, p'n la sisteme informatice comple#e, care includ re!ele de %2-uri i ec"ipamente periferice interconectate +intranet, internet, telecomunica!ii etc.,. %entru a fi competitivi, ei tre uie s i m o$!easc cunotin!ele cu informa!ii despre sistemele informatice folosite n mediul economic i despre auditarea acestora. )&!$+&,/, (!$%+! !$+-/! #(#$%M (!.&+MA$() %entru efectuarea controlului intern ntr-un sistem informatic se folosesc msuri, metode i te"nici de verificare a corectitudinii rezultatelor prelucrrilor realizate n interiorul su, cunoscute, n literatura de specialitate, su denumirea de controale, mai precis controale de audit av'nd n vedere rolul lor n procesul de audit al sistemului informatic respectiv. 3ltfel spus, controlul intern ntr-un sistem informatic se realizeaz cu a/utorul controalelor de audit. -tilizarea unui sistem automat de prelucrare a datelor nu diminueaz importan!a controlului intern realizat n vederea asi$urrii corectitudinii rezultatelor prelucrrilor efectuate n interiorul acestuia. 3pari!ia i utilizarea sistemelor informatice determin ns folosirea unor msuri i metode de control specifice, care se adau$ metodelor tradi!ionale de auditare a sistemelor manuale i.sau mecanice de prelucrare a datelor, deoarece posi ilitatea de folosire a unui sin$ur calculator pentru efectuarea tuturor opera!iunilor corelate din cadrul unei entiti economice impune utilizarea unor

controale specifice pentru asi$urarea protec!iei datelor la pierderi sau alterri i pentru depistarea prelucrrilor eronate, efectuate n interiorul calculatorului. 4n literatura de specialitate, controalele sistemelor informatice sunt clasificate n controale !enerale i controale de aplicaie. #ontroalele !enerale sunt msuri de protec!ie a ec"ipamentelor, datelor i pro$ramelor care privesc toate componentele unui sistem informatic +"ard0are i soft0are, i pot fi de urmtoarele tipuri) - controale or$anizatorice) msuri or$anizatorice folosite pentru protec!ia la fraude, neaten!ie i.sau ne$li/en!* - documenta!ie de sistem, folosit pentru verificarea func!ionrii sistemului, n conformitate cu cerin!ele utilizatorului, specificate n proiectul de e#ecu!ie* - controale "ard0are +controale de ec"ipament,) msuri de protec!ie la defec!iunile te"nice* - controale de si$uran! +ec"ipamente i fiiere,) msuri de protec!ie la pierdere, distru$ere sau alterare, la accesul neautorizat sau la calamit!i +ap, foc etc.,. #ontroalele de aplicaie sunt te"nici de control specifice, inte$rate n soft0are-ul de aplica!ie +utilizator, dintr-un sistem informatic, cu scopul de a asi$ura corectitudinea i protec!ia datelor stocate n sistemul respectiv i a rezultatelor prelucrrilor efectuate asupra acestor date. Se proiecteaz i se realizeaz o dat cu fiecare sistem informatic. %rincipalele tipuri de controale de aplica!ie sunt) controale de intrare) msuri de asi$urare a corectitudinii intrrilor sistemului* controale de prelucrare) msuri de asi$urare a corectitudinii prelucrrilor efectuate n interiorul sistemului* controale de ieire) msuri de asi$urare a corectitudinii ieirilor sistemului. 1a/oritatea erorilor identificate n rezultatele finale ale prelucrrilor efectuate de sistemele informatice provin din soft0are-ul de aplica!ie +de utilizator, folosit sau din introducerea eronat a datelor. (in acest motiv, controalele de aplica!ie /oac un rol ma/or n asi$urarea unui control intern eficient n sistemul informatic. )ontroale organi0atorice 1n sistemul informatic 2ontroalele or$anizatorice sunt metode i te"nici de or$anizare a activit!ilor desfurate de entitile economice, folosite pentru prevenirea pierderilor i.sau alterrilor de date determinate de fraud, neaten!ie i.sau ne$li/en!, n vederea asi$urrii unui control intern eficient n sistemele de prelucrare a datelor utilizate de acestea. %rincipalele tipuri de controale or$anizatorice sunt) definirea clar a func!iilor, urmat de definirea i separarea clar a sarcinilor an$a/a!ilor pentru fiecare func!ie* rota!ia an$a/a!ilor pe func!ii i vacan!e o li$atorii* selec!ia an$a/a!ilor care au acces la ec"ipamentele i pro$ramele sistemului informatic i acordarea unui spor de fidelitate. $efinirea clar a funciilor, urmat de definirea i separarea clar a sarcinilor i responsabilitilor %rspunderilor& an!ajailor pentru fiecare funcie, /oac rolulc"eie n asi$urarea controlului oricrui tip de sistem informatic, deoarece prote/eaz entitatea economic mpotriva pierderilor de date, care conduc la alterarea rezultatelor prelucrrilor. %entru asi$urarea unui control intern puternic ntr-un sistem informatic

folosit de o entitate economic pentru eficientizarea activit!ilor defurate, nici un an$a/at nu tre uie s ai sarcina i rspunderea complet pentru efectuarea unei activit!i. 5pera!ia e#ecutat de o persoan tre uie verificat de o alt persoan, care ndeplinete o alt sarcin, vizavi de activitatea respectiv. Separarea sarcinilor ntre an$a/a!i diferi!i asi$ur corectitudinea nre$istrrilor de date +pe "'rtie sau suport ma$netic, i a rapoartelor, prote/'nd totodat entitatea economic respectiv mpotriva pierderilor de date determinate de fraude sau ne$li/en!e. Sc"im rile produse de utilizarea unui sistem informatic n or$anizarea activit!ilor desfurate deo entitate economic tre uie s urmreasc at't folosirea eficient a ec"ipamentelor i pro$ramelor componente ale sistemului informatic, c't i asi$urarea unui control intern puternic n cadrul acestuia. Trecerea de la prelucrarea manual sau mecanic a datelor la prelucrarea automat a acestora permite unificarea activit!ilor i inte$rarea func!iilor dintr-un domeniu de activitate, deoarece un sin$ur calculator poate e#ecuta, cu uurin!, toate opera!iile corelate din cadrul unei entiti economice. 3cest lucru este posi il, fr sl irea controlului intern, pentru c un calculator pro$ramat corect nu are posi ilitatea sau interesul s ascund erorile i de aceea poate efectua orice com ina!ie de func!ii considerat incompati il de un control intern puternic ntr-un sistem tradi!ional de prelucrare a datelor +manual sau mecanic,. 6in'nd cont i de faptul c ntr-un calculator pro$ramele i datele se pot modifica fr a putea fi o servat acest lucru, se impune folosirea unor controale or!anizatorice compensatoare pentru asi$urarea si$uran!ei pro$ramelor i a datelor n vederea o !inerii unor rezultate corecte ale prelucrrilor efectuate n interiorul sistemului informatic. %entru folosirea eficient a fiecrui calculator din dotare, entitile economice com in i concentreaz func!iile de prelucrare a datelor la nivelul unui compartiment specializat, numit departament de informatic sau centru de calcul sau centru de prelucrare automat a datelor. (ac func!iile com inate i.sau concentrate la nivelul departamentului de informatic sunt considerate incompati ile din punctul de vedere al unui control intern puternic, se realizeaz controale or!anizatorice compensatoare la nivelul planului de or!anizare al departamentului informatic respectiv, deoarece ntrun sistem informatic pro$ramele i datele pot fi sc"im ate, fr a se o serva modificarea lor. %lanul de or$anizare al departamentului informatic tre uie astfel conceput nc't s previn interven!ia neautorizat a factorului uman n procesul de prelucrare automat a datelor, s previn accesul neautorizat al personalului la ec"ipamentele, pro$ramele sau datele sistemului informatic. 3cest lucru poate fi realizat prin definirea clar a func!iilor n departament i prin definirea i separarea clar a sarcinilor an$a/a!ilor pentru fiecare func!ie. Structura or$anizatoric a fiecrei entiti economice i numrul an$a/a!ilor de specialitate disponi ili determin $radul de separare a sarcinilor le$ate de proiectarea i.sau realizarea i e#ploatarea unui sistem informatic. 2a un minim necesar, func!ia de pro$ramator, care necesit cunotin!e detaliate despre pro$ramul de aplica!ie folosit, tre uie separat de func!ia de operator, care de!ine controlul intrrilor n pro$ramul respectiv. (ac structura or$anizatoric a unei entiti economice, care folosete pentru eviden!a i controlul activit!ilor sale un sistem informatic, permite unui an$a/at s realizeze at't sarcini de pro$ramator, c't i de operator, se sl ete controlul intern,

e#ist'nd permanent posi ilitatea de fraud. Separarea activit!ii de e#ploatare de cea de pro$ramare este foarte important din punct de vedere al asi$urrii unui control intern eficient, deoarece un an$a/at care realizeaz am ele func!ii poate face sc"im ri neautorizate n pro$ramul sistemului informatic, produc'nd fraude. 7storia fraudelor computerizate arat c, de cele mai multe ori, persoanele implicate au intervenit n sistemul informatic, ca pro$ramator i operator, control'nd folosirea lui. (ac structura or$anizatoric a unei entiti economice permite accesul personalului de exploatare a sistemului informatic la activele entitii economice respective, se sl ete, n mod serios, controlul intern, n cazul n care nu sunt implementate msuri de control +controale or$aniza!ionale, compensatorii. (e aceea, entitile economice care folosesc sisteme informatice pentru eviden!a computerizat a activelor tre uie s limiteze, pe c't posi il, accesul personalului de e#ploatare la activele respective. Totui, personalul de e#ploatare al unui sistem informatic poate avea acces direct i indirect la activele entitii economice $estionate folosind un sistem informatic. 3uditorii tre uie s tie c, acolo unde personalul de e#ploatare a sistemului informatic are acces la active, frauda care implic utilizarea calculatoarelor poate fi mai mare dec't n alte cazuri. 2a msur de control compensatorie se pot folosi documente i totaluri pe loturi, lista cu numrul de documente i totalul datelor semnificative pentru fiecare lot fiind pre$tite n dou departamente diferite ale entitii economice respective, pentru compararea rezultatelor. 'otaia, pe funcii, a an!ajailor care au le$tur cu sistemul informatic implementat de o entitate economic se face cu scopul de a evita sc"im rile neo serva ile de date i pro$rame efectuate n calculator, fie din interes +fraud,, fie din neaten!ie sau ne$li/en!. %lanul de or$anizare al unui departament de informatic tre uie s includ un mecanism de rota!ie a sarcinilor i vacan!e o li$atorii pentru an$a/a!ii si, pentru c sc"im area pro$ramatorilor sau operatorilor +ntre ei, faciliteaz descoperirea modificrilor accidentale sau neautorizate de date i pro$rame. 8otirea, pe func!ii, a an$a/a!ilor care se ocup cu prelucrarea i eviden!a datelor asi$ur un control intern eficient n orice tip de sistem de prelucrare i eviden! a datelor folosit de o entitate economic, pro$ramelor din sistemele informatice corespunz'ndu-le n sistemele tradi!ionale documentele scrise. (elecia an!ajailor care au acces la ec"ipamentele i pro$ramele sistemului informatic folosit de o entitate economic, precum i la datele ve"iculate n cadrul acestuia, tre uie fcut pe aza unor criterii care elimin, pe c't posi il, posi ilit!ile de fraud i producerea erorilor din lipsa cunotin!elor profesionale, din neaten!ie sau ne$li/en!* personalul de ntre!inere i e#ploatare tre uie ales cu $ri/, pentru a reduce posi ilitatea de distru$ere inten!ionat produs de un an$a/at nemul!umit. %rincipalele criterii de selec!ie a personalului care are le$tur cu sistemul informatic sunt) nivelul de pre$tire profesional dovedit prin) diplome de studii, pre$tire teoretic i ndem'nare practic, e#perien! do 'ndit n timp +vec"ime n domeniu,, calificative o !inute la locurile de munc anterioare etc.* moralitate i seriozitate demonstrate prin) cazier /udiciar, nscrisurile din documentele de an$a/are +frecven!a i motivele de sc"im are a locurilor de munc,, recomandri de la locurile de munc anterioare i.sau de la al!i specialiti n domeniu +profesori, cole$i, cunotin!e, etc.*

fidelitatea fa! de entitatea economic la care lucreaz. n opinia noastr2 selec!ia atent a personalului care se ocup cu prelucrarea i eviden!a datelor din cadrul unei entiti economice este foarte important n realizarea unui control intern eficient, indiferent de tipul sistemului de prelucrare i eviden! a datelor utilizat +manual, mecanic, semiautomat sau automat,. %lanul de or$anizare al unei entiti economice, cu sau fr departament de informatic, tre uie s includ un spor de fidelitate pentru an$a/a!ii si care lucreaz n domeniul informatic pentru a evita fraudele computerizate, $reu de depistat i foarte periculoase pentru evolu!ia entitii economice respective. Concluzie. 2ontroalele or$aniza!ionale /oac rolul-c"eie n asi$urarea unui control intern puternic n cadrul unui sistem informatic, n vederea prevenirii fraudelor, care au implica!ii ma/ore asupra evolu!iei oricrui tip de entitate economic. 9le sunt destul de eficiente n prevenirea fraudelor produse de un sin$ur an$a/at, dar nu pot preveni fraudele n complicitate, foarte dificil de depistat. (ac un an$a/at-c"eie al entitii economice conspir cu al!i an$a/a!i n vederea comiterii unei fraude, controalele or$aniza!ionale interne care se azeaz pe separarea sarcinilor i rotirea an$a/a!ilor pe func!ii devin inoperante. (ac nu sunt descoperite n timp util, fraudele n complicitate conduc la falimentul entitii economice respective.

Documenta3ia sistemului informatic 2ontrolul intern eficient ntr-un sistem informatic impune ntocmirea i ntre!inerea unei documenta!ii care tre uie s cuprind) - apro rile pentru realizarea sistemului informatic ini!ial i pentru toate modificrile ulterioare ale acestuia* - documenta!ia complet, care s descrie, n detaliu, sistemul informatic i procedurile folosite de acesta pentru prelucrarea i eviden!a datelor. (ocumenta!ia complet, ine ntocmit, a sistemului informatic creeaz condi!iile de asi$urare a unui control intern eficient, prin faptul c) pune instruc!iunile de operare la dispozi!ia tuturor utilizatorilor i operatorilor sistemului informatic, pentru eliminarea, pe c't posi il, a erorilor de operare* pune pro$ramele surs la dispozi!ia pro$ramatorilor, pentru a crea posi ilitatea de revizuire i adaptare ulterioar a sistemului informatic la nevoile de calcul i de control intern aleentitii economice respective* pune lo$ica de pro$ramare a sistemului informatic la dispozi!ia auditorilor, pentru a permite identificarea sc"im rilor efectuate n sistemul informatic respectiv i a controalelor prevzute prin pro$ram. (ocumenta!ia sistemului informatic tre uie s cuprind) descrierea complet i inteli$i il a sistemului de prelucrare a datelor, inclusiv a dia$ramelor de sistem* descrierea naturii intrrilor i ieirilor* descrierea opera!iilor efectuate asupra datelor* responsa ilit!ile pentru introducerea datelor, corectarea i reprocesarea datelor eronate, realizarea sarcinilor de control etc. $ocumentaia complet a unui sistem informatic este format din)

- )anualul de operare sau de utilizare, pentru uzul utilizatorului i operatorului, care con!ine instruc!iuni de) pre$tire date pentru prelucrare i introducere n sistem* confi$urare i folosire terminale i ec"ipamente periferice +monitoare, imprimante etc.,* ntre!inere pro$rame componente i date stocate +nre$istrate, n interiorul sistemului. - $ocumentaia pro!ramului, care con!ine o descriere complet a fiecrui pro$ram component al sistemului informatic respectiv i care tre uie s includ cel pu!in) prezentarea, n detaliu, a o iectivelor fiecrui pro$ram* dia$ramele lo$ice i paii importan!i, pentru fiecare pro$ram* lista i e#plica!ia controalelor asociate fiecrui pro$ram* descrierea modului de or$anizare i de ar"ivare a datelor* e#emple de ieiri, inclusiv liste de erori* listin$-uri de pro$ram, n lim a/-surs* manualul cu instruc!iunile de folosire, pentru fiecare pro$ram* datele folosite pentru testarea i depanarea fiecrui pro$ram. (ocumenta!ia complet a sistemului informatic este necesar analitilor de sistem, in$ineri de sistem i pro$ramatori analiti, pentru depanare sau realizarea unor modificri. 5peratorii calculatorului tre uie s ai acces numai la manualul de operare, care con!ine instruc!iunile pentru introducerea datelor n sistem i pentru prelucrarea acestora. (ac operatorii au acces la informa!ii de detaliu cu privire la soft0are-ul de aplica!ie utilizat, cresc pro a ilitatea i posi ilitatea ca acetia s efectueze sc"im ri neautorizate n pro$ramul respectiv, care stau la aza fraudelor computerizate, cele mai periculoase pentru o entitate economic. (ocumenta!ia complet a sistemului informatic utilizat de o entitate economic este util i auditorilor de sisteme informatice, pentru) determinarea lo$icii de prelucrare folosite de sistemul informatic auditat, n vederea identificrii eventualelor erori de prelucrare produse n interiorul lui* determinarea sc"im rilor +modificrilor, efectuate n sistemul informatic auditat, dup instalarea acestuia* identificarea controalelor inte$rate n sistemul informatic auditat. 4n plus, informa!iile cuprinse n documenta!ia unui sistem informatic a/ut auditorii n dezvoltarea de teste sau pro$rame $eneralizate de audit, necesare pentru testarea sistemelor de prelucrare automat a datelor utilizate de clien!ii lor. Concluzie. (ocumenta!ia sistemului informatic este indispensa il utilizrii, dezvoltrii i auditrii acestuia. )ontroale 4ard5are 9c"ipamentele di$itale, componentele "ard0are ale sistemelor moderne de prelucrare automat i de eviden! a datelor au, din construc!ie, o precizie foarte mare i o fia ilitate foarte un* prin urmare, toleran!a de calcul nu produce erori n rezultatele finale ale prelucrrilor efectuate, iar defec!iunile te"nice care determin alterri i.sau pierderi masive de date i pro$rame sunt pu!ine.

%entru evaluarea corect a fia ilit!ii ec"ipamentelor di$itale utilizate la implementarea unui sistem informatic, n vederea prevenirii pierderilor +de date i pro$rame, i reducerii erorilor +n rezultatele finale ale prelucrrilor, produse de posi ilele defec!iuni te"nice ale acestor ec"ipamente, economitii, inclusiv auditorii, tre uie s cunoasc controalele inte$rate de fa ricant n fiecare tip de ec"ipament, care sunt nt'lnite n literatura de specialitate su numele de controale "ard0are. 2ele mai nt'lnite controale hard are sunt) *coul) const ntr-un semnal pe care ec"ipamentul periferic l trimite +returneaz, ctre unitatea central de prelucrare, dac a recep!ionat corect datele transmise de aceasta* prin ecou se verific dac ec"ipamentul periferic se comport n conformitate cu instruc!iunile primite de la unitatea central de prelucrare. Autodia!noza) const n folosirea unor te"nici i proceduri "ard0are pentru testarea propriilor circuite* ma/oritatea ec"ipamentelor moderne, care fac parte din sistemele de prelucrare automat a datelor, con!in te"nici sau proceduri de autodia$noz* e#emplu) identificarea circuitelor de interfa! sau modulelor de memorie defecte, nainte ca sistemul s poat fi considerat valid, permi!'nd astfel utilizatorului s evite utilizarea unui sistem defect +%ost- %o0er 5n Self Test,. +erificarea prin duplicare) const n realizarea fiecrei opera!ii de dou ori i compararea rezultatelor* n procesul du lu de verificare, cunoscut su numele de citire dup scriere, calculatorul citete datele, dup transferarea lor n sistem, i le verific corectitudinea. +erificarea paritii) const n controlul sau verificarea parit!ii ntr-un sistem de calcul di$ital, modern, care prelucreaz datele n serii de i!i +cifrele inare 1 i 0,* controlul parit!ii se face prin compararea valorilor itului de paritate, calculate nainte i dup un transfer de date, pentru a verifica dac i!i de date s-au modificat pe durata transferului* itul de paritate, care con!ine suma tuturor i!ilor de 1+unu, pari sau impari, n func!ie de construc!ia fiecrui ec"ipament di$ital, este adu$at de fa ricant la i!ii de date folosi!i pentru reprezentarea numerelor sau caracterelor alfanumerice transferate ntre componentele unui sistem di$ital de calcul. Concluzie. 3si$urarea func!ionrii corespunztoare a "ard0are-ului unui sistem modern de prelucrare automat a datelor, n vederea evitrii pierderilor sau alterrii de date i pro$rame, determinate de apari!ia unor defec!iuni te"nice, impune nu numai folosirea controalelor "ard0are prevzute de fa ricantul ec"ipamentelor, ci i aplicarea unui mecanism de ntre!inere preventiv conceput de ctre entitatea economic care utilizeaz sistemul informatic respectiv. 3uditorii de sisteme informatice tre uie s cunoasc nu numai controalele "ard0are inte$rate de fa rican!i n ec"ipamente, ci i msurile de ntre!inere preventiv folosite, mpreun cu modul de aplicare a acestora. )ontroale de siguran3 :iecare sistem automat de prelucrare a datelor tre uie s dispun de controale pentru asi$urarea si$uran!ei) ec"ipamentelor componente +"ard0are,, pentru a nu fi deconfi$urate +accidental sau voit,, descompletate i.sau distruse*

pro$ramelor i fiierelor de date, pentru a nu fi pierdute, alterate, distruse sau accesate de personal neautorizat* aceste evenimente se pot produce accidental sau voit. %ro$ramele, componentele soft0are ale sistemelor informatice moderne pot produce erori n rezultatele finale ale prelucrrilor efectuate automat i n eviden!ele computerizate, deoarece pot fi distruse sau alterate cu uurin!, accidental sau voit, loc'nd accesul utilizatorilor la volumele mari de date stocate n sistem i, implicit, la informa!iile o !inute prin interpretarea rezultatelor prelucrrilor efectuate asupra acestora* de asemenea, permit foarte uor distru$erea, alterarea sau pierderea, accidental sau voit, a azelor de date stocate i $estionate de sistemul informatic, n condi!iile n care cel mai mare volum de munc rezid n crearea i ntre!inerea acestora. %rincipalele tipuri de controale de si$uran! utilizate pentru protec!ia unui sistem informatic sau a componentelor acestuia, "ard0are sau soft0are, sunt) ,ro!ramarea sistemului de operare al fiecrui calculator) s ntocmeasc un /urnal al utilizrii tuturor ec"ipamentelor periferice accesi ile +ultimele utilizri,* aceasta asi$ur identificarea momentului ultimei utilizri corecte i apari!iei primului incident n utilizarea fiecrui ec"ipament periferic n parte* s emit un semnal de aten!ionare, dac se fac tentative de acces repetat n sistem, prin folosirea unor parole incorecte, sau tentative de efectuare a unor opera!ii care pot distru$e datele sau pot $enera anomalii n func!ionarea sistemului respectiv. 3ccesul utilizatorilor n sistemul informatic pe baz pe nivele de acces i parol individual secret permite numai personalului autorizat s utilizeze pro$ramele componente i datele stocate n sistem. #rearea funciei de administrator al bazei de date, pentru prote/area acesteia la accesul neautorizat, de ctre or$anismele economice care utilizeaz sisteme informatice tip az de date. 3dministratorul unei aze de date are sarcina principal de administrare a accesului la aza de date, deoarece, din punctul de vedere al controlului intern ntr-un astfel de sistem, este foarte important ca aza de date s fie prote/at mpotriva accesului neautorizat. ,ro!ramarea fiecrei componente a soft are-ului de aplicaie utilizat de sistemul informatic) s emit un semnal de aten!ionare, dac se fac tentative repetate de acces +prin folosirea unor parole incorecte,, dac se ncearc efectuarea unor opera!ii care pot distru$e datele sau pot $enera anomalii n func!ionarea sistemului respectiv* s ntocmeasc o list a celor mai recen!i utilizatori) nume, parol, data i ora accesului* aceasta permite identificarea momentelor c'nd s-au produs incidente i a utilizatorilor care, prin modul de operare, determin anomalii n func!ionarea sistemului informatic, pierderi sau alterri de pro$rame sau date, cu scopul de a afla informa!ii le$ate de incidentele respective, n vederea sta ilirii posi ilit!ilor de refacere a sistemului, i de se ridica dreptul de acces tuturor celor care nu-l e#ploateaz corect* s ntocmeasc o list cu ultimele opera!ii efectuate de fiecare utilizator* prin consultarea acestei liste se identific opera!ia sau secven!a de opera!ii

care produce anomalii n func!ionarea sistemului informatic, pierderi sau alterri de pro$rame i.sau date, n vederea efecturii corec!iilor care se impun. #rearea unor copii de si!uran pentru toate componentele soft are utilizate de sistemul informatic +fiiere de date i pro$rame etc.,, lucru care permite refacerea acestora, dac sunt pierdute sau alterate. (in motive de securitate, copiile de si$uran! se depoziteaz n loca!ii separate de ori$inal. )suri de protecie la accidente sau sabotaj +foc, ap, distru$ere etc.,, care previn distru$erea accidental sau deli erat a sistemului informatic, n ntre$ul su, care constau, de re$ul, n) limitarea accesului, n aria de desfurare a activit!ii, numai pentru personalul autorizat* intrrile n loca!iile destinate sistemului informatic tre uie s fie controlate de a$en!i de paz sau activate pe az de cartel de acces* construirea loca!iilor destinate sistemului informatic +camera calculatorului, din materiale rezistente la foc, deasupra nivelului pro a il de inunda!ie i dotarea acestora cu aer condi!ionat, pentru a evita apari!ia defectelor te"nice i a preveni deteriorarea supor!ilor ma$netici de stocare a datelor i pro$ramelor + enzi sau discuri ma$netice, prin asi$urarea unei temperaturi i umidit!i corespunztoare n spa!iul lor de func!ionare. Concluzie. :r implementarea msurilor de si$uran! adecvate +controale de si$uran!, nu este posi il asi$urarea unui control intern eficient ntr-un sistem informatic, deoarece acestea prote/eaz la distru$ere, alterare sau acces neautorizat at't sistemul, n ansam lul su, c't i componentele acestuia. )ontrolul intrrilor 2ontrolul intrrilor const n te"nici de verificare a datelor primite pentru prelucrare, la introducerea acestora n sistemul informatic. 3ceste te"nici, numite controale de intrare, permit introducerea n sistemul informatic numai a datelor care sunt autorizate, corecte i complete din punctul de vedere al eviden!ei i controlului activit!ilor desfurate n cadrul entitii economice sau compartimentului specializat al acestuia pentru care s-a proiectat sistemul respectiv. Autorizarea introducerii datelor n sistemul informatic prin implementarea unor controale de acces specifice care dau dreptul de autorizare numai) - personalului departamentului la care s-a ntocmit documentul de eviden! i control +suport material sau, pe care sunt nre$istrate datele ini!ial* - personalului cu nivelul de acces corespunztor, pentru sistemele on-line n care datele se introduc direct, de la terminale aflate n loca!ii diferite, la distan! de sistemul de calcul n care sunt stocate i.sau prelucrate* +alidarea intrrilor const n aplicarea unor te"nici de verificare a corectitudinii i completitudinii datelor, pe msura introducerii lor n sistemul informatic* aceste te"nici, controale de validitate, pot fi de urmtoarele tipuri) test de limit) verific corectitudinea datelor prin verificarea ncadrrii acestora ntre limitele +inferioar i.sau superioar, presta ilite pentru fiecare tip de date, pe aza re$ulilor de $estiune proprii or$anismului economic sau le$isla!iei n vi$oare*

test de validitate) verific autenticitatea datelor care se introduc n sistem, prin compararea lor cu valorile predefinite pentru tipul respectiv de date, memorate ntrun ta el numit ta el master* numr de autocontrol) verific precizia unui numr la introducerea n sistem sau dup ce a fost transmis de la un terminal la altul, prin memorarea unei informa!ii redundante* mecanism de testare du l) verific corectitudinea unei date prin introducerea acesteia n sistem de dou ori, n mod independent. ;alidarea intrrilor, prin aplicarea unor te"nici de verificare asupra datelor, la introducerea lor n sistem, asi$ur) corectitudinea datelor) sunt acceptate numai datele corecte, care trec testele de verificare, fiind re/ectate toate cele care nu ndeplinesc condi!iile impuse de testele de verificare respective* completitudinea datelor) sunt identificate datele care lipsesc i sunt solicitate, p'n c'nd sunt introduse, ntruc't a sen!a lor nu permite o !inerea rezultatelor sau eviden!elor corecte pe care tre uie s le ofere sistemul informatic utilizatorilor si n vederea fundamentrii deciziilor sau pentru informare. Concluzie. 4ntruc't ma/oritatea erorilor identificate n rezultatele finale ale prelucrrilor sau eviden!elor efectuate de sistemele informatice provin din introducerea eronat a datelor, nu se poate asi$ura un control intern puternic n cadrul unui asemenea sistem fr implementarea unor controalele de intrare eficiente. )ontrolul procesrii 2ontrolul procesrii, care asi$ur fia ilitatea i precizia prelucrrilor efectuate asupra datelor introduse n sistemul informatic, const n folosirea urmtoarelor tipuri de controale) #ontroale de pro!ram, inte$rate n pro$ramul de aplica!ie, care pot fi) controale de intrare, implementate su form de controale de procesare) teste de limite, teste de validitate, numere de autocontrol, numr de nre$istrri, totaluri etc.* etic"ete e#terne) identific n mod unic fiierele de date folosite n fiecare tip de prelucrri, pentru a preveni $reelile de utilizare a acestora* etic"ete interne care, mpreun cu etic"ete e#terne, previn $reelile de utilizare a fiierelor de date n prelucrri. -urnale de activitate sau de prelucrare, care se pun la dispozi!ia personalului autorizat sau $rupului de control din cadrul or$anismului economic sau (epartamentului de informatic constituit n cadrul acestuia, dac e#ist, pentru analiza activit!ilor desfurate de sistemul de prelucrare automat a datelor, i care descriu) activitatea fiecrui operator) secven!a de opera!iuni efectuate* fiecare e#ecu!ie a pro$ramului +rulare,. .iste de erori, care se tipresc n cazuri e#cep!ionale, c'nd sistemul detecteaz erori $rave i oprete sau nu prelucrarea. &istele de erori se transmit direct $rupului de control al entitii economice care utilizeaz sistemul informatic respectiv, pentru investi$a!ii i remedierea anomaliilor de func!ionare identificate. (up efectuarea

corec!iilor, $rupul de control verific corectitudinea prelucrrilor i eliminarea erorilor raportate de sistem. Concluzie. %entru asi$urarea unui control intern puternic i eficient, controalele de pro$ram pun la dispozi!ia $rupului de control al entitii economice, a utilizatorilor i.sau auditorilor unui sistem informatic, mecanisme de verificare a prelucrrilor efectuate n interiorul acestuia, compens'nd faptul c nu d acces direct celor interesa!i la prelucrrile respective pentru a le verifica corectitudinea i.sau completitudinea. 4n plus, se impune, ca msur de control, monitorizarea activit!ii operatorilor, cu scopul de a-i identifica pe cei care fac $reeli i a le ridica dreptul de acces n sistemul informatic. )ontrolul ie6irilor 2ontrolul ieirilor const n msuri i te"nici de verificare a corectitudinii rezultatelor oferite de sistemul de prelucrare automat a datelor utilizatorilor si. 3cestea pot fi) #ontroale ale utilizatorului, care constau n) compararea rezultatelor sistemului, prezentate su form de liste, rapoarte, situa!ii etc. cu cerin!ele definite de utilizator* analize i teste efectuate de utilizatori specializa!i. #ontroale de pro!ram, care analizeaz i testeaz automat corectitudinea ieirilor sistemului informatic n raport cu cerin!ele definite de utilizatori. Sunt mai eficiente dec't controalele utilizatorului, pentru c, fiind inte$rate n sistem, verificrile pe care le efectueaz se fac automat. #ontroale ale !rupului de control al sistemului informatic, care constau n msuri de verificare a ieirilor de ctre personalul autorizat al entitii economice, cu sau fr departament specializat de informatic, care urmresc) distri u!ia rezultatelor prelucrrilor sau eviden!elor efectuate, prin sistemele de calcul componente ale sistemului informatic, numai ctre utilizatorii autoriza!i* analiza erorilor raportate de sistem, identificarea cauzelor de apari!ie a lor i verificarea eliminrii acestora din sistemul automat de prelucrare i eviden! respectiv. Concluzie. Scopul controlului intern ntr-un sistem informatic l constituie verificarea corectitudinii rezultatelor prelucrrilor realizate n interiorul su i distri uirea acestora, manual sau prin intermediul sistemului de prelucrare automat a datelor folosit, numai ctre utilizatorii autoriza!i. %rin urmare, nu se poate vor i de control intern ntr-un sistem informatic fr controale de ieire, folosite de $rupul de control al entitii economice, de utilizatori i.sau de auditori pentru a verifica dac sistemul informatic utilizat respect cerin!ele utilizatorilor pentru care a fost proiectat i implementat. n opinia noastr2 un control intern puternic 6i eficient impune utili0area tuturor msurilor2 te4nicilor 6i mecanismelor2 denumite generic controale de audit2 controale interne sau2 mai simplu2 controale2 care servesc scopului urmrit 6i permit entitilor economice s utili0e0e 1n desf6urarea activit3ilor lor economice2 6tiin3ifice2 organi0atorice etc. sistemele informatice2 beneficiind astfel de avanta7ele

ma7ore oferite de acestea8 puterea de calcul2 de stocare (memorare)2 de eviden3 6i de pre0entare grafic. /$(,(9A+%A #(#$%M%,&+ (!$%*+A$% D% $%#$A+% ! A/D($A+%A #(#$%M%,&+ (!.&+MA$()% 3uditorii pot folosi pentru testarea i monitorizarea controalelor interne implementate ntr-un sistem informatic aa-numitul sistem inte$rat de testare, care const n inte$rarea unui set de fiiere de test, pro$rame i date de test n sistemul informatic respectiv. 3ceste fiiere de test permit ca datele de test pe care le con!in s fie prelucrate simultan cu datele reale, fr ca datele reale respective i rezultatul prelucrrii lor s fie afectate. (atele de test, care cuprind toat $ama ima$ina il de date posi il a fi introduse n sistemul informatic respectiv, afecteaz numai fiierele de test i rezultatele prelucrrilor acestora. Sistemul inte$rat de testare poate fi implementat n toate tipurile de sisteme informatice, inclusiv n sistemele informatice on-line, n timp real. Sistemul inte$rat de testare poate fi folosit de auditori i pentru monitorizarea prelucrrilor datelor de test n vederea studierii efectelor produse de prelucrrile efectuate asupra fiierelor de test, listelor de erori i ieirilor sistemului informatic. 9i comunic concluziile personalului autorizat sau $rupului de control care efectueaz controlul zilnic. :olosirea sistemelor inte$rate de testare prezint riscul de manipulare eronat a datelor reale, prin transferarea lor n sau din fiierele fictive. %entru eliminarea acestui dezavanta/, auditorii tre uie s monitorizeze toate activit!ile n fiierele fictive utilizate i s impun msuri ri$uroase de prevenire a accesului neautorizat la aceste fiiere. (e asemenea, proiectarea unui astfel de sistem tre uie fcut cu aten!ie, pentru a elimina riscul ca fiierele reale s fie contaminate nt'mpltor cu date din fiierele fictive de test. )&!#(D%+A:((,% A/D($&+(,&+ )/ +(V(+% ,A )&!$+&,/, (!$%+! !$+-/! #(#$%M (!.&+MA$() 7ndiferent de tipul sistemului de eviden! +$estiune, a activit!ilor economice i de prelucrare a datelor folosit de entitile economice, auditorii tre uie s efectueze un control intern, pentru realizarea cruia este necesar) s evalueze corect riscul de control +posi ilitatea de e#isten! a unor erori care nu pot fi detectate,* s determine natura activit!ilor desfurate de entitatea economic auditat* s sta ileasc tipul i amploarea activit!ilor de audit necesare* s aprecieze timpul necesar pentru completarea auditului. %e aza celor sta ilite n vederea completrii auditului, auditorii pot face entitii economice recomandri pentru m unt!irea structurii de control intern. 7ndiferent de tipul sistemului informatic folosit de o entitate economic, recomandrile pe care le fac auditorii cu privire la controlul intern se mpart n patru cate$orii, corespunztoare urmtoarelor patru tipuri de activit!i)

planificarea auditului* pentru aceasta. auditorii tre uie s n!elea$ suficient de ine rolul controlului intern, modalit!ile de realizare a acestuia i te"nicile de inte$rare a controalelor n sistemul de $estiune i prelucrare a datelor folosit de o entitate economic* evaluarea riscului de control i proiectarea testelor adi!ionale pentru procedurile de control ale sistemului informatic* realizarea testelor adi!ionale pentru procedurile de control ale sistemului informatic* reevaluarea riscului de control al sistemului informatic i modificarea corespunztoare a testelor de evaluare. lanificarea auditului 6i proiectarea controalelor (testelor) de audit %lanificarea auditului pentru o entitate economic i necesitatea proiectrii de teste de audit eficiente solicit auditorilor s ai cunotin!ele de specialitate necesare n!ele$erii structurii unui control intern, indiferent de tipul sistemului informatic utilizat i de comple#itatea acestuia. %entru planificarea auditului i proiectarea de teste de audit eficiente, auditorii tre uie s ai cunotin!e despre) procedurile i te"nicile de audit disponi ile* proiectarea i realizarea controalelor interne* tre uie s tie ce se urmrete prin auditul intern i cum se poate realiza un audit complet* sistemele de $estiune i prelucrare a datelor utilizate de entitile economice* tre uie s cunoasc particularit!ile fiecruia, din punct de vedere al auditului* te"nicile de inte$rare a controalelor interne n sistemele de $estiune i prelucrare a datelor disponi ile* natura activit!ilor desfurate de entitile economice) caracteristicile i particularit!ile acestora, din punctul de vedere al auditului* le$isla!ia n vi$oare. 9volu!ia te"nolo$ic a microcalculatoarelor de tip %2, din ce n ce mai performante i mai ieftine, a condus la apari!ia i dezvoltarea continu a aplica!iilor soft0are i, implicit, la utilizarea, pe scar lar$, a sistemelor informatice azate pe mediu %2. %ractic, sistemele de $estiune i prelucrare a datelor clasice +manual sau mecanic, sunt pe cale de dispari!ie, fiind nlocuite de sisteme informatice. 4n aceste condi!ii, auditorii tre uie s ai cunotin!e suplimentare de informatic, minimul necesar care s le permit s i desfoare activitatea de control. %entru a sta ili natura, durata i amploarea activit!ilor de audit, auditorul tre uie s ai suficiente cunotin!e informatice pentru a face analiza procedurilor de prelucrare utilizate i a rezultatelor acestora. 3uditarea sistemelor informatice simple, care prelucreaz datele folosind al$oritmi de calcul uor de aplicat, nu impune testarea acestor sisteme folosind proceduri de test implementate pe calculator. 4n acest caz, auditorii compar rezultatul prelucrrilor datelor de test, o !inut manual, cu cel o !inut folosind sistemul informatic auditat i analizeaz diferen!ele. 3uditarea sistemelor informatice comple#e impune ns folosirea procedurilor de audit implementate pe calculator i proiectarea unor teste suplimentare pentru controlul acestor proceduri.

(ocumenta!ia ntocmit de auditor, aa-numitul raport de audit, variaz n func!ie de comple#itatea sistemului informatic auditat. %entru un sistem cu structur simpl de control intern, poate fi suficient o descriere. (e re$ul, ns, raportul de audit tre uie s con!in) $ia!ramele (istemului /nformatic, care descriu activit!ile desfurate de sistemul informatic utilizat de or$anismul economic auditat i care pot fi) dia!rame de sistem) sunt folosite, n mod curent, n procesul de audit, ca te"nic de descriere a controlului intern* prezint avanta/ul c fac parte din documenta!ia standard a sistemului informatic, prin urmare nu mai tre uie ntocmite de auditor* dia!rame de pro!ram) prezint, n detaliu, lo$ica unui anumit pro$ram folosit de sistemul informatic* auditorii care pot interpreta dia$ramele de pro$ram pot n!ele$e i interpreta controalele con!inute ntr-o anumit aplica!ie soft0are, folosit de Sistemul 7nformatic auditat. #hestionare, special proiectate, pentru a fi folosite n procesul de control al sistemului informatic. Concluzie. %roiectarea, realizarea i utilizarea te"nicilor de audit asistate de calculator impun auditorilor, pe l'n$ cunotin!e temeinice din domeniul economic, cunotin!e suplimentare din domeniul informatic i din domeniul de activitate al entitilor economice de auditat. %valuarea riscului de control planificat 6i proiectarea de teste adi3ionale pentru controlul (testarea) procedurilor de audit 8iscul de control al unui sistem informatic reprezint posi ilitatea de e#isten! a unei erori care nu poate fi prevenit sau detectat n timp util de ctre controlul intern al sistemului respectiv. %entru a determina nivelul riscului de control planificat al sistemului informatic auditat, auditorii tre uie s cunoasc i s n!elea$) mediul de control specific or$anismului economic care utilizeaz sistemul informatic auditat* sc"im urile de date din cadrul entitii economice care utilizeaz sistemul informatic auditat* procedurile de control intern implementate n sistemul informatic auditat. (ac, pentru sistemul informatic auditat, nivelul riscului de control planificat a fost evaluat ca fiind) mare, atunci este admis posi ilitatea apari!iei unor erori nedetecta ile de controlul intern implementat n sistemul respectiv* n aceste condi!ii, nu sunt necesare teste adi!ionale pentru verificarea procedurilor de audit utilizate* sczut, atunci nu este admis posi ilitatea apari!iei unor erori nedetecta ile de controlul intern implementat n sistemul respectiv* n aceste condi!ii, sunt necesare teste adi!ionale pentru verificarea procedurilor de audit utilizate. n opinia noastr, n evaluarea riscului de control planificat pentru un sistem informatic, se !ine cont de cerin!ele utilizatorului cu privire la precizia rezultatelor

solicitate sistemului respectiv i de specificul domeniului de activitate $estionat cu a/utorul acestui sistem* dac cerin!ele de precizie impuse sistemului informatic nu admit posi ilitatea apari!iei unor erori nedetecta ile de controlul intern proiectat i implementat n interiorul acestuia, se impun proiectarea i implementarea unor controale de audit suplimentare pentru testarea +verificarea, controalelor de audit folosite. +eali0area controalelor adi3ionale pentru controalele de audit ale sistemelor informatice %entru testarea controalelor de audit inte$rate ntr-un sistem informatic se folosesc proceduri de control cunoscute su denumirea de controale adi!ionale de audit, care verific dac controalele de audit descrise n documenta!ia de audit sunt implementate i func!ioneaz aa cum a fost prevzut n analiza de sistem. 3uditorii tre uie s efectueze verificarea tuturor controalelor de audit pe care inten!ioneaz s le ia n considera!ie n evaluarea riscului de control aferent sistemului informatic auditat, indiferent de natura acestuia. Tre uie ns precizat c unele controale adi!ionale de audit, folosite de auditori pentru testarea controalelor de audit inte$rate ntr-un sistem informatic, depind de natura sistemului informatic auditat. ,roceduri de testare a controalelor !enerale. Testarea controalelor interne ale unui sistem informatic ncepe cu testarea controalelor $enerale, deoarece eficacitatea unui control specific al unui sistem informatic este adesea dependent de e#isten!a unui control $eneral, efectiv al tuturor activit!ilor sistemului informatic auditat. Spre e#emplu, verificarea pro$ramelor de testare a procedurilor de control, ntr-un mediu n care pro$ramatorii pot efectua cu uurin! sc"im ri neautorizate n pro$rame, este ineficient n a sen!a unui control asupra modificrilor pro$ramelor, deoarece auditorii nu au nici o dovad c pro$ramul testat este identic cu cel folosit de-a lun$ul timpului. 4n astfel de situa!ii, auditorii nu pot conta pe controalele aplica!iei n vederea evalurii riscului de control. (e o icei, auditorii testeaz controalele $enerale ale sistemului informatic auditat prin analiza documenta!iei de sistem i urmrirea ndeplinirii sarcinilor de ntocmire a acestei documenta!ii de ctre personalul entitii economice respective) o !inerea autoriza!iilor de revizuire a sistemului informatic auditat* ntocmirea documenta!iilor specifice sistemului informatic auditat* o !inerea apro rilor pentru realizarea sau ac"izi!ionarea de pro$rame noi* o !inerea apro rilor pentru modificarea pro$ramelor e#istente* completarea /urnalului cu defec!iuni sau anomalii de func!ionare a ec"ipamentelor folosite* urmrirea msurilor de si$uran! implementate etc. %rin natura lui, un control $eneral tre uie mai de$ra respectat, dec't determinat prin analiza documenta!iei sistemului informatic auditat. ,roceduri de testare a controalelor de aplicaii. %rocedurile folosite de auditori pentru testarea controalelor de aplica!ie variaz semnificativ de la un tip de sistem

informatic la altul i de la un tip de aplica!ie component a sistemului informatic la alta. ,rocedurile de testare a controalelor de intrare depind de tipul sistemului informatic auditat. 0ehnicile de audit folosite pentru testarea controalelor prelucrrilor pot fi manuale sau asistate de calculator. %entru testarea controalelor prelucrrilor, auditorii) e#amineaz procedurile de testare a sistemului informatic auditat, efectuate de ctre $rupul de control al or$anismului economic care l utilizeaz* analizeaz rezultatele testrilor controalelor prelucrrilor sistemului informatic auditat, realizate de auditorii or$anismului economic care l utilizeaz* e#amineaz rapoartele de erori i /urnalele de activit!i $enerate de calculator* deoarece ele ilustreaz violrile controalelor de pro$ram care apar n timpul prelucrrilor, oferind astfel dovezi ale func!ionrii, corecte sau eronate, a acestora* analizeaz i testeaz te"nicile, manuale sau asistate de calculator, folosite pentru e#plicitarea i e#plicarea incidentelor aprute n timpul prelucrrilor i nre$istrate n rapoartele de erori, deoarece efectivitatea controalelor de pro$ram depinde de acest lucru. ,entru testarea controalelor de pro!ram, auditorii folosesc, de re$ul, te"nici de audit asistate de calculator. %rincipalele te"nici de audit asistate de calculator folosite pentru testarea controalelor adi!ionale de audit sunt) (eturi de date de test1 pot fi sta ilite de auditori sau de pro$ramatorii entitii economice care utilizeaz sistemul informatic de auditat* tre uie s includ toate erorile semnificative care afecteaz evaluarea, de ctre auditor, a riscului de control planificat pentru sistemul informatic de auditat* $uplicate ale pro!ramelor sistemului informatic, cunoscute sub denumirea de pro!rame controlate, aflate su controlul auditorilor* sunt folosite de acetia pentru a monitoriza prelucrarea datelor curente, prin compararea ieirilor acestor pro$rame cu ieirile pro$ramelor ori$inale sau pentru reprocesarea datelor ini!iale, folosind varianta proprie de pro$ram, cu scopul de a compara rezultatul curent cu cel ini!ial sau de a descoperi sc"im rile din pro$ramul entitii economice netrecute n documenta!ie* pro$ramele controlate ofer auditorilor posi ilitatea de a testa pro$ramele entitii economice cu date reale i de test, fr riscul alterrii fiierelor acestuia i n loca!ii diferite de spa!iile de e#ploatare, fr utilizarea calculatoarelor sau personalului entitii economice respective. ,ro!rame de analiz, special ela orate, pentru a $enera, folosind calculatorul, dia$rame de analiz cu a/utorul crora se testeaz lo$ica pro$ramelor componente ale sistemului informatic auditat i a controalelor acestora sau se verific dac documenta!ia sistemului respectiv descrie pro$ramele i controalele pro$ramelor folosite de fapt. )arcaje %identificatori& de urmrire a schimburilor de date, introduse n sistemul informatic, o dat cu datele pentru urmrirea pailor de prelucrare a sc"im urilor de date marcate i ntocmirea listelor care con!in descrierea, n detaliu,

a pailor de prelucrare respectivi, cu scopul de a depista eventualele ac!iuni neautorizate n pro$ramele i controalele pro$ramelor sistemului informatic auditat. ,ro!rame de audit !eneralizat +aplica!ii soft0are pentru audit $eneralizat,, care pot fi folosite de entitile economice specializate n auditarea sistemelor informatice comple#e, pentru testarea fia ilit!ii pro$ramelor i controalelor pro$ramelor componente unei $ame lar$i de sisteme informatice sau pentru realizarea unor func!ii specifice de audit. +eevaluarea riscului de control 6i utili0area testelor independente %entru a sta ili n ce msur se pot aza pe controlul intern al sistemului informatic n reducerea posi ilit!ilor de apari!ie a erorilor de func!ionare a acestuia, auditorii tre uie s reevalueze riscul de control, pe domenii de activitate, i, pe aza acestuia, s determine natura, locul, momentul de timp i amploarea testelor de control independente de sistemul informatic auditat, necesare n aprecierea corectitudinii rezultatelor oferite de sistemul respectiv utilizatorilor si. (in punct de vedere conceptual, evaluarea controlului intern al activit!ilor unui sistem informatic nu este diferit de evaluarea altor aspecte ale sistemului. (e o icei, sunt necesare mai pu!ine proceduri de testare independente de sistemul informatic auditat, n acele domenii n care se admite un risc de control mare, i mai multe acolo unde se admite un risc de control redus. %entru evaluarea corect a controlului intern al activit!ilor desfurate de un sistem informatic, tre uie luate n considerare controalele folosite de utilizatori, de auditorii interni i de specialitii n informatic. CONCLUZIE. $ei apariia calculatoarelor i a aplicaiilor soft are specializate a creat unele probleme de adaptare pentru economiti, ea le-a lr!it orizontul de cunoatere i a extins !ama i valoarea serviciilor pe care acetia le pot oferi. 2n timp, calculatorul a devenit o unealt folosit pentru realizarea sarcinilor de rutin, cu vitez i precizie fr precedent. *l face posibil accesul la un volum de date care, n trecut, nu era accesibil din cauza limitrilor de timp i pre de cost. $ac entitatea economic auditat i ine evidenele folosind un sistem informatic complex i sofisticat, auditorii pot utiliza calculatorul i pro!rame specializate n procesul de audit.

'(',(&*+A.(% #%,%)$(V" 1. Boulecu 1ircea, (oina :usaru, <enovic ="erasim- Auditul (istemelor /nformatice 3inanciar- #ontabile, 9ditura Tri una 9conomic, 200>, Bucureti. 2. ?tefan %opa, 2laudia 7onescu- Audit n medii informatizate, 9ditura 9#pert, 200>, Bucureti. 3. 3li 9den, ;ictoria Stnciu- 3uditul Sistemelor informatice, 9ditura (ual Tec", 200@, Bucureti. @. 1unteanu 3.- Auditul sistemelor informaionale contabile , 9ditura %olirom, 2001, 7ai. >. 5. 8aA B"ittin$ton, Curt %anA, Balter B. 1ei$s, 8o ert :. 1ei$s- ,rinciples of Auditin!. 0enth *dition, 78B7D Boston. E. FacG F. 2"amplain- Auditin! /nformation (4stems, (econd *dition, Fo"n BileA H Sons 7nc., 2003, -S3. I. ;ictor 1unteanu- #ontrol i Audit 3inanciar #ontabil, 9ditura &-17D3&9J, 2003, Bucureti.