Documente Academic
Documente Profesional
Documente Cultură
Profesor coordonator
.l. dr. ing. Eugen DUMITRACU
Masterand
Chelu Marian Cosmin
An II, ICC
Cuprins
Comert Electronic.........................................................................................................9
Avantaje ale comerului electronic.................................................................................................10
Tipuri de tranzactii in comertul electronic ....................................................................................12
Bibliografie ..................................................................................................................17
Prin utilizarea sistemelor informatice, se modific abordarea auditului (care se desfoar n medii
informatizate) datorit noilor modaliti de prelucrare, stocare i prezentare a informaiilor, furnizate de
aplicaiile informatice, fr a schimba ns obiectivul general i scopul auditului.
Procedurile tradiionale de colectare a datelor i de interpretare a rezultatelor utilizate de auditorii
financiari sunt nlocuite, total sau parial, cu proceduri informatizate. Existena sistemului informatic poate
afecta sistemele interne de control utilizate de entitate, modalitatea de evaluare a riscurilor, performana
testelor de control i a procedurilor de fond utilizate n atingerea obiectivului auditului.
Cu toate c prezena tehnologiei informaiei nu modific obiectivele fundamentale ale auditului, prin
specificul lor, sistemele informatice pot influena opinia auditorului cu privire la risc sau pot impune ca
auditorul s adopte o abordare diferit a misiunii de audit.
Principalele aspecte implicate de auditarea n mediul informatizat, care pot induce ambiguiti sau erori
pe parcursul auditului, sunt:
(a) se poate permite anonimatul prin depersonalizarea utilizatorului i, implicit, se
pot induce confuzii cu privire la rspundere;
(b) se pot permite modificri neautorizate sau neautentificate ale datelor contabile;
(c) se poate permite duplicarea intrrilor sau a prelucrrilor;
(d) sistemele informatice sunt vulnerabile la accesul de la distan i neautorizat;
(e) se pot ascunde sau se pot face invizibile unele procese;
(f) se poate terge sau ascunde pista de audit (traseul tranzaciilor);
(g) se pot difuza date, n mod neautorizat, n sistemele distribuite;
(h) aplicaiile pot fi operate de contractani externi, care utilizeaz standarde i
controale proprii sau pot altera informaiile n mod neautorizat.
n cazul auditului unui sistem informatic care furnizeaz informaii relevante pentru o misiune de audit
financiar, evaluarea sistemului informatic se efectueaz n scopul furnizrii unei asigurri rezonabile
privind funcionarea sistemului, necesare auditului financiar la care este supus entitatea.
n cazul n care informaiile necesare auditului sunt furnizate de aplicaii sau sisteme complexe, este
necesar consultarea sau participarea n cadrul echipei de audit a unui specialist care posed cunotine i
aptitudini specializate n domeniul auditului sistemelor informatice, pentru a evalua sistemul. De
asemenea, va colabora cu auditorii n scopul nelegerii semnificaiei i complexitii procedurilor
informatice, a prelucrrii datelor furnizate de sistemul informatic, precum i pentru nelegerea sistemului
de control intern, n scopul planificrii i abordrii auditului, adecvate la noile tehnologii i va formula
recomandri privind punctele slabe ale sistemului informatic, n vederea remedierii anomaliilor constatate.
Evaluarea va avea ca rezultat formularea unei opinii privind ncrederea pe care o asigur sistemul
informatic, n condiiile utilizrii sale ca surs de informaii sau ca suport pentru audit (programe de audit
asistat de calculator), n cadrul misiunii de audit.
Complexitatea sistemului informatic este conferit de o serie de caracteristici relative la: volumul
tranzaciilor, procedurile de validare a datelor sau a transferurilor de date ntre aplicaii, generarea
automat a tranzaciilor, comunicaia cu alte aplicaii sau sisteme informatice, complexitatea algoritmilor
de calcul, utilizarea unor informaii provenite din surse de date externe (existente la alte entiti) fr
validarea acestora.
4
Un mediu informatizat poate oferi auditorilor posibilitatea unor prelucrri adiionale, prin furnizarea
informaiilor solicitate n formate cerute de auditor, n scopul interpretrii sau al utilizrii ca date de intrare
pentru programe specializate de audit asistat de calculator.
Acest mod de lucru contribuie la creterea performanei n efectuarea testelor de fond, prin aplicarea
unor proceduri analitice automatizate, precum i a performanei procedurilor de audit, prin utilizarea
tehnicilor de audit asistat de calculator. Sistemele informatice au unele caracteristici inerente care pot
afecta att abordarea auditului, ct i evaluarea efectuat de auditor cu privire la riscul de audit. Unele
caracteristici ale sistemului informatic sporesc acest risc i reclam o atenie special din partea
auditorului. Dintre acestea, cele mai importante sunt: stabilirea rspunderii, vulnerabilitatea la modificri,
uurina copierii, riscurile accesului de la distan, procesare invizibil, existena unui parcurs al auditului,
distribuirea datelor, ncrederea n prestatorii de servicii IT, utilizarea nregistrrilor furnizate de calculator
ca prob de audit.
n funcie de problematica referit, n cadrul prezentului document se folosesc i variantele distincte
audit IT/audit IS, cu semnificaia corespunztoare, respectiv auditul arhitecturilor i infrastructurilor IT
(hardware, software, comunicaii i alte faciliti utilizate pentru introducerea, memorarea, prelucrarea,
transmiterea i ieirea datelor, n orice form), precum i auditul sistemelor, aplicaiilor i serviciilor
informatice.
Elaborarea raportului de audit
Raportarea are ca scop punerea n eviden a punctelor slabe ale controalelor, identificate de auditor i
aducerea lor la cunotina entitii auditate prin intermediul raportului de audit i al unei scrisori care
conine sinteza principalelor constatri i recomandri.
Raportul de audit identific aria de cuprindere, obiectivele, perioada, planificarea n timp i aria de
acoperire ale activitii de auditare efectuate. Raportul de audit este elaborat de auditorii publici externi
pentru fiecare misiune de audit i va include cele mai semnificative constatri, recomandri i concluzii
care au rezultat n cadrul misiunii de audit cu privire la stadiul i evoluia implementrii i utilizrii
sistemelor informatice existente n entitatea auditat. Raportul va include, de asemenea, opinia auditorilor
cu privire la natura i extinderea punctelor slabe ale controlului intern n cadrul entitii auditate i
impactul posibil al acestora asupra activitii entitii.
Raportul de audit al sistemelor informatice trebuie s fie obiectiv i corect, s cuprind toate
constatrile relevante, inclusiv cele pozitive, s fie constructiv i s prezinte concluziile i recomandrile
formulate de echipa de audit.
n situaia n care pe parcursul misiunii de audit se constat: erori / abateri grave de la legalitate i
regularitate, fapte pentru care exist indicii c au fost svrite cu nclcarea legii penale sau nerealizarea
obiectivelor propuse de entitate n legtur cu programul / procesul/activitatea auditat() datorit
nerespectrii principiilor economicitii, eficienei i eficacitii n utilizarea fondurilor publice i n
administrarea patrimoniului public i privat al statului/unitilor administrativ-teritoriale, se ntocmesc
proces verbal de constatare, precum i celelalte tipuri de acte prevzute la pct. 354 din Regulamentul
privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i valorificarea actelor
rezultate din aceste activiti, aceste acte constituind anexe la raportul de audit al sistemelor informatice.
5
dat electronic, semnturi digitale i controale de versiune n vederea stabilirii autenticitii i integritii
probelor electronice. n funcie de estimrile cu privire la aceste controale, auditorul poate considera
necesar efectuarea unor proceduri suplimentare, cum ar fi confirmarea detaliilor tranzaciilor sau a
soldurilor conturilor cu tere pri.
Utilizatorii sistemului informatic sunt, implicit, anonimi. Sistemele care nu pot identifica i nregistra
aciunile utilizatorilor individuali nu pot s-i fac ulterior rspunztori de aciunile lor. Utilizatorii sunt
mult mai nclinai s efectueze activiti informatice neautorizate daca nu pot fi identificai i fcui
rspunztori.
Riscul procesrii de tranzacii neautorizate poate fi redus prin prezena unor controale care identific
utilizatorii individuali i ntreprind aciuni de contracarare a eventualelor aciuni ostile ale acestora. Riscul
poate fi redus prin obligativitatea autentificrii la accesarea sistemului i prin introducerea unor controale
suplimentare, sub form de semnturi electronice.
Avnd n vedere faptul c datele tranzaciilor electronice se regsesc ntr-o form intangibil pe diverse
medii de stocare, acestea pot fi modificate fr a lsa nici o urm. Auditorii trebuie s evalueze existena i
eficacitatea controalelor care previn efectuarea de modificri neautorizate. Controale neadecvate pot
conduce la situaia n care auditorul s nu poat acorda ncredere nregistrrilor din calculatoare sau
integritii pistei de audit (traseului tranzaciilor).
Programul de aplicaie i datele tranzaciei trebuie s fie protejate fa de modificri neautorizate prin
utilizarea de controale adecvate ale accesului fizic i logic. Plile prin calculator, ca i transferurile
electronice de fonduri, sunt mult mai uor de modificat dect instrumentele de plat pe hrtie i de aceea
trebuie sa aib o protecie adecvat. Integritatea tranzaciilor electronice poate fi protejat prin tehnici
precum criptarea datelor, semnturi electronice sau prin utilizarea unui algoritm de dispersare a datelor.
Dac datele au valoare financiar, prevenirea dublrii tranzaciilor prin copiere este n mod deosebit
important. Sistemele utilizatorului trebuie s ncorporeze controale care s detecteze i s previn
procesarea de tranzacii duble.
Controalele pot include atribuirea de numere secveniale tranzaciilor i verificarea de rutin a
totalurilor de control. Fiierele pe hrtie pot fi uor protejate fa de accesul neautorizat prin
implementarea unor controale ale accesului fizic. Mijloace similare de protecie pot fi utilizate pentru
protecia dispozitivelor de stocare a datelor (CD-ROM, benzi magnetice i dischete). Dac datele sunt
accesibile pe o reea de calculatoare, atunci apare un grad de incertitudine cu privire la cine are acces la
software i la fiierele de date. Conectarea sistemelor de calculatoare la reeaua global Internet mrete
substanial riscul de acces neautorizat de la distan i de atacuri cu virui sau alte forme de alterare a
informaiei sau de distrugere a unor sisteme informatice. Protejarea reelelor conectate la Internet poate fi
dificil de realizat i necesit controale de nivel nalt, specializate.
Unele sisteme de operare asigur controale ale accesului care limiteaz capacitatea utilizatorilor de la
distan s vad, s modifice, s tearg sau s creeze date. Controalele de acces ale sistemului de operare
pot fi mrite prin controale suplimentare de identificare i autorizare n cadrul fiecrei tranzacii. n
ambele cazuri, eficacitatea controalelor de acces depinde de proceduri de identificare i autentificare i de
o bun administrare a sistemelor de securitate.
7
Procesarea tranzaciilor care are loc n interiorul calculatorului este invizibil pentru auditor. Auditorii
pot vedea ceea ce intr i ceea ce iese, dar au puine informaii cu privire la ceea ce se ntmpl pe parcurs.
Aceast slbiciune poate fi exploatat de programe neautorizate ascunse n programele autorizate.
Ameninarea modificrilor neautorizate poate fi redus prin adoptarea de proceduri adecvate de control al
modificrilor, inclusiv controale eficiente de acces, activarea i revizuirea jurnalelor de operaii, precum i
o separare eficient a sarcinilor ntre actorii implicai n sistem.
n cazul tranzaciilor electronice, n care pista de audit (parcursul tranzaciilor) se reconstituie din
nregistrri stocate pe un calculator, auditorul trebuie s se asigure c datele privind tranzaciile sunt
pstrate un timp suficient i c au fost protejate fa de modificri neautorizate. Capacitatea limitat de
stocare a unor calculatoare poate restriciona cantitatea de date istorice aferente tranzaciilor care trebuie
pstrate. n aceste cazuri, auditorul trebuie s impun arhivarea regulat a evidenelor contabile i acestea
s fie pstrate ntr-un mediu sigur. Auditorul poate, de asemenea, s analizeze impactul posibil al regulilor
de arhivare a datelor organizaiei atunci cnd planific auditul.
Calculatoarele n reea au capacitatea de a stoca aplicaii financiare i fiiere de date pe orice
dispozitive de stocare din reea. Auditorul se poate afla n faa unui sistem care ruleaz o aplicaie
financiar pe un calculator i stocheaz fiierele cu tranzacii procesate pe un calculator din alt sal, din
alt cldire sau chiar din alt ar. Procesarea datelor distribuite complic evaluarea de ctre auditor a
controalelor de acces fizic i logic. Mediul de control poate fi foarte bun ntr-un anumit loc, dar foarte slab
n alt loc, iar eterogenitatea mediului informatizat crete riscul de audit.
Principiile referitoare la probele de audit nu se schimb datorit faptului c auditul se realizeaz ntr-un
mediu informatizat. nregistrrile din calculator furnizeaz auditorului o asigurare de audit. Auditorul
poate, de asemenea, s genereze probe de audit utiliznd tehnicile de audit asistat de calculator.
O problem deosebit de important generat de mediul informatizat o constituie admisibilitatea
nregistrrilor din calculator la o instan de judecat. Din studiul literaturii de specialitate, rezult c sunt
puine precedente care s ilustreze acest fapt. n cazurile n care probele informatice au fost depuse n
aciuni judectoreti, instanele au luat n considerare o expertiz cu privire la eficiena mediului de
control IT, nainte de a evalua fiabilitatea datelor informatice.
Auditorul va avea n vedere faptul c tranzaciile sau imaginile de documente provenind de la
calculator pot s nu fie admisibile ca probe n justiie dac nu se poate demonstra c exist controale
destul de puternice care s nlture dubiul rezonabil privind autenticitatea i integritatea datelor coninute
n sistem. n ceea ce privete tranzaciile electronice, aceste controale sunt deosebit de complexe.
Evaluarea sistemelor IT cuprinde trei pri:
A Colectarea informaiilor de fond privind sistemele IT ale entitii auditate permite auditorului
cunoaterea sistemelor IT hardware i software ale acesteia, precum i a nivelului resurselor umane
implicate n activiti IT. Informaiile privind dimensiunea, tipul i complexitatea tehnic a sistemelor
informatice permit auditorilor s evalueze dac este necesar sprijinul unui auditor IT specialist.
De asemenea, auditorul va identifica sistemele financiare n curs de dezvoltare, care necesit, n
continuare, implicarea acestuia n formularea de cerine privind unele faciliti de audit care s fie incluse
n noua versiune. Colectarea informaiilor de fond privind sistemele IT ale entitii auditate trebuie s fie
8
finalizat nainte ca auditorul s realizeze o evaluare a mediului de control IT sau a procedurilor de control
ale aplicaiei.
B Evaluarea mediului de control IT i evaluarea riscului entitii este utilizat pentru a evalua
controalele i procedurile care opereaz n cadrul mediului de control IT. Punctele slabe identificate n
mediul de control IT pot submina eficacitatea procedurilor de control n cadrul fiecrei aplicaii financiare.
C Evaluarea controalelor aplicaiei i evaluarea riscului zonei contabile: auditorul trebuie s efectueze
evaluarea controalelor aplicaiei i evaluarea riscului zonei contabile pentru a examina procedurile de
control, sistemele de control intern i riscurile de audit n cadrul fiecrei aplicaii financiar-contabile.
Comert Electronic
Comerul electronic vizeaz ansamblul schimburilor electronice legate de activitile comerciale
implicnd att relaiile inter-ntreprinderi ct i relaiile dintre ntreprinderi i consumatori, acoperind
schimburile de informaii, tranzaciile cu produse, echipamente, bunuri de consum curent i servicii de
informare, financiare i judiciare.
Dup cum evideniaz unele studii, consumatorii consider comerul electronic ca unul dintre cele
mai bune sisteme de vnzare datorit unor factori cum sunt: preul, timpul consacrat cumprturii i
surplusul de informaii, privind mai ales caracteristicile produselor i serviciilor de care se poate dispune.
Totodat acest sistem are ns i unele dezavantaje referitoare la: intervalul ntre comand i primirea
mrfurilor, securitatea plilor, posibilitatea de a aprecia calitatea produselor dar mai ales cu privire la
ncrederea n ce privete securitatea datelor personale, n timpul transferurilor, n cadrul tranzaciilor
electronice.
Ca urmare, firmele sunt tot mai preocupate de cunoaterea i diminuarea riscurilor i, implicit, de
eliminare a lipsei de ncredere a consumatorilor, asigurnd astfel tranzacii cu un grad mai mare de
securitate.
Incercarea de a defini comerul electronic nu ar avea un rezultat concret. Primele intenii de a definii
comerul electronic au fost fcute din nevoia de a legifera comerul electronic, cum ar fi de exemplu
definiia elaborat de Parlamentul European i publicat n Directiva 31/2000 a Comisiei Europene
cunoscute i sub numele de Directiva asupra comerului electronic. n afar de aceasta la ora actual
exist o multitudine de definiii ale comerului electronic:
cumprarea i vnzarea bunurilor i serviciilor pe Internet, n special cu ajutorul World Wide
Web-ului. n practica acesta i un nou termen e-business sunt adesea folosii ca sinonime. Pentru
vnzarea on-line cu amnuntul termenul e-tailing este folosit cteodat.
(www.whatis.com)
aplicarea integral a tehnologiei informaiilor i comunicaiilor la nceput i pn la finalul
ntregului lan de valori a procesului de afaceri ce are loc electronic i are ca scop obinerea de profit.
9
Aceste procese pot s fie pariale sau complete i de asemene pot s fie tranzacii business-to-consumer
sau business -to-business
(Wigand, 1997)
n definiia sa simpl comerul electronic este un mijloc electronic folosit pentru a face tranzacii de
afaceri Pe msura dezvoltrii tehnologiei i a folosirii Internetului pe scar larg, comerul electronic
a ajuns s se refere la o gam mai larg de mijloace de afaceri cum ar fi: e-mail, Web-situri
informaionale, cataloage on-line comenzi de bunuri i serviciu prin Internet, livrarea direct de produse
i alegerea caracteristicilor produsului
Consumer to Consumer consumatorii vnd altor consumatori prin intermediul unor site-uri
de licitaii.
(www.wvebiz.com)
efectuarea de tranzacii financiare prin mijloace electronice. Odat cu creterea comerului n
cadrul Internetului, noiunea de comer electronic se refera la cumprarea din magazine on-line.
Comerul electronic poate fi: business to business (afacere la afacere) i business to consumer (afacere la
consumator).
(www.straight-on.com)
folosirea tehnologiei informaionale pentru a facilita vnzarea i cumprarea bunurilor i
serviciilor ntre partenerii de afaceri.
(Bathia,1999)
Avantaje ale comerului electronic
Tehnologia Internetului poate fi folosit pentru a transforma modul n care se desfoar afacerile. Ea
poate fi vzut ca un nou canal de desfacere, dar poate fi perceput i ca o nou infrastructur, asemenea
cilor ferate, oferind o gam infinit de oportuniti pentru noi iniiative.
a) Interactivitate. Dezvoltarea comunicrii n mas de-a lungul secolului a adus o contribuie foarte
important la modul n care informaia era transmis ntre oameni. naintea comunicrii n mas transferul
informaiei ntre oameni avea loc n cea mai mare parte prin intermediul tipriturilor i a comunicrii
directe de la om la om. Astfel s-a nscut mass-media. Interactivitatea a fost menionat ca una dintre cele
mai importante caracteristici care difereniaz Internetul de oricare alt mijloc mediatic.
10
Utilizatorii Web-ului reprezint probabil cea mai extins pia demografic disponibil: studeni,
absolveni de liceu sau universitate, cei cu salarii mari sau cei care sunt pe punctul de a realiza venituri
mari. Astfel Internetul ofer clieni indiferent de produsul sau serviciul oferit.
Rmn, firesc, n actualitate aspectele clasice ale proteciei consumatorului n care se opereaz cu
caracteristicile fizico-chimice, calitate, termen de valabilitate, garanie, certificare etc. ns devin prioritare
aspectele ce decurg din particularitile cyberspace-ului care este mediul de dezvoltare al afacerilor
electronice. Numitorul comun al acestor probleme este securitatea datelor care i privete n egal msur
pe toi actorii implicai pe piaa electronic: cumprtori, vnztori, bnci, societi de curierat marf i
ali participani.
doar la vizualizarea datelor, sau atacuri active care urmresc furtul i/sau distrugerea datelor. Sunt
cunoscute cazurile de furturi ale datelor din cri de credit i neplata produselor, sau plata fr livrarea
produselor, sau livrarea unor cu totul alte produse dect cele ateptate, fr a mai gsi firma furnizoare, ca
s nu mai vorbim de extra-taxe de livrare, lipsa garaniilor i a serviciilor postvnzare. Este bine s facem
diferena ntre cele dou categorii de atacatori intenionai: hackerii i crackerii. Hackerii sunt grupuri de
indivizi care caut i speculeaz vulnerabilitile unor situri, ale unor reele importante i, dac le gsesc,
comunic aceste slbiciuni proprietarilor. Crackerii n schimb ncearc fraudarea software-ului, a siteurilor i chiar distrugerea acestora.
Fa de aceste ameninri i surse de risc trebuie luate msuri care se includ n politica de securitate a
firmei.
Arii de probleme
Auditul sistemelor de comer electronic are n atenia sa urmtoarea arie de probleme conexe cu
managementul riscurilor privind securitatea datelor:
autentificarea i accesul neautorizat;
firewall;
sisteme de monitorizare audit trail;
criptarea datelor;
gestiunea sigur a tranzaciilor;
rspunsurile provocate;
protecia mpotriva viruilor;
controlul non-repudierilor;
controlul blocrilor i a disponibilitii sistemului.
Principalele caracteristici ale acestor arii de probleme sunt:
a) Autentificarea i accesul neautorizat urmresc s se asigure printr-un sistem de control adecvat,
printr-o politic de parole corect, accesul numai pentru persoanele care au acest drept. Dreptul de acces
se poate dovedi apelnd la una din cile de baz utilizate de obicei n securitate probnd cu: ceva ce ai,
ceva ce tii, ceva ce eti. De exemplu, un smart-card folosete pentru a proba cu ,,ceea ce ai, un PIN sau
un password folosete pentru a proba cu ,,ceva ce tii, iar un element, o amprent biometric probeaz
,,cine eti.
b) Firewall-ul reprezint un produs software, dar poate fi i un dispozitiv hardware care se interpune
ntre reeaua proprie i Internet pentru a inhiba activitile neautorizate ale unor utilizatori externi.
c) Sistemele de monitorizare cuprind acele tehnologii prin care are loc detectarea intruderilor,
monitorizarea traficului de tranzacii i meninerea urmelor acestora, aa numitelor audit- trail, inclusiv
evidena scris, pasiv, a evenimentelor i mesajelor, log-onurile. Detectarea intruderilor i vizeaz direct
pe hackeri i crackeri. Monitorizarea traficului n reea ne furnizeaz informaii pentru a preveni i
14
sanciona activitile maliioase de tip DoS Denial of Sservice, dar i pentru a preveni efectele unor
tehnici infracionale de tip: snooping, spoofing i fishing Snoopingul se refer la tehnica de interceptare i
modificare a mesajelor. Spoofingul nseamnn expedierea de mesaje false iar fishingul, care s-a extins
periculos n ultima vreme, ncearc s intre n posesia datelor personale ale userilor sub acoperirea unor
pcleli hoax-uri, de genul ctiguri fabuloase la loterii fantom, angajare parttime ca brockeri
financiari, actualizri ale sitului bncii aflat n reconstrucie.
d) Criptarea datelor este un instrument puternic i eficient pentru sporirea securitii datelor. Sistemele
de comer electronic care integreaz i pli on-line, sistem agreat de un numr din ce n ce mai mare de
bnci, aplic sisteme de criptare performante. S-a detaat n ultima vreme tehnologia de criptare cu chei
publice. Expeditorul i cripteaz mesajul cu cheia sa privat, eliberat de o instituie autorizat la nivel
guvernamental. Destinatarul poate decripta mesajul cu ajutorul unei chei publice pe care o tie de la
expeditor. Cheia public nu va putea fi folosit niciodat pentru criptarea unui mesaj, deci destinatarul sau
oricine altcineva nu se poate substitui expeditorului. Infrastructura de criptare cu chei publice se utilizeaz
n conjuncie cu protocolul securizat de
comunicare n spaiul web, SSL Secure Socket Layer.
e) Gestiunea sigur a tranzaciilor se poate realiza cu puine cheltuieli suplimentare utiliznd o legtur
la Internet de tip VPN Virtual Private Network, care folosete tehnologii laborioase pentru criptarea
datelor, sporind considerabil ansele de detectare a atacurilor.
f) Rspunsurile provocate au n vedere prevenirea expunerii involuntar a informaiilor delicate,
information disclosure, cum este prezentat n multe lucrri de specialitate. Este vorba de informaii
confideniale sau informaii secrete. Asta nseamn o bun cunoatere a clasificrii informaiilor i
instruirea temeinic a personalului cu privire la drepturile de acces la aceste informaii n concordan cu
politica de securitate a firmei.
g) Protecia mpotriva viruilor este o problem la ordinea zilei i auditul trebuie s verifice respectarea
procedurilor de instalare, liceniere a software-ului antivirus, de actualizare a bazei de semnturi, scanarea
sistemului i raportarea i soluionarea a incidentelor.
h) Controlul non-repudierilor are n vedere consemnarea i raportarea incidentelor legate de
recunoaterea legal a semnturii electronice. Ansamblul persoan - cheie public - cheie privat
garanteaz non repudierea, adic semnatarul documentului nu poate s resping faptul c acel document a
fost semnat electronic de el nsui. Dar datorit unor incidente de securitate pot aprea i astfel de situaii
ce trebuie monitorizate i rezolvate cu atenie.
i) Controlul blocrilor i al disponibilitii sistemului este o condiie obligatorie pentru asigurarea
continuitii afacerii. Blocarea sitului de comer electronic aduce un grav prejudiciu de imagine i
afecteaz gradul de ncredere al clienilor. Este echivalentul unui dezastru i poate de aceea se cere
verificarea existenei unui plan de recuperare n caz de dezastre DRP Disaster Recovery Plan. Acest plan
15
trebuie s conin o documentaie i procedurile de recuperare tehnic care s asigure reluarea rapid a
activitii de baz. Auditul trebuie s controleze i existena unor copii recente i funcionale ale site-ului,
a bazelor de date, a programelor, chiar a unei echipe de rezerv i a consumabilelor de rezerv. Auditul
sistemelor de comer electronic trebuie s mai certifice un lucru foarte important pentru clieni, anume
autenticitatea informaiilor, calitatea i bonitatea vnztorilor. Cumprtorul este, n primul rnd, un
consumator de informaii i servicii Internet i, de aceea, ntr-un fel este ndreptit s i se asigure garania
credibilitii informaiilor pe care le acceseaz, pentru a-i ntri ncrederea n competena i bunele intenii
ale furnizorilor de servicii Internet. Am reunit acest cumul de atribute sub denumirea de bonitate a
furnizorului de servicii Internet. S recunoatem c este o problem complex a crei rezolvare se leag
de crearea unui cadru normativ- legislativ adecvat. Acest cadru se contureaz acum mai clar i pentru noi
prin legea 365/2002 privind comerul electronic, legea semnturii digitale, implementarea standardului
pentru managementul calitii ISO 9001/2000 i standardului pentru managementul securitii datelor SR
ISO/CEI 17799:2000.
Concluzii
Extinderea certificrii implementrii standardelor de calitate pentru sistemele de comer electronic este
o cale de a veni n sprijinul consumatorilor, care se prezint ca o mas amorf atomizat prea puin
protejat. Aceti consumatori se afl ntr-un raport de fore i resurse disproporionat fa de vnztori, iar
la acest dezavantaj se adaug i slaba informare i de ce nu i lipsa unei culturi Internet solide a acestora.
Ei nu dispun de mijloace tehnice proprii, performante de evaluare a vnztorilor, precum i a produselor i
serviciilor oferite de vnztori n spaiul www. n consecin nu ne putem prevala de faptul c numai
consumatorul decide pe piaa electronic i deci el i asum integral riscul deciziei. El trebuie ajutat
pentru diminuarea riscurilor generate de decizia de cumprare. Internetul este un uria mall free n care,
foarte uor, i vnztorul i consumatorul pot fi prejudiciai. De aceea sunt necesare eforturile de audit
pentru a-i sprijini pe toi actorii online de pe acest tip de pia, nu numai pentru a preveni i diminua
riscurile la care sunt expui, dar i pentru a putea dobndi dovezi de calitate opozabile privind serviciile
Internet, cu care s-ar putea dovedi daunele, disfuncionalitile i legturile de cauzalitate din spaiul web
care au condus la aceste pagube, pentru eventuala despgubire a celor prejudiciai. Auditul sistemelor de
comer electronic trebuie s asigure toate aceste cerine care n sistemul comerului clasic sunt bine
statuate de autoritile de protecie a consumatorilor. Protejndu-se pe ei, vnztorii, furnizorii de servicii
Internet, asigur i protecia clienilor a utilizatorilor anonimi ai acestor servicii, cel puin din punctul de
vedere al securitii datelor i continuitii afacerilor.
16
Bibliografie
1.Dinu, Vasile. Standardizarea i certificarea produselor i serviciilor. Editura ASE, Bucureti, 2006
2.Dinu, Vasile. Protecia drepturilor i intereselor consumatorilor. Editura Alpha, Buzu, 2001
3. M.P. Cangemi, T. Singleton. Managing the audit function, third edition, John Wiley&Sons, New Jersay.
2003
4. Traian Surcel. Auditul i managementul sistemelor informatice, Proceedings of the 2006 International
Conference on Commerce, Bucureti, 2006
5. Traian, Surcel, Marian, Stoica. Reasearch Areas in Data Warehouse Systems Audit, n Revista
Economy Informatics vol V, nr. 1-4/2005, pag. 15
6. T. Surcel, P. Pocatilu, Realizarea aplicaiilor de comer electronic, Revista de Informatic Economic,
vol IX, nr 3 (35)/2005, pag 22
7. www.pcwebopedia.com
8. www.isaca.org
9. xxx Legea nr. 365/2002 privind comerul electronic, Monitorul Oficial, Partea I, nr. 483/5 iulie 2002
Anexe
10. Traian Surcel, Vasile Dinu. Auditul comertului electronic in relatie cu protectia consumatorilor
11. Vasile Adrian Aldea, Comertul Electronic- Lucrare Licenta
12.Editura Bucuresti, Ghidul de audit al sistemelor informatice
17