UNIVERSITATEA DIN CRAIOVA

FACULTATEA DE AUTOMATIC, CALCULATOARE I ELECTRONIC

MASTER: INGINERIA CALCULATOARELOR I COMUNICAIILOR

Auditul aplicatiilor pentru comertul electronic

Profesor coordonator
.l. dr. ing. Eugen DUMITRACU

Masterand
Chelu Marian Cosmin
An II, ICC

Cuprins

Conceptul de audit. Organizarea auditului................................................................2

Tehnici si metode de audit................................................................................................................3
Probleme de audit asociate cu utilizarea sistemelor IT / IS..............................................................3
Elaborarea raportului de audit...........................................................................................................5
Evaluarea sistemelor informatice atat financiar cat si contabil.........................................................6

Comert Electronic.........................................................................................................9
Avantaje ale comerului electronic.................................................................................................10
Tipuri de tranzactii in comertul electronic ....................................................................................12

Auditul aplicatiilor in comertul electronic, protectia consumatorului...................13

Securitatea datelor, o problem global...........................................................................................13
Riscuri i vulnerabiliti...................................................................................................................13
Arii de probleme..............................................................................................................................14
Concluzii..........................................................................................................................................16

Bibliografie ..................................................................................................................17

Conceptul de audit. Organizarea auditului

Apariia sistemelor informatice i utilizarea acestora de ctre organismele economice au schimbat
modul n care i desfoar activitatea economitii, inclusiv auditorii. Astfel, acestia au fost nevoiti sa se
instruiasca foarte bine in domeniul calculatoarelor, acestea cuprinzand:
- sistemele de calcul utilizate n sistemele informatice;
- programele i aplicaiile (software) utilizate de sistemele informatice;
- posibilitile de calcul, eviden i control oferite de sistemele informatice utilizatorilor lor;
- utilizarea sistemelor de calcul n activitile economice i de audit;
- proiectarea, realizarea i utilizarea sistemelor informatice;
- tehnicile de audit asistate de calculator;
- tehnicile de integrare a procedurilor de audit n sistemele informatice etc.
Sistemul informatic este partea automatizat a sistemului informaional din cadrul unui organism
economic. Sistemul informatic are funcia de prelucrare automat a datelor pentru obinerea informaiilor
necesare fundamentrii deciziilor i pentru informare.
Auditul reprezinta o activitate de concepere a unui sistem care previne, detecteaza si corecteaza
evenimente ilicite in cadrul unei organizatii.
In activitatea de audit avem 2 entitati:
Auditatul :
- organizatie care este auditata.
Pentru inceput, trebuie sa se ia in considerare urmatoarele:
- marimea, natura si complexitatea organizatiei care va fi auditata;
-obiectivele si amploarea programului de audit;
-cerintele de certificare/inregistrare si acreditare;
-rolul procesului de audit in managementul organizatiei care va fi auditata;
-nivelul de incredere cerut in programul de audit;
2

-complexitatea sistemului de management care va fi auditat

Auditorul :
- persoana care are competenta de a efectua un audit
Un auditor trebuie :
-sa planifice si sa organizeze activitatea in mod eficace;
-sa efectueze auditul in limitele programului stabilit;
-sa stabileasca prioritatea si sa se concentreze pe probleme in functie de importanta;
-sa colecteze informatii in mod eficace prin intervievare, ascultare, observare si examinarea documentelor,
inregistrarilor si a datelor;
-sa inteleaga adecvarea si consecintele utilizarii tehnicilor pentru auditare;
-sa verifice exactitatea informatiilor colectate;
-sa confirme ca dovezile de audit sunt suficiente si adecvate pentru a sustine constatarile si concluziile
auditului;
-sa evalueze acei factori care pot influenta credibilitatea constatarilor si concluziilor auditului;
-sa utilizeze documente de lucru pentru a inregistra activitatile auditului;
-sa pregateasca rapoartele de audit;
-sa mentina confidentialitatea si securitatea informatiilor;
-sa comunice eficace, fie prin talentul oratoric personal, fie prin intermediul unei alte persoane abilitate.

Tehnici si metode de audit

Metodele si tehnicile utilizate pentru colectarea informatiilor pe parcursul misiunii de audit sunt:
Prezentari in cadrun unor discutii cu reprezentantii managementului entitatii auditate

Realizarea de interviuri cu persoane cheie implicate in coordonarea, monitorizarea, administrarea,

intretinerea si utilizarea serviciului de comert electronic
Utilizarea chestionarelor, machetelor si listelor de verificare

Examinarea unor documentatii tehnice,economice de monitorizare si raportare

Consultarea legislatiei aferente tematicii

Probleme de audit asociate cu utilizarea sistemelor IT / IS

Auditul sistemelor/serviciilor informatice reprezint o activitate de evaluare a sistemelor informatice
prin prisma optimizrii gestiunii resurselor informatice disponibile (date, aplicaii, tehnologii, faciliti,
resurse umane, etc.), n scopul atingerii obiectivelor entitii, prin asigurarea unor criterii specifice:
eficien, confidenialitate, integritate, disponibilitate, siguran n funcionare i conformitate cu un cadru
de referin (standarde, bune practici, cadru legislativ, etc.).

Prin utilizarea sistemelor informatice, se modific abordarea auditului (care se desfoar n medii
informatizate) datorit noilor modaliti de prelucrare, stocare i prezentare a informaiilor, furnizate de
aplicaiile informatice, fr a schimba ns obiectivul general i scopul auditului.
Procedurile tradiionale de colectare a datelor i de interpretare a rezultatelor utilizate de auditorii
financiari sunt nlocuite, total sau parial, cu proceduri informatizate. Existena sistemului informatic poate
afecta sistemele interne de control utilizate de entitate, modalitatea de evaluare a riscurilor, performana
testelor de control i a procedurilor de fond utilizate n atingerea obiectivului auditului.
Cu toate c prezena tehnologiei informaiei nu modific obiectivele fundamentale ale auditului, prin
specificul lor, sistemele informatice pot influena opinia auditorului cu privire la risc sau pot impune ca
auditorul s adopte o abordare diferit a misiunii de audit.
Principalele aspecte implicate de auditarea n mediul informatizat, care pot induce ambiguiti sau erori
pe parcursul auditului, sunt:
(a) se poate permite anonimatul prin depersonalizarea utilizatorului i, implicit, se
pot induce confuzii cu privire la rspundere;
(b) se pot permite modificri neautorizate sau neautentificate ale datelor contabile;
(c) se poate permite duplicarea intrrilor sau a prelucrrilor;
(d) sistemele informatice sunt vulnerabile la accesul de la distan i neautorizat;
(e) se pot ascunde sau se pot face invizibile unele procese;
(f) se poate terge sau ascunde pista de audit (traseul tranzaciilor);
(g) se pot difuza date, n mod neautorizat, n sistemele distribuite;
(h) aplicaiile pot fi operate de contractani externi, care utilizeaz standarde i
controale proprii sau pot altera informaiile n mod neautorizat.
n cazul auditului unui sistem informatic care furnizeaz informaii relevante pentru o misiune de audit
financiar, evaluarea sistemului informatic se efectueaz n scopul furnizrii unei asigurri rezonabile
privind funcionarea sistemului, necesare auditului financiar la care este supus entitatea.
n cazul n care informaiile necesare auditului sunt furnizate de aplicaii sau sisteme complexe, este
necesar consultarea sau participarea n cadrul echipei de audit a unui specialist care posed cunotine i
aptitudini specializate n domeniul auditului sistemelor informatice, pentru a evalua sistemul. De
asemenea, va colabora cu auditorii n scopul nelegerii semnificaiei i complexitii procedurilor
informatice, a prelucrrii datelor furnizate de sistemul informatic, precum i pentru nelegerea sistemului
de control intern, n scopul planificrii i abordrii auditului, adecvate la noile tehnologii i va formula
recomandri privind punctele slabe ale sistemului informatic, n vederea remedierii anomaliilor constatate.
Evaluarea va avea ca rezultat formularea unei opinii privind ncrederea pe care o asigur sistemul
informatic, n condiiile utilizrii sale ca surs de informaii sau ca suport pentru audit (programe de audit
asistat de calculator), n cadrul misiunii de audit.
Complexitatea sistemului informatic este conferit de o serie de caracteristici relative la: volumul
tranzaciilor, procedurile de validare a datelor sau a transferurilor de date ntre aplicaii, generarea
automat a tranzaciilor, comunicaia cu alte aplicaii sau sisteme informatice, complexitatea algoritmilor
de calcul, utilizarea unor informaii provenite din surse de date externe (existente la alte entiti) fr
validarea acestora.
4

Un mediu informatizat poate oferi auditorilor posibilitatea unor prelucrri adiionale, prin furnizarea
informaiilor solicitate n formate cerute de auditor, n scopul interpretrii sau al utilizrii ca date de intrare
pentru programe specializate de audit asistat de calculator.
Acest mod de lucru contribuie la creterea performanei n efectuarea testelor de fond, prin aplicarea
unor proceduri analitice automatizate, precum i a performanei procedurilor de audit, prin utilizarea
tehnicilor de audit asistat de calculator. Sistemele informatice au unele caracteristici inerente care pot
afecta att abordarea auditului, ct i evaluarea efectuat de auditor cu privire la riscul de audit. Unele
caracteristici ale sistemului informatic sporesc acest risc i reclam o atenie special din partea
auditorului. Dintre acestea, cele mai importante sunt: stabilirea rspunderii, vulnerabilitatea la modificri,
uurina copierii, riscurile accesului de la distan, procesare invizibil, existena unui parcurs al auditului,
distribuirea datelor, ncrederea n prestatorii de servicii IT, utilizarea nregistrrilor furnizate de calculator
ca prob de audit.
n funcie de problematica referit, n cadrul prezentului document se folosesc i variantele distincte
audit IT/audit IS, cu semnificaia corespunztoare, respectiv auditul arhitecturilor i infrastructurilor IT
(hardware, software, comunicaii i alte faciliti utilizate pentru introducerea, memorarea, prelucrarea,
transmiterea i ieirea datelor, n orice form), precum i auditul sistemelor, aplicaiilor i serviciilor
informatice.
Elaborarea raportului de audit
Raportarea are ca scop punerea n eviden a punctelor slabe ale controalelor, identificate de auditor i
aducerea lor la cunotina entitii auditate prin intermediul raportului de audit i al unei scrisori care
conine sinteza principalelor constatri i recomandri.
Raportul de audit identific aria de cuprindere, obiectivele, perioada, planificarea n timp i aria de
acoperire ale activitii de auditare efectuate. Raportul de audit este elaborat de auditorii publici externi
pentru fiecare misiune de audit i va include cele mai semnificative constatri, recomandri i concluzii
care au rezultat n cadrul misiunii de audit cu privire la stadiul i evoluia implementrii i utilizrii
sistemelor informatice existente n entitatea auditat. Raportul va include, de asemenea, opinia auditorilor
cu privire la natura i extinderea punctelor slabe ale controlului intern n cadrul entitii auditate i
impactul posibil al acestora asupra activitii entitii.
Raportul de audit al sistemelor informatice trebuie s fie obiectiv i corect, s cuprind toate
constatrile relevante, inclusiv cele pozitive, s fie constructiv i s prezinte concluziile i recomandrile
formulate de echipa de audit.
n situaia n care pe parcursul misiunii de audit se constat: erori / abateri grave de la legalitate i
regularitate, fapte pentru care exist indicii c au fost svrite cu nclcarea legii penale sau nerealizarea
obiectivelor propuse de entitate n legtur cu programul / procesul/activitatea auditat() datorit
nerespectrii principiilor economicitii, eficienei i eficacitii n utilizarea fondurilor publice i n
administrarea patrimoniului public i privat al statului/unitilor administrativ-teritoriale, se ntocmesc
proces verbal de constatare, precum i celelalte tipuri de acte prevzute la pct. 354 din Regulamentul
privind organizarea i desfurarea activitilor specifice Curii de Conturi, precum i valorificarea actelor
rezultate din aceste activiti, aceste acte constituind anexe la raportul de audit al sistemelor informatice.
5

Detaliile referitoare la aspectele metodologice privind raportul de audit se regsesc n Manualul de

audit al sistemelor informatice (CCR, 2012)

Evaluarea sistemelor informatice atat financiar cat si contabil

n conformitate cu standardul ISA 400, Evaluarea Riscului i Controlului Intern, auditorul va analiza
dac mediul de control i procedurile de control aplicate de entitate activitilor proprii desfurate n
mediul informatizat, n msura n care acestea sunt relevante pentru aseriunile situaiilor financiare, este
un mediu sigur. n cazul sistemelor informatice, atunci cnd procedurile sunt automatizate, cnd volumul
tranzaciilor este mare sau cnd probele electronice nu pot fi urmrite pe tot parcursul fluxului de
prelucrare, auditorul poate decide c nu este posibil s reduc riscul de audit la un nivel acceptabil dect
prin utilizarea testelor detaliate de audit. n astfel de cazuri sunt frecvent utilizate tehnici de audit asistat
de calculator.
De asemenea, pentru sistemele informatice financiar-contabile sunt deosebit de importante urmtoarele
aspecte ale controlului intern:
(a) meninerea integritii procedurilor de control n mediul informatizat i (b) asigurarea accesului la
nregistrri relevante pentru a satisface necesitile entitii, precum i n scopul auditului.
Auditorul va analiza exhaustivitatea, acurateea i autorizarea informaiilor furnizate pentru
nregistrarea i procesarea nregistrrilor financiare ale entitii (integritatea tranzaciei). Natura i
complexitatea aplicaiilor influeneaz natura i amploarea riscurilor referitoare la nregistrarea i
procesarea tranzaciilor electronice.
Procedurile de audit referitoare la integritatea informaiei, aferente tranzaciilor electronice, se axeaz
n mare parte pe evaluarea credibilitii sistemelor utilizate pentru prelucrarea tranzaciilor. Utilizarea
serviciilor informatice iniiaz, n mod automat, alte secvene de prelucrare a tranzaciei fa de sistemele
tradiionale. Procedurile de audit pentru sistemele informatice trebuie s se concentreze asupra
controalelor automate referitoare la integritatea tranzaciilor, pe msur ce acestea sunt nregistrate i apoi
procesate imediat.
ntr-un mediu informatic, controalele referitoare la integritatea tranzaciei sunt n majoritatea cazurilor
proiectate pentru a asigura, printre altele: validarea intrrilor i prevenirea duplicrii sau a omiterii
tranzaciilor. n general, tranzaciile electronice nu au asociate nregistrri scrise i pot fi mult mai uor de
distrus sau de alterat dect cele scrise, fr a lsa nici o urm a distrugerii sau alterrii.
Auditorul trebuie s stabileasc dac politicile de securitate a informaiei i controalele de securitate ale
entitii sunt implementate adecvat pentru prevenirea modificrilor neautorizate ale nregistrrilor
contabile, ale sistemului contabil sau ale sistemelor care furnizeaz date sistemului contabil. Aceasta se
poate realiza prin testarea controalelor automate, cum ar fi verificrile de integritate a datelor, tampile de
6

dat electronic, semnturi digitale i controale de versiune n vederea stabilirii autenticitii i integritii
probelor electronice. n funcie de estimrile cu privire la aceste controale, auditorul poate considera
necesar efectuarea unor proceduri suplimentare, cum ar fi confirmarea detaliilor tranzaciilor sau a
soldurilor conturilor cu tere pri.
Utilizatorii sistemului informatic sunt, implicit, anonimi. Sistemele care nu pot identifica i nregistra
aciunile utilizatorilor individuali nu pot s-i fac ulterior rspunztori de aciunile lor. Utilizatorii sunt
mult mai nclinai s efectueze activiti informatice neautorizate daca nu pot fi identificai i fcui
rspunztori.
Riscul procesrii de tranzacii neautorizate poate fi redus prin prezena unor controale care identific
utilizatorii individuali i ntreprind aciuni de contracarare a eventualelor aciuni ostile ale acestora. Riscul
poate fi redus prin obligativitatea autentificrii la accesarea sistemului i prin introducerea unor controale
suplimentare, sub form de semnturi electronice.
Avnd n vedere faptul c datele tranzaciilor electronice se regsesc ntr-o form intangibil pe diverse
medii de stocare, acestea pot fi modificate fr a lsa nici o urm. Auditorii trebuie s evalueze existena i
eficacitatea controalelor care previn efectuarea de modificri neautorizate. Controale neadecvate pot
conduce la situaia n care auditorul s nu poat acorda ncredere nregistrrilor din calculatoare sau
integritii pistei de audit (traseului tranzaciilor).
Programul de aplicaie i datele tranzaciei trebuie s fie protejate fa de modificri neautorizate prin
utilizarea de controale adecvate ale accesului fizic i logic. Plile prin calculator, ca i transferurile
electronice de fonduri, sunt mult mai uor de modificat dect instrumentele de plat pe hrtie i de aceea
trebuie sa aib o protecie adecvat. Integritatea tranzaciilor electronice poate fi protejat prin tehnici
precum criptarea datelor, semnturi electronice sau prin utilizarea unui algoritm de dispersare a datelor.
Dac datele au valoare financiar, prevenirea dublrii tranzaciilor prin copiere este n mod deosebit
important. Sistemele utilizatorului trebuie s ncorporeze controale care s detecteze i s previn
procesarea de tranzacii duble.
Controalele pot include atribuirea de numere secveniale tranzaciilor i verificarea de rutin a
totalurilor de control. Fiierele pe hrtie pot fi uor protejate fa de accesul neautorizat prin
implementarea unor controale ale accesului fizic. Mijloace similare de protecie pot fi utilizate pentru
protecia dispozitivelor de stocare a datelor (CD-ROM, benzi magnetice i dischete). Dac datele sunt
accesibile pe o reea de calculatoare, atunci apare un grad de incertitudine cu privire la cine are acces la
software i la fiierele de date. Conectarea sistemelor de calculatoare la reeaua global Internet mrete
substanial riscul de acces neautorizat de la distan i de atacuri cu virui sau alte forme de alterare a
informaiei sau de distrugere a unor sisteme informatice. Protejarea reelelor conectate la Internet poate fi
dificil de realizat i necesit controale de nivel nalt, specializate.
Unele sisteme de operare asigur controale ale accesului care limiteaz capacitatea utilizatorilor de la
distan s vad, s modifice, s tearg sau s creeze date. Controalele de acces ale sistemului de operare
pot fi mrite prin controale suplimentare de identificare i autorizare n cadrul fiecrei tranzacii. n
ambele cazuri, eficacitatea controalelor de acces depinde de proceduri de identificare i autentificare i de
o bun administrare a sistemelor de securitate.
7

Procesarea tranzaciilor care are loc n interiorul calculatorului este invizibil pentru auditor. Auditorii
pot vedea ceea ce intr i ceea ce iese, dar au puine informaii cu privire la ceea ce se ntmpl pe parcurs.
Aceast slbiciune poate fi exploatat de programe neautorizate ascunse n programele autorizate.
Ameninarea modificrilor neautorizate poate fi redus prin adoptarea de proceduri adecvate de control al
modificrilor, inclusiv controale eficiente de acces, activarea i revizuirea jurnalelor de operaii, precum i
o separare eficient a sarcinilor ntre actorii implicai n sistem.
n cazul tranzaciilor electronice, n care pista de audit (parcursul tranzaciilor) se reconstituie din
nregistrri stocate pe un calculator, auditorul trebuie s se asigure c datele privind tranzaciile sunt
pstrate un timp suficient i c au fost protejate fa de modificri neautorizate. Capacitatea limitat de
stocare a unor calculatoare poate restriciona cantitatea de date istorice aferente tranzaciilor care trebuie
pstrate. n aceste cazuri, auditorul trebuie s impun arhivarea regulat a evidenelor contabile i acestea
s fie pstrate ntr-un mediu sigur. Auditorul poate, de asemenea, s analizeze impactul posibil al regulilor
de arhivare a datelor organizaiei atunci cnd planific auditul.
Calculatoarele n reea au capacitatea de a stoca aplicaii financiare i fiiere de date pe orice
dispozitive de stocare din reea. Auditorul se poate afla n faa unui sistem care ruleaz o aplicaie
financiar pe un calculator i stocheaz fiierele cu tranzacii procesate pe un calculator din alt sal, din
alt cldire sau chiar din alt ar. Procesarea datelor distribuite complic evaluarea de ctre auditor a
controalelor de acces fizic i logic. Mediul de control poate fi foarte bun ntr-un anumit loc, dar foarte slab
n alt loc, iar eterogenitatea mediului informatizat crete riscul de audit.
Principiile referitoare la probele de audit nu se schimb datorit faptului c auditul se realizeaz ntr-un
mediu informatizat. nregistrrile din calculator furnizeaz auditorului o asigurare de audit. Auditorul
poate, de asemenea, s genereze probe de audit utiliznd tehnicile de audit asistat de calculator.
O problem deosebit de important generat de mediul informatizat o constituie admisibilitatea
nregistrrilor din calculator la o instan de judecat. Din studiul literaturii de specialitate, rezult c sunt
puine precedente care s ilustreze acest fapt. n cazurile n care probele informatice au fost depuse n
aciuni judectoreti, instanele au luat n considerare o expertiz cu privire la eficiena mediului de
control IT, nainte de a evalua fiabilitatea datelor informatice.
Auditorul va avea n vedere faptul c tranzaciile sau imaginile de documente provenind de la
calculator pot s nu fie admisibile ca probe n justiie dac nu se poate demonstra c exist controale
destul de puternice care s nlture dubiul rezonabil privind autenticitatea i integritatea datelor coninute
n sistem. n ceea ce privete tranzaciile electronice, aceste controale sunt deosebit de complexe.
Evaluarea sistemelor IT cuprinde trei pri:
A Colectarea informaiilor de fond privind sistemele IT ale entitii auditate permite auditorului
cunoaterea sistemelor IT hardware i software ale acesteia, precum i a nivelului resurselor umane
implicate n activiti IT. Informaiile privind dimensiunea, tipul i complexitatea tehnic a sistemelor
informatice permit auditorilor s evalueze dac este necesar sprijinul unui auditor IT specialist.
De asemenea, auditorul va identifica sistemele financiare n curs de dezvoltare, care necesit, n
continuare, implicarea acestuia n formularea de cerine privind unele faciliti de audit care s fie incluse
n noua versiune. Colectarea informaiilor de fond privind sistemele IT ale entitii auditate trebuie s fie
8

finalizat nainte ca auditorul s realizeze o evaluare a mediului de control IT sau a procedurilor de control
ale aplicaiei.
B Evaluarea mediului de control IT i evaluarea riscului entitii este utilizat pentru a evalua
controalele i procedurile care opereaz n cadrul mediului de control IT. Punctele slabe identificate n
mediul de control IT pot submina eficacitatea procedurilor de control n cadrul fiecrei aplicaii financiare.
C Evaluarea controalelor aplicaiei i evaluarea riscului zonei contabile: auditorul trebuie s efectueze
evaluarea controalelor aplicaiei i evaluarea riscului zonei contabile pentru a examina procedurile de
control, sistemele de control intern i riscurile de audit n cadrul fiecrei aplicaii financiar-contabile.

Comert Electronic
Comerul electronic vizeaz ansamblul schimburilor electronice legate de activitile comerciale
implicnd att relaiile inter-ntreprinderi ct i relaiile dintre ntreprinderi i consumatori, acoperind
schimburile de informaii, tranzaciile cu produse, echipamente, bunuri de consum curent i servicii de
informare, financiare i judiciare.
Dup cum evideniaz unele studii, consumatorii consider comerul electronic ca unul dintre cele
mai bune sisteme de vnzare datorit unor factori cum sunt: preul, timpul consacrat cumprturii i
surplusul de informaii, privind mai ales caracteristicile produselor i serviciilor de care se poate dispune.
Totodat acest sistem are ns i unele dezavantaje referitoare la: intervalul ntre comand i primirea
mrfurilor, securitatea plilor, posibilitatea de a aprecia calitatea produselor dar mai ales cu privire la
ncrederea n ce privete securitatea datelor personale, n timpul transferurilor, n cadrul tranzaciilor
electronice.
Ca urmare, firmele sunt tot mai preocupate de cunoaterea i diminuarea riscurilor i, implicit, de
eliminare a lipsei de ncredere a consumatorilor, asigurnd astfel tranzacii cu un grad mai mare de
securitate.
Incercarea de a defini comerul electronic nu ar avea un rezultat concret. Primele intenii de a definii
comerul electronic au fost fcute din nevoia de a legifera comerul electronic, cum ar fi de exemplu
definiia elaborat de Parlamentul European i publicat n Directiva 31/2000 a Comisiei Europene
cunoscute i sub numele de Directiva asupra comerului electronic. n afar de aceasta la ora actual
exist o multitudine de definiii ale comerului electronic:
cumprarea i vnzarea bunurilor i serviciilor pe Internet, n special cu ajutorul World Wide
Web-ului. n practica acesta i un nou termen e-business sunt adesea folosii ca sinonime. Pentru
vnzarea on-line cu amnuntul termenul e-tailing este folosit cteodat.
(www.whatis.com)
aplicarea integral a tehnologiei informaiilor i comunicaiilor la nceput i pn la finalul
ntregului lan de valori a procesului de afaceri ce are loc electronic i are ca scop obinerea de profit.
9

Aceste procese pot s fie pariale sau complete i de asemene pot s fie tranzacii business-to-consumer
sau business -to-business
(Wigand, 1997)
n definiia sa simpl comerul electronic este un mijloc electronic folosit pentru a face tranzacii de
afaceri Pe msura dezvoltrii tehnologiei i a folosirii Internetului pe scar larg, comerul electronic
a ajuns s se refere la o gam mai larg de mijloace de afaceri cum ar fi: e-mail, Web-situri
informaionale, cataloage on-line comenzi de bunuri i serviciu prin Internet, livrarea direct de produse
i alegerea caracteristicilor produsului

Cele mai rspndite forme de comer electronic sunt:

Business to Business o afacere vinde ctre alt afacere;

Business to Consumer o afacere vinde unui consumator;

Business to Government diverse firme liciteaz pentru programe guvernamentale;

Consumer to Consumer consumatorii vnd altor consumatori prin intermediul unor site-uri
de licitaii.
(www.wvebiz.com)
efectuarea de tranzacii financiare prin mijloace electronice. Odat cu creterea comerului n
cadrul Internetului, noiunea de comer electronic se refera la cumprarea din magazine on-line.
Comerul electronic poate fi: business to business (afacere la afacere) i business to consumer (afacere la
consumator).
(www.straight-on.com)
folosirea tehnologiei informaionale pentru a facilita vnzarea i cumprarea bunurilor i
serviciilor ntre partenerii de afaceri.
(Bathia,1999)
Avantaje ale comerului electronic
Tehnologia Internetului poate fi folosit pentru a transforma modul n care se desfoar afacerile. Ea
poate fi vzut ca un nou canal de desfacere, dar poate fi perceput i ca o nou infrastructur, asemenea
cilor ferate, oferind o gam infinit de oportuniti pentru noi iniiative.
a) Interactivitate. Dezvoltarea comunicrii n mas de-a lungul secolului a adus o contribuie foarte
important la modul n care informaia era transmis ntre oameni. naintea comunicrii n mas transferul
informaiei ntre oameni avea loc n cea mai mare parte prin intermediul tipriturilor i a comunicrii
directe de la om la om. Astfel s-a nscut mass-media. Interactivitatea a fost menionat ca una dintre cele
mai importante caracteristici care difereniaz Internetul de oricare alt mijloc mediatic.
10

b) Adaptarea n mas la client (Mass-customization). Interactivitatea Internetului are ca rezultat un

nivel mai mare de implicare din partea utilizatorului. Interactivitatea este un factor esenial pentru
adaptarea comunicrii la cerinele fiecrui client, s se produc la o scar foarte mare, aducnd astfel
costurile acestei adaptri la un nivel rezonabil.
c) Utilizatori cu iniiativ. La nceput, Internetul avea o structur democratic. Coninutul su a fost
format de ctre comunitile virtuale fie ele academice sau de alt natura i indivizi a cror scop principal
era schimbul de informaie.Faptul c utilizatorii Internetului, sunt mult mai activi i orientai spre
ndeplinirea scopurilor comparativ cu utilizatorii altor canale de comunicare, reprezint o caracteristic
important pentru agenii economici.
d) Marketing de atragere. Iniiativa utilizatorilor de Internet este un avantaj pentru firmele care tiu
cum s o foloseasc, dar poate fi de asemenea un handicap pentru celelalte. Acest lucru impune firmelor s
treac de la strategiile de mpingere a consumatorului (push strategies) la cele de (a)tragere a acestuia (pull
strategies). Marketeri trebuie s ofere consumatorului motive pentru a vizita site-ul lor i de a cumpra din
acesta, adic de a folosi strategii de atragere. n contrast cu acestea reclamele de la televizor, radio i ziare,
n general ncearc s influeneze decizia de cumprarea a unui produs sau serviciu cea ce se
materializeaz ntr-o strategie de mpingere a consumatorului spre a cumpra produsul respectiv. Un
consumator pe Internet nu poate fi forat s viziteze un site anume i nici nu va vizita un site mai mult de
dou ori dac acest nu i ofer destule motive pentru ai ctiga loialitatea.
e) Accesibilitate non stop. Spre diferen de canalele obijnuite mass-media, Internetul prin
disponibilitatea lui nonstop ofer o versatilitate mai mare n folosirea lui ca mediu de afaceri i
publicitate.Pentru produsele cu caracter informatic, cum ar fi de exemplu produsele software, Internetul
reprezint i un canal de distribuie (prin descrcarea lor de pe site-ul companiei) mondial.
f) Cerere mai mare de produse i servicii. Magazinele on-line pot i trebuie s fie deschise non stop,
n fiecare zi a sptmni. Un motiv major pentru ca oamenii s tranzacioneze n cadrul Internetului este
disponibilitatea foarte mare a acestuia, permind consumatorului i cumpere cnd i este lui mai prielnic.
La aceasta se adaug faptul c tranzacia se efectueaz ntr-un timp foarte scurt, iar urmtorul magazin online se afl la cteva cliku-ri distan. De asemenea disponibilitatea mare a Internetului face posibil i
oferirea de servicii post (consultanta tehnica) vnzare nonstop.
g) Acces global. Internetul este o structur care acoper ntreaga lume. La fel ca televiziunea i
radioul, rata penetrrii variaz n diferite zone de pe glob datorit diferentelor culturale, economice i
politice. n momentul actual, majoritatea accesului la Internet se face printr-o infrastructura deja existent,
cea telefonic.
h) Prezena pe piaa internaional. Aproximativ 240 milioane de oameni din toat lumea au acces la
World Wide Web (WWW). Indiferent de obiectul de activitate, nici o companie nu i poate permite s
ignore 240 milioane de oameni i poteniali clieni. Cu att mai mult nici o firm nu i poate permite s
abandoneze aceast pia n favoarea concurenei. Pentru a face parte din aceast comunitate i pentru a
arta c sunt interesai s-i oferii produsele i serviciile lor, companiile sunt obligate s i extind
afacerea pe Internet, n timp ce firme noi profit de acest avantaj pentru a sri peste anumii pai n
dezvoltarea afacerilor tradiionale, cum ar fi prezena nti pe piaa local i naional pentru a ajunge pe
cea internaional.
11

Utilizatorii Web-ului reprezint probabil cea mai extins pia demografic disponibil: studeni,
absolveni de liceu sau universitate, cei cu salarii mari sau cei care sunt pe punctul de a realiza venituri
mari. Astfel Internetul ofer clieni indiferent de produsul sau serviciul oferit.

Tipuri de tranzactii in comertul electronic

Industria comerului electronic face, n general, distincie ntre tranzaciile Business-to-Business (B2-B sau BTB), tranzaciile Business-to-Consumer (B-2-C sau BTC) i tranzaciile User-to-User:
B-2-B cuprinde toate tranzaciile ce se efectueaz ntre doi sau mai muli parteneri de afaceri. Aceste
tranzacii se bazeaz, de obicei, pe sisteme extranet, ceea ce nseamn c partenerii de afaceri acioneaz
pe Internet prin utilizarea de nume i parole pentru paginile de Web proprii. Acest tip de comer electronic
se mparte n 2 clase:
o Tipul (B2Bi) este cazul n care exist un contract de parteneriat ntre ntreprinderi, un
exemplu n acest sens fiind o aplicaie pentru un lan de desfacere;
o Tipul (B2M2B) este cazul unui e-MarketPlace care se interpune ntre cele dou afaceri,
deci existena unei piee electronice n care interacioneaz mai muli cumprtori i mai
muli furnizori.
B-2-C se refer la relaiile dintre comerciant i consumatorul final, fiind considerat comer electronic
cu amnuntul. Acesta se mparte n:
o User-to-Business (U2B) Este cazul general n care un utilizator (intern sau extern)
interacioneaz asupra datelor i tranzaciilor unei ntreprinderi. n caz particular se poate
aplica la o ntreprindere care ofer servicii sau bunuri care nu pot fi prezentate i vndute
prin catalog. Poate fi vzut ca acoperind toate interaciunile de tip User-to-Business care nu
sunt acoperite de modelul User-to-Online Buying.
o User-to-Online Buying (U2OB) Este folosit pentru a descrie un caz special (un subset al
modelului User-to-Business) n care bunuri sunt vndute printr-un catalog folosind un card
de cumprri, un portofel, etc. Acest model include ambele cazuri de consumatori: care
cumpr bunuri i care se aprovizioneaz de la un singur furnizor. Poate cuprinde legturi
cu sisteme de gestiune, de verificare de cri de credit, de livrare etc.
U-2-U descrie cazul colaborrii diferiilor utilizatori prin intermediul documentelor partajate, prin
intermediul e-mail, etc.
Comerul electronic a devenit parte integrant a cotidianului. El ocup un loc principal n mozaicul
afacerilor electronice din cadrul economiei digitale,o economie centrat pe dezvoltare ascendent a pieei
electronice ce constituie contextul virtual n care cumprtorii i vnztorii se descoper reciproc i
tranzacioneaz bunuri i servicii graie reelei Internet.
Fiind vorba de comer, fie el i electronic, automat se pune i problema proteciei consumatorului.
Asigurarea proteciei consumatorului n spaiul www, n care se produce actul de comer, presupune
existena a noi aspecte, deosebit de importante, n ceea ce privete securitatea i sigurana consumatorului.
12

Rmn, firesc, n actualitate aspectele clasice ale proteciei consumatorului n care se opereaz cu
caracteristicile fizico-chimice, calitate, termen de valabilitate, garanie, certificare etc. ns devin prioritare
aspectele ce decurg din particularitile cyberspace-ului care este mediul de dezvoltare al afacerilor
electronice. Numitorul comun al acestor probleme este securitatea datelor care i privete n egal msur
pe toi actorii implicai pe piaa electronic: cumprtori, vnztori, bnci, societi de curierat marf i
ali participani.

Auditul aplicatiilor in comertul electronic, protectia consumatorului

Securitatea datelor, o problem global
De la primul clic de conectare la reeaua Internet ne pndesc ameninrile la adresa securitii datelor.
Se poate ntmpla ca pagubele datorate breelor de securitate s fie cu mult mai mari dect cele ocazionate
de cumprarea unui produs care nu corespunde normelor de
protecie clasice ale consumatorului. Sunt expui att cumprtorii ct i vnztorii, pentru c viruii,
ca s lum un exemplu la ndemn, nu fac deosebire ntre victime. Rezolvnd problemele de securitate
n reeaua vnztorului sau a sistemului bancar, asigurm implicit i securitatea informaional, l
protejm i pe cumprtorul individual. Securitatea informaiilor aduce n discuie aspecte noi care
afecteaz relaiile de afaceri n mediul web. Este vorba despre confidenialitate, integritate i
disponibilitate, elemente foarte importante pentru meninerea competitivitii, profitabilitii, a legalitii
i imaginii firmei n economia digital. Confidenialitatea trebuie neleas n sensul asigurrii accesului
la informaii numai pentru persoanele autorizate. Integritatea nseamn asigurarea corectitudinii i
completitudinii procesului de prelucrare electronic a datelor i ale schimbului electronic de date.
Disponibilitatea se refer la faptul c informaia trebuie s poat fi accesat de utilizatorii autorizai
oricnd acetia solicit acest acces, n conformitate cu permisiunile i restriciile stabilite de proprietarul
datelor. Este esenial ca iniiatorul unei afaceri de tip comer electronic s-i asigure n cadrul sistemului
su informatic standardele de calitate privind securitatea datelor, ca o premis a securitii tuturor
partenerilor si de afaceri.
Riscuri i vulnerabiliti
Certificarea standardelor de securitate revine ca sarcin auditului comerului electronic, respectiv al
sistemelor informatice suport. Comerul electronic are cteva considerente distincte fa de cele ce sunt
specifice auditului sistemelor informatice. Sistemele informatice sunt sisteme de tip back office, n
vreme ce sistemele pentru comer electronic sunt sisteme de tip front-end, prin care se intr n contact
direct cu utilizatorul, cu clientul. De aceea, auditul pentru sistemele de comer electronic trebuie centrat pe
control, acces, securitate i n special pe disponibilitate. Riscurile i ameninrile care exploateaz
vulnerabilitile sistemelor deschise de comer electronic vin din partea viruilor, a hackerilor i
crackerilor i altor persoane care iniiaz atacuri distructive ce au ca scop compromiterea, blocarea i chiar
prbuirea sistemelor hardware i software ce asigur suportul tehnic al site-urilor de comer electronic.
Tipologia atacurilor este divers, de la atacuri locale sau de la distan, la atacuri pasive care se limiteaz
13

doar la vizualizarea datelor, sau atacuri active care urmresc furtul i/sau distrugerea datelor. Sunt
cunoscute cazurile de furturi ale datelor din cri de credit i neplata produselor, sau plata fr livrarea
produselor, sau livrarea unor cu totul alte produse dect cele ateptate, fr a mai gsi firma furnizoare, ca
s nu mai vorbim de extra-taxe de livrare, lipsa garaniilor i a serviciilor postvnzare. Este bine s facem
diferena ntre cele dou categorii de atacatori intenionai: hackerii i crackerii. Hackerii sunt grupuri de
indivizi care caut i speculeaz vulnerabilitile unor situri, ale unor reele importante i, dac le gsesc,
comunic aceste slbiciuni proprietarilor. Crackerii n schimb ncearc fraudarea software-ului, a siteurilor i chiar distrugerea acestora.
Fa de aceste ameninri i surse de risc trebuie luate msuri care se includ n politica de securitate a
firmei.
Arii de probleme
Auditul sistemelor de comer electronic are n atenia sa urmtoarea arie de probleme conexe cu
managementul riscurilor privind securitatea datelor:
autentificarea i accesul neautorizat;
firewall;
sisteme de monitorizare audit trail;
criptarea datelor;
gestiunea sigur a tranzaciilor;
rspunsurile provocate;
protecia mpotriva viruilor;
controlul non-repudierilor;
controlul blocrilor i a disponibilitii sistemului.
Principalele caracteristici ale acestor arii de probleme sunt:
a) Autentificarea i accesul neautorizat urmresc s se asigure printr-un sistem de control adecvat,
printr-o politic de parole corect, accesul numai pentru persoanele care au acest drept. Dreptul de acces
se poate dovedi apelnd la una din cile de baz utilizate de obicei n securitate probnd cu: ceva ce ai,
ceva ce tii, ceva ce eti. De exemplu, un smart-card folosete pentru a proba cu ,,ceea ce ai, un PIN sau
un password folosete pentru a proba cu ,,ceva ce tii, iar un element, o amprent biometric probeaz
,,cine eti.
b) Firewall-ul reprezint un produs software, dar poate fi i un dispozitiv hardware care se interpune
ntre reeaua proprie i Internet pentru a inhiba activitile neautorizate ale unor utilizatori externi.
c) Sistemele de monitorizare cuprind acele tehnologii prin care are loc detectarea intruderilor,
monitorizarea traficului de tranzacii i meninerea urmelor acestora, aa numitelor audit- trail, inclusiv
evidena scris, pasiv, a evenimentelor i mesajelor, log-onurile. Detectarea intruderilor i vizeaz direct
pe hackeri i crackeri. Monitorizarea traficului n reea ne furnizeaz informaii pentru a preveni i
14

sanciona activitile maliioase de tip DoS Denial of Sservice, dar i pentru a preveni efectele unor
tehnici infracionale de tip: snooping, spoofing i fishing Snoopingul se refer la tehnica de interceptare i
modificare a mesajelor. Spoofingul nseamnn expedierea de mesaje false iar fishingul, care s-a extins
periculos n ultima vreme, ncearc s intre n posesia datelor personale ale userilor sub acoperirea unor
pcleli hoax-uri, de genul ctiguri fabuloase la loterii fantom, angajare parttime ca brockeri
financiari, actualizri ale sitului bncii aflat n reconstrucie.
d) Criptarea datelor este un instrument puternic i eficient pentru sporirea securitii datelor. Sistemele
de comer electronic care integreaz i pli on-line, sistem agreat de un numr din ce n ce mai mare de
bnci, aplic sisteme de criptare performante. S-a detaat n ultima vreme tehnologia de criptare cu chei
publice. Expeditorul i cripteaz mesajul cu cheia sa privat, eliberat de o instituie autorizat la nivel
guvernamental. Destinatarul poate decripta mesajul cu ajutorul unei chei publice pe care o tie de la
expeditor. Cheia public nu va putea fi folosit niciodat pentru criptarea unui mesaj, deci destinatarul sau
oricine altcineva nu se poate substitui expeditorului. Infrastructura de criptare cu chei publice se utilizeaz
n conjuncie cu protocolul securizat de
comunicare n spaiul web, SSL Secure Socket Layer.
e) Gestiunea sigur a tranzaciilor se poate realiza cu puine cheltuieli suplimentare utiliznd o legtur
la Internet de tip VPN Virtual Private Network, care folosete tehnologii laborioase pentru criptarea
datelor, sporind considerabil ansele de detectare a atacurilor.
f) Rspunsurile provocate au n vedere prevenirea expunerii involuntar a informaiilor delicate,
information disclosure, cum este prezentat n multe lucrri de specialitate. Este vorba de informaii
confideniale sau informaii secrete. Asta nseamn o bun cunoatere a clasificrii informaiilor i
instruirea temeinic a personalului cu privire la drepturile de acces la aceste informaii n concordan cu
politica de securitate a firmei.
g) Protecia mpotriva viruilor este o problem la ordinea zilei i auditul trebuie s verifice respectarea
procedurilor de instalare, liceniere a software-ului antivirus, de actualizare a bazei de semnturi, scanarea
sistemului i raportarea i soluionarea a incidentelor.
h) Controlul non-repudierilor are n vedere consemnarea i raportarea incidentelor legate de
recunoaterea legal a semnturii electronice. Ansamblul persoan - cheie public - cheie privat
garanteaz non repudierea, adic semnatarul documentului nu poate s resping faptul c acel document a
fost semnat electronic de el nsui. Dar datorit unor incidente de securitate pot aprea i astfel de situaii
ce trebuie monitorizate i rezolvate cu atenie.
i) Controlul blocrilor i al disponibilitii sistemului este o condiie obligatorie pentru asigurarea
continuitii afacerii. Blocarea sitului de comer electronic aduce un grav prejudiciu de imagine i
afecteaz gradul de ncredere al clienilor. Este echivalentul unui dezastru i poate de aceea se cere
verificarea existenei unui plan de recuperare n caz de dezastre DRP Disaster Recovery Plan. Acest plan
15

trebuie s conin o documentaie i procedurile de recuperare tehnic care s asigure reluarea rapid a
activitii de baz. Auditul trebuie s controleze i existena unor copii recente i funcionale ale site-ului,
a bazelor de date, a programelor, chiar a unei echipe de rezerv i a consumabilelor de rezerv. Auditul
sistemelor de comer electronic trebuie s mai certifice un lucru foarte important pentru clieni, anume
autenticitatea informaiilor, calitatea i bonitatea vnztorilor. Cumprtorul este, n primul rnd, un
consumator de informaii i servicii Internet i, de aceea, ntr-un fel este ndreptit s i se asigure garania
credibilitii informaiilor pe care le acceseaz, pentru a-i ntri ncrederea n competena i bunele intenii
ale furnizorilor de servicii Internet. Am reunit acest cumul de atribute sub denumirea de bonitate a
furnizorului de servicii Internet. S recunoatem c este o problem complex a crei rezolvare se leag
de crearea unui cadru normativ- legislativ adecvat. Acest cadru se contureaz acum mai clar i pentru noi
prin legea 365/2002 privind comerul electronic, legea semnturii digitale, implementarea standardului
pentru managementul calitii ISO 9001/2000 i standardului pentru managementul securitii datelor SR
ISO/CEI 17799:2000.
Concluzii
Extinderea certificrii implementrii standardelor de calitate pentru sistemele de comer electronic este
o cale de a veni n sprijinul consumatorilor, care se prezint ca o mas amorf atomizat prea puin
protejat. Aceti consumatori se afl ntr-un raport de fore i resurse disproporionat fa de vnztori, iar
la acest dezavantaj se adaug i slaba informare i de ce nu i lipsa unei culturi Internet solide a acestora.
Ei nu dispun de mijloace tehnice proprii, performante de evaluare a vnztorilor, precum i a produselor i
serviciilor oferite de vnztori n spaiul www. n consecin nu ne putem prevala de faptul c numai
consumatorul decide pe piaa electronic i deci el i asum integral riscul deciziei. El trebuie ajutat
pentru diminuarea riscurilor generate de decizia de cumprare. Internetul este un uria mall free n care,
foarte uor, i vnztorul i consumatorul pot fi prejudiciai. De aceea sunt necesare eforturile de audit
pentru a-i sprijini pe toi actorii online de pe acest tip de pia, nu numai pentru a preveni i diminua
riscurile la care sunt expui, dar i pentru a putea dobndi dovezi de calitate opozabile privind serviciile
Internet, cu care s-ar putea dovedi daunele, disfuncionalitile i legturile de cauzalitate din spaiul web
care au condus la aceste pagube, pentru eventuala despgubire a celor prejudiciai. Auditul sistemelor de
comer electronic trebuie s asigure toate aceste cerine care n sistemul comerului clasic sunt bine
statuate de autoritile de protecie a consumatorilor. Protejndu-se pe ei, vnztorii, furnizorii de servicii
Internet, asigur i protecia clienilor a utilizatorilor anonimi ai acestor servicii, cel puin din punctul de
vedere al securitii datelor i continuitii afacerilor.

16

Bibliografie
1.Dinu, Vasile. Standardizarea i certificarea produselor i serviciilor. Editura ASE, Bucureti, 2006
2.Dinu, Vasile. Protecia drepturilor i intereselor consumatorilor. Editura Alpha, Buzu, 2001
3. M.P. Cangemi, T. Singleton. Managing the audit function, third edition, John Wiley&Sons, New Jersay.
2003
4. Traian Surcel. Auditul i managementul sistemelor informatice, Proceedings of the 2006 International
Conference on Commerce, Bucureti, 2006
5. Traian, Surcel, Marian, Stoica. Reasearch Areas in Data Warehouse Systems Audit, n Revista
Economy Informatics vol V, nr. 1-4/2005, pag. 15
6. T. Surcel, P. Pocatilu, Realizarea aplicaiilor de comer electronic, Revista de Informatic Economic,
vol IX, nr 3 (35)/2005, pag 22
7. www.pcwebopedia.com
8. www.isaca.org
9. xxx Legea nr. 365/2002 privind comerul electronic, Monitorul Oficial, Partea I, nr. 483/5 iulie 2002
Anexe
10. Traian Surcel, Vasile Dinu. Auditul comertului electronic in relatie cu protectia consumatorilor
11. Vasile Adrian Aldea, Comertul Electronic- Lucrare Licenta
12.Editura Bucuresti, Ghidul de audit al sistemelor informatice

17