TEMA 6.

SECURITATEA I CONTROLUL SISTEMELOR

INFORMATICE DE CONTABILITATE
CONINUT
6.1. Securitatea i valoarea informaiei
6.2. Sursele de riscuri
6.3. Auditul sistemelor informatice de contabilitate
REZUMAT
Sistemele informatice de contabilitate funcioneaz ntr-un mediu n
care conine surse de riscuri care trebuie studiate cu atenie pentru a se lua
msurile de siguran i control care se impun astfel nct funcionarea
sistemului s se realizeze corect.
OBIECTIVE
Tema propus are ca scop asimilarea unor cunotine referitoare la:
- problemele legate de securitatea;
- riscurile asociate mediului sistemului informatic de
contabilitate;
- auditul sistemului informatic de contabilitate.
6.1 SECURITATEA I VALOAREA INFORMAIEI
Valoarea unui produs software de contabilitate se poate exprima din
dou puncte de vedere:
al clientului ca suma maxim de bani pe care un client este dispus
s o plteasc n schimbul produsului informatic, lund n
considerare caracteristicile sale calitative, conjunctura relaiei
cerere-ofert i preurile produselor similare ale concurenilor;
al productorului ca suma minim a costurilor de producie.
Ca urmare putem spune c valoarea unui sistem informatic de
contabilitate este o caracteristic greu de cuantificat. A da valoare contabil
unui ntreg sistem informatic este o problem dificil chiar i pentru
contabili. Dei bunurile intangibile sunt incluse n balanele contabile, nu
exist metode exacte de a le da o valoare bunurilor bazate pe tehnologie
att
din motive subiective, intangibile, ct i obiective, cum ar fi:
valoarea nu se suprapune exact peste preul de achiziiei sau
costurile de dezvoltare ale unui sistem informatic;
percepia valorii unui aceluiai sistem informatic depinde i difer
de la un utilizator la altul;
valoarea depinde foarte des de criterii cum ar fi: rapiditatea cu
care este obinut, oportunitate i relevana ei;
informaiile interne ale unei uniti economice nu se pot testa pe
pia. Stabilirea unei valori a ntregului sistem informaional devine o
preocupare atunci cnd trebuie nlocuit sau extins. n practic, de obicei, nu
se face nici o analiz imediat dup implementarea sistemului nou, pentru a
se verifica mbuntirile aduse de ctre acesta la nivelul valorii informaiei.
Exist multe activiti pentru care securitatea i controlul sunt foarte
importante1, de exemplu:
serviciile bazate pe rspunsul imediat ctre consumator (de
exemplu, dac un client al unei bnci face o tranzacie folosind un
terminal sau Internetul, va dori s vad instantaneu modificrile
din cont chiar dac tranzacia se face de fapt a doua zi);

 utilizarea unei baze de date centralizat (cum ar fi urmrirea

traseului unui colet potal la nivel naional);
utilizarea sistemelor informatice n procese care pot afecta
sigurana i sntatea populaiei (de exemplu monitorizarea din
centralele nucleare);
lucrul ntr-un domeniu n care rspunsul trebuie dat n timp real
(de exemplu, monitorizarea bursei de ctre broker-i);
monitorizarea i controlul traficului (n aeroporturi, pe strzi etc.).
Afacerile se desfoar n condiii de risc, dar aceasta nu nseamn
c sunt binevenite alte riscurile noi. Tehnologia informaiei, implicat n
cam toate ariile unei afaceri, i-a demonstrat n timp fragilitatea: a introdus
incertitudini noi i riscuri noi, s-a dovedit a fi sensibil la erori, incidente,
fraude i alte tipuri de atacuri cu impact negativ nu numai asupra activitii
unei uniti economice dar i, de multe ori, asupra succesului n afaceri a
acesteia. i totui, chiar i n aceste condiii de nesiguran, afacerile au
devenit tot mai dependente de tehnologia informaiei.
Securitatea calculatoarelor a fost gndit iniial pentru pstrarea
informaiilor secrete din domeniul militar. n lumea afacerilor securitatea
calculatoarelor a ptruns ulterior, dup ce afaceritii au ajuns la concluzia c
nu doreau ca, nici ntmpltor nici cu intenie, propriile sisteme s fie
deschise spre exterior i nici ca datele s fie distruse sau alterate din
interior.
Modelul de securitate militar (vezi figura 6.1) este unul construit pe
patru nivele i rspunde unor exigene mari de securitate. Pornind de la
acest
model, ntr-un sistem informaional mai puin rigid se pot implementa
diverse alte modele pe mai multe nivele, cu diverse grade de securitate, n
funcie de natura, dimensiunea i rigoarea stabilit de ctre conducere.
n mediul economic este foarte important ca modificarea datelor s
nu se fac n mod neautorizat i nici ca datele s ajung la persoanele i/sau
companiile nepotrivite1 (de exemplu, la posibilii concureni). Urmrirea
securitii sistemului informatic de contabilitate (a posibilelor fraude, a
integritii i acurateei datelor) se poate face n dou moduri:
- prin jurnalul operaiunilor: fiecare operaie se salveaz ntr-un jurnal
al operaiilor care nu permite dect adugarea unor date de genul:
utilizator, data calendaristic, ora, operaia i toate datele despre
operaia efectuat (de exemplu: suma, nume i numr al actului,
beneficiar). Acest jurnal se poate folosi n situaii diverse cum ar fi
pierderea complet sau parial a datelor. Jurnalul poate fi util i
pentru nivelul de conducere care poate obine informaii nonfinanciare
cum ar fi: urmrirea exact a activitii fiecrui contabil,
calcularea timpii alocai operaiilor etc.;
- prin separarea sarcinilor: sarcinile se distribuie distinct contabililor
care se specializeaz n lucrul cu anumite operaii, cum ar fi
ncasrile.
Obiectivele securitii i controlului sistemelor informatice
enumerate de Andrew Hawker2 sunt: protejarea secretelor, acurateea
datelor, prevenirea falsificrii, pstrarea dovezilor despre operator,
respingerea atacurilor, pstrarea cronologic a accesrii autentificate,
asigurarea supravieuirii datelor, maximizarea posibilitilor de audit.

Se presupune c toate unitile economice urmresc s aib

ndeplinite obiectivele securitii i controlului. Trebuie fcut observaia c
Neclasificat

75

atingerea acestor obiective este foarte important pentru organizaiile care

manipuleaz date cu caracter personal, date care trebuie s rmn
confideniale pentru mediul extern al organizaiei.
Figura 6.2 Autorizarea accesului ntr-un sistem informatic
Sursa: [HAW00], pagina 6

Implementarea unui model de securitate n cadrul unui sistem

informatic de contabilitate presupune identificarea locului/locurilor n care
controalele se pot aplica n mod automat sau parial automat. Aceasta
implic stabilirea unor granie virtuale n jurul unor componente i activiti
ale sistemului informatic. Ideal este ca toate sistemele informatice ale unei
uniti economice s se gseasc n interiorul acestor granie. n practic sar
putea s existe i n afara granielor aa c se impune verificarea acestora
atunci cnd se face accesarea zonelor cu control intern automat (vezi figura
6.2). Ca urmare a verificrii se poate obine autorizaia de acces n sistemul
informatic de contabilitate.
n interiorul sistemului se vor aplica procedee de control n funcie
de modul de urmrire a securitii (prin jurnal sau prin separarea sarcinilor).
Delimitarea prezentat n figura 6.2 asigur faptul c se poate determina de
unde provine o ameninare, adic din interiorul sau exteriorul organizaiei.
Importana controlului i protejrii informaiei pornete din faptul c
informaia are valoare. ntr-un mediu concurenial, dac informaia este de
importan mare pentru rivali, informaia devine una care trebuie protejat i
i se va aplica un nivel de securitate nalt. Dac informaia este de valoare
mic, cum ar fi copia unei chitane eliberat pentru o persoan fizic, i se va
aplica un nivel de securitate sczut.
6.2 SURSE DE RISCURI
Toate unitile economice trebuie s fac evaluarea complet a
riscurilor i s implementeze controale interne adecvate pentru a putea
stabili programe de management al riscului.
Tipurile i severitatea ameninrilor cresc odat cu dependena
afacerilor de sistemele informatice. Aceasta se ntmpl din motive cum ar
fi:
nivelul de operare multe sisteme informatice funcioneaz la
nivel naional sau internaional. Astfel dac sistemul informatic al unei bnci
devine neoperaional, s-ar putea s apar probleme
la nivel naional;
viteza viteza de lucru i cea transmitere au crescut astfel c
fiiere mari pot fi distruse, copiate sau transmise aproape
instantaneu;
inovaia tehnic tehnologiile noi modific regulile de baz dar
mult lume nu le nelege att de bine nct s le foloseasc n
siguran, putndu-se efectua operaii despre care nu se tie c
sunt riscante. Pe de alt parte, bunii cunosctori ai tehnologiilor
informaionale i pot folosi talentele pentru a produce daune fie
direct la locul de munc fie prin ptrunderea din exterior (de

exemplu, prin intermediul unei reele);

cauze ascunse de multe ori e greu de descoperit cauza care a
stat la baza producerii unei daune (de exemplu efectuarea unei
tranzacii bancare duble n condiiile plii unei sume cu ajutorul
unui card, blocarea unui card ntr-un terminal chiar dac s-au
introdus corect datele de identificare).
n continuare vom trata cteva dintre sursele de riscuri.
Sistemele de operare
Sistemele de operare sunt necesare pentru a face toate componentele
sistemului de calcul s funcioneze corect i eficient. De obicei un calculator
se cumpr cu sistemul de operare gata instalat i care deja are faciliti sub
form de programe utilitare, de asistare i de mentenan a echipamentelor
hardware. O atenie deosebit trebuie acordat modului n care se realizeaz
protecia contra accesului neautorizat. Implicit sistemele de operare i
aplicaiile pun la dispoziia utilizatorului drepturi depline de acces; aceste
drepturi trebuie modificate conform necesitilor de securitate ale
utilizatorului. Un alt aspect care reclam atenie e acela al utilizatorilor
uitai adic un nume de utilizator cu o parol care se pot folosi de ctre
productor sau de ctre persoana care a pus n funciune sistemul. Riscul
este de accesare neautorizat cu drepturi de acelai nivel ca i ale unui
administrator intern al unitii economice, pe care beneficiarii sistemului
informatic de contabilitate nici nu l iau n considerare n cazul unei auditri
a sistemului.
Sistemele de gestiune a bazelor de date
Sistemele de gestiune a bazelor de date, pe scurt SGBD, se compun
dintr-o mulime de programe care se folosesc pentru definirea, interogarea,
protejarea i manipularea unui volum mare de date. Bazele de date trebuie
s fie protejate contra ameninrilor intenionate sau neintenionate,
securitatea bazelor de date se refer la elemente de hardware i software,
persoane i date1. Connolly consider c securitatea bazelor de trebuie
asigurat corespunztor pentru a preveni situaii ca: furtul i frauda (frauda
poate apare ca urmare a introducerii
intenionate de date eronate, de modificare a documentelor
justificative etc.);
pierderea confidenialitii sau pierderea caracterului privat este
foarte important, pstrarea secretului despre date, mai ales despre
acelea care intereseaz concurena;
pierderea integritii sau pierderea disponibilitii pierderea
integritii datelor are ca rezultat apariia unor date care nu
corespund documentelor justificative; pierderea disponibilitii se
refer la faptul c datele devin inaccesibile (fie bazele date s-au
corupt din varii motive, fie a avut loc un eveniment hardware).
Daunele pot fi tangibile (cum ar fi deteriorarea unei componente
hardware) dar i intangibile (cum ar fi pierderea ncrederii unui ter ca
urmare a furtului datelor).
Produsele software
Produsele software sunt folosite pentru ndeplinirea funciilor
afacerilor. Multe dintre acestea (i care pot fi cumprate pe loc cu o
funcionare complet) au fost concepute pentru a ndeplini sarcini generale.
Dintre acestea amintim editoarele de documente (Microsoft Word,

WordPerfect), programele de calcul tabelar (de exemplu Microsoft Excel,

Lotus 1-2-3), i de baze de date (Microsoft Access, SQL Server, Oracle).
Alte aplicaii au fost create pentru a ndeplini funcii specifice n domenii
variate (transferuri bancare online, aplicaii de design pe computer pentru
asistare n proiectare etc.). Contabilitatea se poate ajuta att de programe
dedicate numai contabilitii ct i de programe integrate ntr-un sistem
complex numit ERP1. Un sistem ERP este o soluie software ale crei
elemente sunt integrate ntr-o platforma comun. Sistemele ERP actuale
realizeaz integrarea tuturor funciilor de conducere ale unei uniti
economice, (pornind de la planificare, la realizarea gestiunii
financiarcontabile,
a resurselor umane i terminnd cu gestiunea relaiilor clienii i
partenerii de afaceri). Un sistem ERP permite, prin simulare a activitilor i
prin caracterul flexibil i dinamic al aplicaiilor, s se realizeze previziuni,
analize calitative i integrarea cu tehnologiile noi de genul e-business i
ecomunicare.
Exemple de sisteme ERP: Senior.ERP Suite, mySAP ERP, BOrg.
Fiecare din aceste aplicaii poate sau nu s aib elemente de
verificare concepute pentru a mpiedica accesrile neautorizate. Pentru o
evaluare a unor verificri competente ale acestor aplicaii este necesar
dobndirea unor cunotine detaliate ale caracteristicilor de verificare a
fiecrei aplicaii folosite n mod curent ntr-o unitate economic.
Alte surse de riscuri
Multe sisteme informatice au prevzute mecanisme de control care
sunt proporionale cu gradele riscurilor asociate cu funciile ndeplinite de
ctre sisteme. De exemplu, tranzaciilor financiare li se asociaz un grad de
risc mare, un mecanism slab de control poate avea ca urmri furtul datelor
celor implicai n tranzacie, alterarea datelor tranzaciilor i altele.
Viruii, n toatele formele lor, sunt un risc care apare n situaii ca:
- un angajat lucreaz cu o dischet pe care o folosete i afara
unitii economice;
- deschiderea e-mail-urilor cu ataamente;
- vizitarea unor pagini de Internet i acceptarea execuiei unor
componente software (script, fiiere executabile, ActiveX etc.)
despre originea cruia nu exist date care se pot verifica i care pot
avea un caracter distructiv i/sau de culegere a datelor
confideniale.
Tabel 6.1
Riscurile asociate unor aciuni
Risc
Aciune
Furtul
i frauda
Pierderea
confidenialitii
Pierderea
caracterului
privat
Pirederea
integritii
Pierderea
disponibilitii
Utilizarea mijloacelor de

acces ale unei alte persoane

Modificarea, copierea,
tergerea neautorizat a
datelor

***

**
***

Alterarea programelor
Politicile i procedurile
necorespunztoare care
permit ieiri confideniale
pentru un nivel de securitate
nalt

***
Interceptarea convorbirilor
Accesul neautorizat sau
ilegal

***

***

Crearea unei bree n sistem

Furtul de date, programe i

***

****

echipament
Permiterea unui acces prea
larg

***

Conflictele de munc
Pregtirea
necorespunztoare a

**

****

personalului
Vizualizarea i divulgarea

***

neautorizat a datelor
Alterarea datelor datorit
ntreruperilor de energie sau

**
Calamiti * *
supratensiunii

***
Conectarea la Internet * * *
Introducerea de virui

Criminalitatea informatic a cunoscut o cretere spectaculoas n

ultimii ani. Criminalitatea informatic face parte din crima organizat pentru
c: s-a extins la nivel internaional, activitile ilicite se pot controla de la
distan (prin intermediul Internetului) i gruprile sunt bine structurate i
organizate. Persoanele implicate n criminalitatea informatic se
desemneaz ca fiind infractori informatici sunt persoane care nu trebuie
s aib cunotine solide de informatic, pot fi n slujba celor care au resurse
pentru construirea echipamentelor ajuttoare (bancomatele false).
Infractorii informatici folosesc ceea ce este mai nou n domeniu (sisteme,
posibiliti, modaliti de plat speciale) pentru a obine date personale cum
ar fi nume de utilizator i parole, numere de cont bancar, numere de carduri,
coduri PIN etc. Fraudele cu crile de credit cresc ca pondere n
criminalitatea informaional. O posibil explicaie este aceea c banii se
obin mai repede i mai uor dect din alte tipuri de activiti ale crimei
organizate Nu este nevoie ca infractorul informatic s ntre n posesia fizic
a cardului. Prin compromiterea bancomatelor (prin folosirea camerelor de

luat vederi, feelor false de bancomat, tastaturi false, dispozitive pentru

fanta
cardului etc.) se fur informaia despre card i se scriu aa numitele blankuri
care se folosesc apoi ca i cnd ar fi cardurile originale.
Conectarea la Internet, pe lng beneficii, a nsemnat i expunerea n
faa unor riscuri ce in de criminalitatea informatic. Furtul informaiilor
despre clienii unui magazin online, este o primejdie la care se expun toi
vnztorii i clienii care folosesc Internetul pentru tranzacii.
Tabelul 6.1 prezint cteva dintre riscurile asociate unor aciuni
([CON01, paginile 510-511) care pot avea loc pentru sursele de riscuri
descrise mai sus.
6.3 AUDITUL SISTEMELOR INFORMATICE DE
CONTABILITATE
Auditul este partea contabilitii n care tehnologia informaiei i
gsete o aplicabilitate deplin. Rezultatele financiare tradiionale ale
auditului au devenit o industrie matur i se bazeaz pe legislaia de profil i
pe standarde elaborate la nivel global (ISA1), cum ar fi: ISA 401 Auditul
ntr-un mediu cu sisteme informatice (Auditing in a Computer Information
Systems Environment), ISA 1008 Evaluarea riscurilor si controlul intern
caracteristici i considerente ale sistemelor informatice (Risk Assessments
and Internal Control CIS Characteristics and Considerations), ISA 1009
Tehnici de audit asistate de calclator (Computer-Assisted Audit
Techniques).
Standardele stabilesc modul n care trebuie s se fac operaii ca
preluarea i prelucrarea datelor, nregistrarea n conturi. nregistrarea
modificrilor ce se produc n bilan ca urmare a tranzaciilor incheiate de
societate. Se stabilete i verificarea urmtoarelor aspecte:
absena documentelor de intrare, justificative;
absena probelor materiale de derulare a tranzaciilor;
absena posibilitilor de accesare i/sau vizualizare a rezultatelor
prelucrrii.
Obiectivele generale si procesul de audit al situaiilor financiare nu
difer structural de etapele i procedurile comune. Excepiile apar cnd
auditorul dorete cunoaterea programelor de contabilitate, nelegerea
profund a funcionrii acestora pas cu pas, precum i a modului n care
acestea rspund cerinelor utilizatorului.
Intrrile de baz pentru contabilitate sunt tranzaciile msurate n
uniti monetare. O urm-audit a tranzaciilor contabile pstrat ntr-un
sistem al unitii economice permite utilizatorilor informaiei s urmreasc
fluxul datei de-a lungul sistemului. Figura 6.3 este un exemplu de o
asemenea urm care prezint n paralel un ciclu contabil al unitii
economice care ncepe cu datele tranzaciei reflectate din documentele de
intrare justificative i se termin cu producerea, ca ieire, a extraselor de
cont sau al altor rezultate financiare. Contabilitatea preia datele relevante de
intrare din documentele justificative i arhiveaz documentele pentru o
utilizare ulterioar n scopuri de control i auto-control (de exemplu,
verificarea cursului valutar pentru o anumit intrare n jurnal).
Un sistem informatic contabil care are o urm-audit bun permite, de
exemplu, unui manager s urmreasc datele oricrui document justificativ,
prin prelucrare pn la locul n care s-a obinut raportul de ieire. De

asemenea sistemul poate s permit unui contabil urmrirea datelor

financiare pornind de la balanele contabile napoi spre documentele de
intrare originale care au determinat tranzaciile care au influenat balanele.
Ca exemplu, o factur de intrare trebuie s poat fi urmrit prin intermediul
urmei-audit de la conturile clientului pn la contul debitor i contul
creditor. Similar, un contabil poate verifica balanele pentru conturile
creditoare i debitoare prin examinarea tranzaciilor i a documentelor de
intrare originale. Printr-o urm-audit dezvoltat eficient, un contabil poate
urmri datele de-a lungul ntregului sistem; aceast urmrire fiind posibil
dac oamenii dintr-un sistem pot nelege pe de-a ntregul metodele i
procedurile pentru acumularea i prelucrarea datelor. Un rezultat este c se
poate reconstrui de ctre contabili modul n care sistemul manevreaz
datele. Un sistem computerizat bine proiectat poate mbunti urma-audit
prin furnizarea unei liste, a mulimii tranzaciilor i a balanelor conturilor
nainte i dup ce tranzaciile au modificat conturile. Pentru unitile
economice care vor s-i dezvolte un sistem de control intern eficient,
urmele-audit sunt elemente importante ale acestui control.
Figura 6.3 Exemplu de urm-audit financiar
Sursa: [MOS03], pagina 10

Auditorii interni trebuie s examineze componentele unui sistem

informatic (hardware, software), mentenana acestora i alte caracteristici
Intrri Prelucrarea
tranzaciilor
Ieiri
Documente de
intrare Jurnal
Registru
Balana
provizorie
Fiiere ale
documentelor
surs
Extrase de cont
sau
rapoarte externe

prin care s se poat determina care dintre asemenea costuri s-au nregistrat
corespunztor n balanele contabile. De exemplu, componentele hardware
i cele software trebuie capitalizate i amortizate n perioade de timp care
depesc cu mult durata de funcionare, perioada de via n care sunt utile
funcionrii sistemului informatic de contabilitate iar costurile prepltite
pentru ntreinere pot fi clasificate ca bunuri i cheltuite numai n perioada
pentru care s-au fcut plile.
Dac o unitate economic este mic i are numai unul sau doi
auditori, aceste persoane trebuie s aib cunotine despre contabilitate,
finane i altele. Acest tip de auditor este unul care auditeaz tratarea
contabil a costurilor asociate cu calculatoarele i nu va fi un auditor
specializat n auditul sistemelor informatice ([CHA03], pagina 126). Dac
unitatea economic este mare i are un departament de audit intern, auditul
se poate face de ctre unul sau mai muli auditori cu studii n diverse
domenii. n acest caz, pentru un audit profund, se vor examina ntregul
proces, auditul costului echipamentelor hardware i/sau software fiind doar
o parte a auditului. Oricare ar fi modul de control intern, costurile asociate

cu echipamentele hardware i cu cele software trebuie s se conformeze

normelor legislative.
Investitorii i creditorii care folosesc rezultatele financiare se pot
folosi i de alte surse dect auditul pentru informaii care s i ajute n luarea
deciziilor. Aceasta se ntmpl din cauza c rezultatele financiare de audit
deseori nu devin disponibile ntr-un timp oportun.