Sunteți pe pagina 1din 30

Audit financiar contabil

Disciplina: AUDITAREA SISTEMELOR INFORMATICE FINANCIAR

CONTABILE

OBIECTIVE
Cursul si propune sa asigure masteranzilor cunostintele necesare cu privire la
auditarea sistemelor informatice folosite de organismele economice pentru gestionarea
si controlul resurselor si activitatilor desf 424g68e 59;surate. Nu si propune sa le ofere
cunostinte tehnice despre calculatoare si sisteme informatice, ci sa le prezinte cele mai
semnificative moduri n care a fost afectata activitatea de audit de aparitia sistemelor
electronice de calcul si de utilizarea acestora de catre organismele economice.
CONTEXT GENERAL
O discutie despre auditarea sistemelor informatice economice trebuie sa nceapa
cu definirea Sistemului Informatic Economic: Sistemul Informatic (SI) de evidenta a
activitatilor si bunurilor unui Organism Economic (OE). Sistemul informatic economic
prelucreaza automat datele vehiculate n cadrul oricarui tip de organism economic.
Auditarea sistemelor informatice economice consta n verificarea sicontrolul
activitatilor sistemelor informatice economice. Sistemul informatic economic fiind un
caz particular de sistem informatic, tehnicile si mecanismele de auditare a sistemelor
informatice sunt valabile si pentru sistemele informatice economice. De aceea, se va
discuta numai despre auditarea sistemelor informatice, ca fiind mai cuprinzatoare.
Dezvoltarea rapida a sistemelor de prelucrare automata a datelor, determinata de aparitia si evolutia
tehnicii de calcul si a software-ului specializat, a avut un impact foarte mare asupra modului de
evidenta si control al activitatilor desf 424g68e 59;surate de organismele economice. Evolutia
tehnologica a microcalculatoarelor de tip PC, din ce n ce mai performante si mai ieftine, accesibile
tuturor, a condus la dezvoltarea rapida a aplicatiilor software dedicate (programe de contabilitate, de
salarii, de evidenta a mijloacelor fixe, de secretariat etc.), utilizabile de nespecialisti n informatica si,
implicit, la utilizarea, pe scara larga, a sistemelor informatice bazate pe mediu PC. Astazi, si cele mai
mici firme si pot permite sa foloseasca, ntr-un fel sau altul, un calculator pentru evidenta resurselor
utilizate (materiale, umane, financiare, informationale) si a activitatilor desf 424g68e 59;surate n
vederea executarii de produse sau servicii pe care le ofera clientilor cu scopul realizarii de profit. n
aceste conditii, sistemele clasice de evidenta si de prelucrare a datelor (manual sau mecanic) sunt
nlocuite, treptat, cu sisteme informatice. si, deoarece raportarile financiare periodice sunt solicitate,
obligatoriu, si n format electronic (pe FloppyDisk sau prin e-mail), chiar si organismele economice cu
activitate foarte redusa (firmele foarte mici) trebuie sa utilizeze o forma de sistem informatic, pentru
generarea acestora, sau sa apeleze la serviciile unui centru de calcul.

Sistemele informatice prelucreaza datele introduse n sistem (intrarile) conform


unor algoritmi prestabiliti, determinati de regulile de functionare si organizatorice
proprii fiecarui organism economic, precum si n conformitate cu reglementarile si
legislatia n vigoare. Pentru a controla daca rezultatele prelucrarilor efectuate n
interiorul sistemului informatic utilizat respecta conditiile prestabilite si iesirile furnizate
de acesta sunt cele solicitate de manageri, un organism economic, indiferent de
volumul sau de activitate, trebuie sa foloseasca o forma de audit al sistemelor
informatice.

Trebuie facuta distinctie ntre auditul activitatilor economice desfasurate n cadrul


unui organism economic si auditul sistemului informatic utilizat de organismul
economic respectiv, pentru evidenta activitatilor desf 424g68e 59;surate si a bunurilor
sale.
Auditul activitatilor economice desfasurate de un organism economicurmareste:
- evidentierea tuturor activitatilor economice desfasurate, prin nregistrarea corecta a
acestora, pe documente de evidenta si control - suport de hrtie sau format
electronic;
- efectuarea prelucrarilor asupra datelor rezultate din activitatile economice
desfasurate, n conformitate cu regulile de gestiune interna ale acestuia, cu normele,
reglementarile si legislatia n vigoare;
- generarea tuturor rapoartelor si situatiilor necesare factorilor de conducere
(managerilor) pentru a lua cele mai bune decizii;
- determinarea valorii taxelor si impozitelor care trebuie platite, conform legislatiei n
vigoare;
- ntocmirea corecta a declaratiilor financiare, n conformitate cu legislatia n vigoare.
Auditul activitatilor sistemului informatic, utilizat de un organism economic n desfasurarea activitatilor sale
economice, urmareste;

- asigurarea corectitudinii, completitudinii si preciziei datelor introduse n sistem,


deoarece afecteaza rezultatele prelucrarilor efectuate de acesta;
- asigurarea corectitudinii prelucrarilor efectuate asupra datelor introduse n sistem, n
sensul ca rezultatele acestora respecta regulile de gestiune specifice organismului
economic respectiv si legislatia n vigoare;
- asigurarea corectitudinii si integritatii iesirilor sistemului, n sensul ca acestea sunt
cele solicitate de managerii organismului economic respectiv si de organismele de
control financiar;
- asigurarea corectitudinii procedurilor de control (controalelor) folosite pentru
auditarea sistemului informatic respectiv.
Utilizarea sistemelor informatice n desfasurarea activitatilor lor economice
si/sau pentru evidenta si controlul acestora ofera organismelor economice att
avantaje, ct si dezavantaje. Principalele avantaje oferite de utilizarea sistemelor
informatice de catre organismele economice sunt:
- mbunatatirea preciziei rezultatelor prelucrarilor, prin eliminarea erorilor umane care
pot aparea ntr-un sistem manual de prelucrare si prin procesarea uniforma a
datelor, pe masura aparitiei acestora;

- cresterea vitezei de procesare, prin prelucrarea automata a datelor si eliminarea


timpilor de prelucrare manuala a acestora, oferind utilizatorilor informatiile solicitate,
n momentul cnd acestia au nevoie de ele;
- eliminarea fortei de munca implicate n prelucrarea manuala a datelor, prin
prelucrarea automata a acestora, folosind calculatorul;
- sporirea volumului de informatii oferite utilizatorilor ntr-un interval dat de timp, prin
cresterea volumului de date prelucrat pe unitatea de timp determinata de
prelucrarea automata a acestora;
- sporirea diversitatii si complexitatii informatiilor oferite utilizatorilor, prin prelucrarea
automata a datelor si folosirea caracteristicilor grafice ale echipamentelor si
programelor disponibile.
Principalele dezavantaje oferite organismelor economice de utilizarea sistemelor
informatice n desfasurarea activitatilor lor, economice sau neeconomice (stiintifice, de
proiectare etc.), se numara:
- posibilitatea aparitiei unor defecte hardware, care pot determina pierderea datelor
si, implicit, imposibilitatea de obtinere, n timp util, a informatiilor bazate pe
rezultatele prelucrarii lor; pentru diminuarea efectelor produse de defectele tehnice,
fabricantii integreaza n echipamente protectii speciale;
- posibilitatea aparitiei unor erori software, la nivelul programelor de aplicatie, care
pot conduce la rezultate incorecte, neobservate de catre utilizator, deoarece acesta
nu are control direct asupra prelucrarii datelor; pentru depistarea si eliminarea
acestui tip de erori, proiectantii integreaza n programele de aplicatie protectii
speciale;
- posibilitatea virusarii programelor utilizate (software de sistem sau pentru
dezvoltarea de aplicatii sau de utilizator), care poate determina pierderea sau
alterarea datelor si/sau programelor, conducnd astfel la imposibilitatea utilizarii lor;
pentru eliminarea efectelor determinate de virusi se utilizeaza pachete de programe
(software) antivirus, puse pe piata de producatori software specializati
(Norton AntiVirus, MCAfee etc.);
- posibilitatea de aparitie a unor erori de manipulare a datelor si/sau a
programelor, care poate determina pierderea si/sau alterarea acestora, nsotita de
prelucrari gresite, si, implicit, rezultate incorecte care pot trece neobservate att de
catre operator, ct si de catre utilizator, deoarece acestia nu au un control direct
asupra prelucrarilor efectuate; pentru reducerea efectelor produse de neglijenta sau
neatentia n manipularea datelor si/sau programelor se impun masuri adecvate de
siguranta.
Prin urmare, capacitatile de prelucrare si precizia calculatorului nu asigura
corectitudinea rezultatelor unui sistem informatic. Pentru verificarea rezultatelor
prelucrarilor, la nivel de operator sau utilizator, sunt necesare tehnici si mecanisme

speciale de audit, asistate sau nu de calculator, integrate sau nu n componentele


sistemului de prelucrare automata a datelor utilizat.
Avantajele economice si informationale oferite de utilizarea sistemelor informatice
n desfasurarea activitatilor lor sunt mult mai importante pentru organismele
economice dect dezavantajele utilizarii acestor sisteme, motiv pentru care acestea
prefera sa le foloseasca si sa ia toate masurile impuse de necesitatea eliminarii,
reducerii sau compensarii efectelor dezavantajelor respective. Prin urmare, n conditiile
n care organismele economice folosesc n activitatea lor sisteme electronice de calcul,
economistii trebuie sa fie pregatiti sa lucreze ntr-un mediu aflat ntr-o continua
schimbare, n care prelucrarile, evidentele si controlul se fac folosind de la sisteme
informatice simple, formate dintr-un singur sistem PC (calculator personal pe care sunt
instalate programele necesare si imprimanta), pna la sisteme informatice complexe,
care includ retele de PC-uri si echipamente periferice interconectate (intranet, internet,
telecomunicatii etc.). Pentru a fi competitivi, ei trebuie sa si mbogateasca cunostintele
cu informatii despre sistemele informatice folosite n mediul economic si despre
auditarea acestora.
CONTROLUL INTERN NTR-UN SISTEM INFORMATIC
Auditarea (auditul) unui sistem informatic consta, n principal, n efectuarea controlului intern n sistemul
informatic respectiv pentru verificarea corectitudinii rezultatelor prelucrarilor realizate n interiorul sau si a
distribuirii acestora numai catre utilizatorii autorizati, n cazul n care distribuirea se face automat folosind
sisteme de calcul.

Pentru efectuarea controlului intern ntr-un sistem informatic se folosesc masuri,


metode si tehnici de verificare a corectitudinii rezultatelor prelucrarilor realizate n
interiorul sau, cunoscute, n literatura de specialitate, sub denumirea
de controale. Altfel spus, controlul intern ntr-un sistem informatic se realizeaza cu
ajutorul controalelor.
Utilizarea unui sistem automat de prelucrare a datelor nu diminueaza importanta
controlului intern realizat n vederea asigurarii corectitudinii rezultatelor prelucrarilor
efectuate n interiorul acestuia. Aparitia si utilizarea sistemelor informatice determina
nsa folosirea unor masuri si metode de control specifice, care se adauga metodelor
traditionale de auditare a sistemelor manuale si/sau mecanice de prelucrare a datelor,
deoarece posibilitatea de folosire a unui singur calculator pentru efectuarea tuturor
operatiunilor corelate din cadrul unui organism economic impune utilizarea
unor controale specifice pentru asigurarea protectiei datelor la pierderi sau alterari si
pentru depistarea prelucrarilor eronate, efectuate n interiorul calculatorului. Exemplu:
realizarea statului de salarii folosind calculatorul face posibila rezolvarea tuturor
problemelor legate de evidenta personalului prin adaugarea datelor de evidenta
respective la nregistrarea aferenta fiecarui angajat; n acest caz, fisierul de personal
cuprinde nu numai datele necesare realizarii statului de salarii (salariul de ncadrare,
vechimea n munca, sporuri, obligatii catre bugetul asigurarilor sociale de stat - CAS,
somaj, sanatate, impozit etc.), ci si date legate de pontaj (prezenta, concedii de odihna,
concedii medicale), de distributia costurilor salariale pe compartimente, de studii, de
locul de munca si functia ocupata etc.; pentru protectia datelor de salarizare si
evidenta personal mpotriva pierderilor voite sau accidentale si/sau modificarilor
neautorizate, accesul n sistemul automat de evidenta si prelucrare a acestor date este

controlat, prin parola si nivel de acces, forma de control specifica sistemelor automate
de prelucrare a datelor.
n literatura de specialitate, controalele sistemelor informatice sunt clasificate
n controale generale si controale de aplicatie.
Controalele generale sunt masuri de protectie a echipamentelor, datelor si
programelor care privesc toate componentele unui sistem informatic (hardware si
software) si pot fi de urmatoarele tipuri:
- controale organizatorice: masuri organizatorice folosite pentru protectia la fraude,
neatentie si/sau neglijenta;
- documentatie de sistem, folosita pentru verificarea functionarii sistemului, n
conformitate cu cerintele utilizatorului, specificate n proiectul de executie;
- controale hardware (controale de echipament): masuri de protectie la defectiunile
tehnice;
- controale de siguranta (echipamente si fisiere): masuri de protectie la pierdere,
distrugere sau alterare, la accesul neautorizat sau la calamitati (apa, foc etc.).
Controalele de aplicatie sunt tehnici de control specifice, integrate n software-ul
de aplicatie (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea
si protectia datelor stocate n sistemul respectiv si a rezultatelor prelucrarilor efectuate
asupra acestor date. Se proiecteaza si se realizeaza o data cu fiecare sistem informatic.
Principalele tipuri de controale de aplicatie sunt:
- controale de intrare: masuri de asigurare a corectitudinii intrarilor sistemului;
- controale de prelucrare: masuri de asigurare a corectitudinii prelucrarilor efectuate n
interiorul sistemului;
- controale de iesire: masuri de asigurare a corectitudinii iesirilor sistemului.
Majoritatea erorilor identificate n rezultatele finale ale prelucrarilor efectuate de
sistemele informatice provin din software-ul de aplicatie (de utilizator) folosit sau din
introducerea eronata a datelor. Din acest motiv, controalele de aplicatie joaca un rol
major n asigurarea unui control intern eficient n sistemul informatic.
Controale organizatorice n sistemul informatic
Controalele organizatorice sunt metode si tehnici de organizare a activitatilor desf 424g68e 59;surate de
organismele economice, folosite pentru prevenirea pierderilor si/sau alterarilor de date determinate de
frauda, neatentie si/sau neglijenta, n vederea asigurarii unui control intern eficient n sistemele de
prelucrare a datelor utilizate de acestea. Principalele tipuri de controale organizatorice sunt:

definirea clara a functiilor, urmata de definirea si separarea clara a sarcinilor


angajatilor pentru fiecare functie;

rotatia angajatilor pe functii si vacante obligatorii;


selectia angajatilor care au acces la echipamentele si programele sistemului
informatic si acordarea unui spor de fidelitate.
Definirea clara a functiilor, urmata de definirea si separarea clara a sarcinilor si
responsabilitatilor (raspunderilor) angajatilor pentru fiecare functie, joaca rolul-cheie n
asigurarea controlului oricarui tip de sistem de prelucrare si evidenta a datelor
(manual, mecanic, semiautomat sau automat), deoarece protejeaza organismul
economic mpotriva pierderilor de date, care conduc la alterarea rezultatelor
prelucrarilor. Pentru asigurarea unui control intern puternic ntr-un sistem de prelucrare
si evidenta a datelor (manual, mecanic, semiautomat sau automat) din cadrul unui
organism economic, nici un angajat nu trebuie sa aiba sarcina si raspunderea completa
pentru efectuarea unei activitati; operatia executata de o persoana trebuie verificata
de o alta persoana, care ndeplineste o alta sarcina, vizavi de activitatea respectiva.
Separarea sarcinilor ntre angajati diferiti asigura corectitudinea nregistrarilor de date
(pe hrtie sau suport magnetic) si a rapoartelor, protejnd totodata organismul
economic respectiv mpotriva pierderilor de date determinate de fraude sau neglijente.
Schimbarile produse de utilizarea unui sistem automat de prelucrare a datelor n
organizarea activitatilor desf 424g68e 59;surate de un organism economic trebuie sa
urmareasca att folosirea eficienta a echipamentelor si programelor componente ale
sistemului informatic, ct si asigurarea unui control intern puternic n cadrul acestuia.
Trecerea de la prelucrarea manuala sau mecanica a datelor la prelucrarea
automata a acestora permite unificarea activitatilor si integrarea functiilor dintr-un
domeniu de activitate, deoarece un singur calculator poate executa, cu usurinta, toate
operatiile corelate din cadrul unui organism economic. Acest lucru este posibil, fara
slabirea controlului intern, pentru ca un calculator programat corect nu are posibilitatea
sau interesul sa ascunda erorile si de aceea poate efectua orice combinatie de functii
considerata incompatibila de un control intern puternic ntr-un sistem traditional de
prelucrare a datelor (manual sau mecanic). innd cont si de faptul ca ntr-un
calculator programele si datele se pot modifica fara a putea fi observat acest lucru, se
impune folosirea unor controale organizatorice compensatoare pentru asigurarea
sigurantei programelor si a datelor n vederea obtinerii unor rezultate corecte ale
prelucrarilor efectuate n interiorul sistemului informatic. De exemplu, ntr-un sistem
manual de prelucrare a datelor, functia de nregistrare a platilor, n numerar, este
incompatibila cu functia de verificare a extraselor de cont, deoarece cea de-a doua
serveste ca metoda de verificare pentru prima, atribuirea ambelor sarcini aceluiasi
functionar permitnd acestuia sa ascunda erorile. Daca cele doua functii, de
nregistrare a platilor si de verificare a extraselor de cont, sunt efectuate de un
calculator, ele devin compatibile, deoarece calculatorul, programat corect, nu ascunde
erorile. Dar, un programator poate modifica programul astfel nct sa fie nregistrata o
plata fara baza reala, motiv pentru care acesta nu trebuie sa ndeplineasca si functia
de nregistrare a platilor.
Pentru folosirea eficienta a fiecarui calculator din dotare, organismele economice
combina si concentreaza functiile de prelucrare a datelor la nivelul unui compartiment
specializat, numit departament de informatica sau centru de calcul sau centru

deprelucrare automata a datelor. Daca functiile combinate si/sau concentrate la nivelul


departamentului de informatica sunt considerate incompatibile din punctul de vedere
al unui control intern puternic, se realizeaza controale organizatorice compensatoare la
nivelul planului de organizare al departamentului informatic respectiv, deoarece ntr-un
sistem informatic programele si datele pot fi schimbate, fara a se observa modificarea
lor. Planul de organizare al departamentului informatic trebuie astfel conceput nct sa
previna interventia neautorizata a factorului uman n procesul de prelucrare automata
a datelor, sa previna accesul neautorizat al personalului la echipamentele, programele
sau datele sistemului informatic. Acest lucru poate fi realizat prin definirea clara a
functiilor n departament si prin definirea si separarea clara a sarcinilor angajatilor
pentru fiecare functie. De exemplu, un program utilizat sa faca plati poate fi proiectat
sa aprobe plata unui furnizor de materiale sau servicii numai daca factura de plata a
fost emisa pe baza unei comenzi si daca exista o nota de receptie. Dar un angajat care
are dreptul sa faca modificari n programul de aplicatie poate efectua plati, fara baza
reala, catre anumiti furnizori, daca planul de organizare al departamentului informatic
respectiv i permite sa faca si plati.
Structura organizatorica a fiecarui organism economic si numarul angajatilor de
specialitate disponibili determina gradul de separare a sarcinilor legate de proiectarea
si/sau realizarea si exploatarea unui sistem informatic. Ca un minim necesar, functia de
programator, care necesita cunostinte detaliate despre programul de aplicatie folosit,
trebuie separata de functia de operator, care detine controlul intrarilor n programul
respectiv. Daca structura organizatorica a unui organism economic, care foloseste
pentru evidenta si controlul activitatilor sale un sistem informatic, permite unui angajat
sa realizeze att sarcini de programator, ct si de operator, se slabeste controlul intern,
existnd permanent posibilitatea de frauda. Separarea activitatii de exploatare de cea
de programare este foarte importanta din punct de vedere al asigurarii unui control
intern eficient, deoarece un angajat care realizeaza ambele functii poate face
schimbari neautorizate n programul sistemului informatic, producnd fraude.
Istoria fraudelor computerizate arata ca, de cele mai multe ori, persoanele implicate au
intervenit n sistemul informatic, ca programator si operator, controlnd folosirea lui.
De exemplu, daca programatorul care a scris programul de identificare si listare a
tuturor conturilor clientilor ce extrag sume de bani mai mari dect limitele admise are
acces la sistemul informatic al bancii ca operator, el poate modifica programul astfel
nct depasirea limitei de extragere admisa sa fie ignorata, n cazul propriului sau cont.
Programatorul operator poate astfel extrage sume de bani din contul sau, fara ca
sistemul informatic utilizat sa semnaleze administratorului acest lucru. Frauda nu poate
fi descoperita pna cnd programul nu este revizuit de un alt programator sau pna
cnd calculatorul nu se defecteaza si lista conturilor cu depasiri de limita trebuie
pregatita manual.
Daca structura organizatorica a unui organism economic permite accesul
personalului de exploatare a sistemului informatic la activele organismului
economic respectiv, se slabeste, n mod serios, controlul intern, n cazul n care nu sunt
implementate masuri de control (controale organizationale) compensatorii. De
exemplu, daca acelasi angajat tine att evidenta activelor unui organism economic
folosind un sistem informatic, ct si pastrarea (gestiunea) fizica a acestora, prin
combinarea responsabilitatilor corespunzatoare celor doua sarcini se creeaza
posibilitatea ca angajatul respectiv sa ascunda sustragerea de active (bani, marfa etc.).
De aceea, organismele economice care folosesc sisteme informatice pentru evidenta

computerizata a activelor trebuie sa limiteze, pe ct posibil, accesul personalului de


exploatare la activele respective. Totusi, personalul de exploatare al unui sistem
informatic poate avea:
- acces direct la active; exemplu: daca sistemul informatic este folosit pentru tiparirea cecurilor (acces
direct la sume de bani);
- acces indirect la active; exemplu: daca sistemul informatic este folosit pentru a genera ordine de livrare
cu autorizarea de eliberare a marfii (acces direct la marfa de livrare).

Ca masura de control compensatorie se pot folosi documente si totaluri pe loturi,


lista cu numarul de documente si totalul datelor semnificative pentru fiecare lot fiind
pregatite n doua departamente diferite ale organismului economic respectiv, pentru
compararea rezultatelor. De exemplu, departamentul care autorizeaza tiparirea
cecurilor trebuie sa ntocmeasca o lista cu numarul total de cecuri si suma autorizata
pentru fiecare, tiparirea acestora facndu-se n alt departament care, la rndul lui,
ntocmeste o lista cu numarul de cecuri tiparite si suma aferenta fiecaruia. Pentru
fiecare lot, se compara totalurile realizate independent de cele doua departamente
diferite ale organismului economic respectiv: totalul calculat nainte si dupa eliberarea
cecurilor. Controalele compensatorii nu pot elimina, n ntregime, riscul rezultat din
faptul ca personalul de exploatare a sistemului informatic are acces, direct sau indirect,
la activele organismului economic. Din acest motiv, auditorii trebuie sa stie ca, acolo
unde personalul de exploatare a sistemului informatic are acces la active, frauda care
implica utilizarea calculatoarelor poate fi mai mare dect n alte cazuri.
Rotatia, pe functii, a angajatilor care au legatura cu sistemul informatic
implementat de un organism economic se face cu scopul de a evita schimbarile
neobservabile de date si programe efectuate n calculator, fie din interes (frauda), fie
din neatentie sau neglijenta. Planul de organizare al unui departament de informatica
trebuie sa includa un mecanism de rotatie a sarcinilor si vacante obligatorii pentru
angajatii sai, pentru ca schimbarea programatorilor sau operatorilor (ntre ei) faciliteaza
descoperirea modificarilor accidentale sau neautorizate de date si programe. Rotirea,
pe functii, a angajatilor care se ocupa cu prelucrarea si evidenta datelor asigura un
control intern eficient n orice tip de sistem de prelucrare si evidenta a datelor folosit de
un organism economic, programelor din sistemele informatice corespunzndu-le n
sistemele traditionale documentele scrise.
Selectia angajatilor care au acces la echipamentele si programele sistemului
informatic folosit de un organism economic, precum si la datele vehiculate n cadrul
acestuia, trebuie facuta pe baza unor criterii care elimina, pe ct posibil, posibilitatile
de frauda si producerea erorilor din lipsa cunostintelor profesionale, din neatentie sau
neglijenta; personalul de ntretinere si exploatare trebuie ales cu grija, pentru a reduce
posibilitatea de distrugere intentionata produsa de un angajat nemultumit.
Principalele criterii de selectie a personalului care are legatura cu sistemul
informatic sunt:
- nivelul de pregatire profesionala dovedit prin: diplome de studii, pregatire teoretica si
ndemnare practica, experienta dobndita n timp (vechime n domeniu), calificative
obtinute la locurile de munca anterioare etc.;

- moralitate si seriozitate demonstrate prin: cazier judiciar, nscrisurile din


documentele de angajare (frecventa si motivele de schimbare a locurilor de munca),
recomandari de la locurile de munca anterioare si/sau de la alti specialisti n domeniu
(profesori, colegi, cunostinte) etc.;
- fidelitatea fata de organismul economic la care lucreaza.
Selectia atenta a personalului care se ocupa cu prelucrarea si evidenta datelor din
cadrul unui organism economic este foarte importanta n realizarea unui control intern
eficient, indiferent de tipul sistemului de prelucrare si evidenta a datelor utilizat
(manual, mecanic, semiautomat sau automat). Planul de organizare al unui organism
economic, cu sau fara departament de informatica, trebuie sa includa un spor de
fidelitate pentru angajatii sai care lucreaza n domeniul informatic pentru a evita
fraudele computerizate, greu de depistat si foarte periculoase pentru evolutia
organismului economic respectiv.
Concluzie. Controalele organizationale joaca rolul-cheie n asigurarea unui control
intern puternic n cadrul unui sistem informatic, n vederea prevenirii fraudelor, care au
implicatii majore asupra evolutiei oricarui tip de organism economic. Ele sunt destul de
eficiente n prevenirea fraudelor produse de un singur angajat, dar nu pot preveni
fraudele n complicitate, foarte dificil de depistat. Daca un angajat-cheie al
organismului economic conspira cu alti angajati n vederea comiterii unei fraude,
controalele organizationale interne care se bazeaza pe separarea sarcinilor si rotirea
angajatilor pe functii devin inoperante. De exemplu, daca persoane de conducere si
angajati ai unui organism economic fac tranzactii fictive si ntocmesc documente false
care sustin aceste activitati, cu scopul de a induce n eroare auditorii si organismele de
control abilitate, orice structura organizatorica de control este ineficienta. Daca nu sunt
descoperite n timp util, fraudele n complicitate conduc la falimentul organismului
economic respectiv.
Documentatia sistemului informatic
Controlul intern eficient ntr-un sistem informatic impune ntocmirea si ntretinerea unei documentatii care
trebuie sa cuprinda:

- aprobarile pentru realizarea sistemului informatic initial si pentru toate modificarile


ulterioare ale acestuia;
- documentatia completa, care sa descrie, n detaliu, sistemul informatic si procedurile
folosite de acesta pentru prelucrarea si evidenta datelor.
Documentatia completa, bine ntocmita, a sistemului informatic creeaza conditiile
de asigurare a unui control intern eficient, prin faptul ca:
- pune instructiunile de operare la dispozitia tuturor utilizatorilor si operatorilor
sistemului informatic, pentru eliminarea, pe ct posibil, a erorilor de operare;
- pune programele sursa la dispozitia programatorilor, pentru a crea posibilitatea de
revizuire si adaptare ulterioara a sistemului informatic la nevoile de calcul si de
control intern ale organismului economic respectiv;

- pune logica de programare a sistemului informatic la dispozitia auditorilor, pentru a


permite identificarea schimbarilor efectuate n sistemul informatic respectiv si a
controalelor prevazute prin program.
Documentatia sistemului informatic trebuie sa cuprinda:
- descrierea completa si inteligibila a sistemului de prelucrare a datelor, inclusiv a
diagramelor de sistem;
- descrierea naturii intrarilor si iesirilor;
- descrierea operatiilor efectuate asupra datelor;
- responsabilitatile pentru introducerea datelor, corectarea si reprocesarea datelor
eronate, realizarea sarcinilor de control etc.
Documentatia completa a unui sistem informatic este formata din:
- Manualul de operare sau de utilizare, pentru uzul utilizatorului si operatorului, care
contine instructiuni de:

pregatire date pentru prelucrare si introducere n sistem;

configurare si folosire terminale si echipamente periferice (monitoare, imprimante


etc.);

ntretinere programe componente si date stocate (nregistrate) n interiorul


sistemului.

- Documentatia programului, care contine o descriere completa a fiecarui program


component al sistemului informatic respectiv si care trebuie sa includa cel putin:

prezentarea, n detaliu, a obiectivelor fiecarui program;

diagramele logice si pasii importanti, pentru fiecare program;

lista si explicatia controalelor asociate fiecarui program;

descrierea modului de organizare si de arhivare a datelor;

exemple de iesiri, inclusiv liste de erori;

listing-uri de program, n limbaj-sursa;

manualul cu instructiunile de folosire, pentru fiecare program;

datele folosite pentru testarea si depanarea fiecarui program.

Documentatia completa a sistemului informatic este necesara analistilor de


sistem, ingineri de sistem si programatori analisti, pentru depanare sau realizarea unor
modificari. Operatorii calculatorului trebuie sa aiba acces numai la manualul de
operare, care contine instructiunile pentru introducerea datelor n sistem si pentru
prelucrarea acestora. Daca operatorii au acces la informatii de detaliu cu privire la
software-ul de aplicatie utilizat, cresc probabilitatea si posibilitatea ca acestia sa
efectueze schimbari neautorizate n programul respectiv, care stau la baza fraudelor
computerizate, cele mai periculoase pentru un organism economic.
Documentatia completa a sistemului informatic utilizat de un organism economic
este utila si auditorilor de sisteme informatice, pentru:
- determinarea logicii de prelucrare folosite de sistemul informatic auditat, n vederea
identificarii eventualelor erori de prelucrare produse n interiorul lui;
- determinarea schimbarilor (modificarilor) efectuate n sistemul informatic auditat,
dupa instalarea acestuia;
- identificarea controalelor integrate n sistemul informatic auditat.
n plus, informatiile cuprinse n documentatia unui sistem informatic ajuta auditorii
n dezvoltarea de teste sau programe generalizate de audit, necesare pentru testarea
sistemelor de prelucrare automata a datelor utilizate de clientii lor.
Concluzie. Documentatia sistemului
dezvoltarii si auditarii acestuia.

informatic

este

indispensabila

utilizarii,

Controale hardware
Echipamentele digitale, componentele hardware ale sistemelor moderne de prelucrare automata si de
evidenta a datelor au, din constructie, o precizie foarte mare si o fiabilitate foarte buna; prin urmare,
toleranta de calcul nu produce erori n rezultatele finale ale prelucrarilor efectuate, iar defectiunile tehnice
care determina alterari si/sau pierderi masive de date si programe sunt putine.
Pentru evaluarea corecta a fiabilitatii echipamentelor digitale utilizate la implementarea unui sistem
informatic, n vederea prevenirii pierderilor (de date si programe) si reducerii erorilor (n rezultatele finale
ale prelucrarilor) produse de posibilele defectiuni tehnice ale acestor echipamente, economistii, inclusiv
auditorii, trebuie sa cunoasca controalele integrate de fabricant n fiecare tip de echipament, care sunt
ntlnite n literatura de specialitate sub numele de controale hardware.

Cele mai ntlnite controale hardware sunt:


Ecoul: consta ntr-un semnal pe care echipamentul periferic l trimite (returneaza)
catre unitatea centrala de prelucrare, daca a receptionat corect datele transmise de
aceasta; prin ecou se verifica daca echipamentul periferic se comporta n conformitate
cu instructiunile primite de la unitatea centrala de prelucrare.
Autodiagnoza: consta n folosirea unor tehnici si proceduri hardware pentru
testarea propriilor circuite; majoritatea echipamentelor moderne, care fac parte din
sistemele de prelucrare automata a datelor, contin tehnici sau proceduri de
autodiagnoza; exemplu: identificarea circuitelor de interfata sau modulelor de memorie

defecte, nainte ca sistemul sa poata fi considerat valid, permitnd astfel utilizatorului


sa evite utilizarea unui sistem defect (Post- Power On Self Test).
Verificarea prin duplicare: consta n realizarea fiecarei operatii de doua ori si
compararea rezultatelor; n procesul dublu de verificare, cunoscut sub numele de citire
dupa scriere, calculatorul citeste datele, dupa transferarea lor n sistem, si le verifica
corectitudinea.
Verificarea paritatii: consta n controlul sau verificarea paritatii ntr-un sistem de
calcul digital, modern, care prelucreaza datele n serii de biti (cifrele binare 1 si 0);
controlul paritatii se face prin compararea valorilor bitului de paritate, calculate nainte
si dupa un transfer de date, pentru a verifica daca biti de date s-au modificat pe durata
transferului; bitul de paritate, care contine suma tuturor bitilor de 1(unu) pari sau
impari, n functie de constructia fiecarui echipament digital, este adaugat de fabricant
la bitii de date folositi pentru reprezentarea numerelor sau caracterelor alfanumerice
transferate ntre componentele unui sistem digital de calcul.
Concluzie. Asigurarea functionarii corespunzatoare a hardware-ului unui sistem
modern de prelucrare automata a datelor, n vederea evitarii pierderilor sau alterarii de
date si programe, determinate de aparitia unor defectiuni tehnice, impune nu numai
folosirea controalelor hardware prevazute de fabricantul echipamentelor, ci si aplicarea
unui mecanism de ntretinere preventiva conceput de catre organismul economic care
utilizeaza sistemul informatic respectiv. Auditorii de sisteme informatice trebuie sa
cunoasca nu numai controalele hardware integrate de fabricanti n echipamente, ci si
masurile de ntretinere preventiva folosite, mpreuna cu modul de aplicare a acestora.
Controale de siguranta
Fiecare sistem automat de prelucrare a datelor trebuie sa dispuna de controale
pentru asigurarea sigurantei:
echipamentelor componente (hardware), pentru a nu fi deconfigurate (accidental
sau voit), descompletate si/sau distruse;
programelor si fisierelor de date, pentru a nu fi pierdute, alterate, distruse sau
accesate de personal neautorizat; aceste evenimente se pot produce accidental sau
voit.
Programele, componentele software ale sistemelor informatice moderne pot
produce erori n rezultatele finale ale prelucrarilor efectuate automat si n evidentele
computerizate, deoarece pot fi distruse sau alterate cu usurinta, accidental sau voit,
blocnd accesul utilizatorilor la volumele mari de date stocate n sistem si, implicit, la
informatiile obtinute prin interpretarea rezultatelor prelucrarilor efectuate asupra
acestora; de asemenea, permit foarte usor distrugerea, alterarea sau pierderea,
acciden-tala sau voita, a bazelor de date stocate si gestionate de sistemul informatic,
n con-ditiile n care cel mai mare volum de munca rezida n crearea si ntretinerea
acestora.

Principalele tipuri de controale de siguranta utilizate pentru protectia unui sistem


informatic sau a componentelor acestuia, hardware sau software, sunt:
Programarea sistemului de operare al fiecarui calculator:
sa ntocmeasca un jurnal al utilizarii tuturor echipamentelor periferice accesibile
(ultimele utilizari); aceasta asigura identificarea momentului ultimei utilizari corecte
si aparitiei primului incident n utilizarea fiecarui echipament periferic n parte;
exemplu: indica momentul n care s-a utilizat pentru ultima data o imprimanta si
momentul n care aceasta a fost deconectata de la calculator (descompletarea
sistemului);
sa emita un semnal de atentionare, daca se fac tentative de acces repetat n sistem,
prin folosirea unor parole incorecte, sau tentative de efectuare a unor operatii care
pot distruge datele sau pot genera anomalii n functionarea sistemului respectiv;
exemplu: utilizatorul este atentionat de sistemul de operare ca operatia de formatare
a unui disc magnetic (HardDisk, FloppyDisk etc.) determina pierderea programelor
si/sau datelor stocate pe acesta, dndu-i posibilitatea sa le salveze nainte de
efectuarea operatiei respective.
Accesul utilizatorilor n sistemul informatic pe baza pe nivele de acces si parola
individuala secreta; permite numai personalului autorizat sa utilizeze programele
componente si datele stocate n sistem; exemplu: ntr-un sistem de prelucrare
distribuita, n care datele pot fi alterate din orice locatie de unde se poate accesa
sistemul, la fiecare punct de lucru sunt necesare masuri suplimentare de control al
accesului, pe baza de parole si nivele de acces, pentru a preveni distrugerea datelor
stocate n sistem si a evita pierderea ncrederii utilizatorilor n informatiile obtinute pe
baza rezultatelor oferite de ntregul sistem.
Crearea functiei de administrator al bazei de date, pentru protejarea acesteia la
accesul neautorizat, de catre organismele economice care utilizeaza sisteme
informatice tip baza de date, administratorul unei baze de date are sarcina principala
de administrare a accesului la baza de date, deoarece, din punctul de vedere al
controlului intern ntr-un astfel de sistem, este foarte important ca baza de date sa fie
protejata mpotriva accesului neautorizat; exemplu: administratorul bazei de date a
clientilor (fisierul clientilor), care contine toate datele de identificare si despre
activitatea fiecarui client n parte, folosite de secretariat (pentru ntocmirea
contractelor), la departamentul de vnzari (pentru evidenta activitatii clientilor
respectivi), la serviciul contabilitate (pentru evidenta platilor efectuate de acesta) etc.,
gestioneaza accesul utilizatorilor la baza de date respectiva.
Programarea fiecarei componente a software-ului de aplicatie utilizat de sistemul
informatic:
sa emita un semnal de atentionare, daca se fac tentative repetate de acces (prin
folosirea unor parole incorecte), daca se ncearca efectuarea unor operatii care pot
distruge datele sau pot genera anomalii n functionarea sistemului respectiv;
exemplu: programul de aplicatie atentioneaza utilizatorul, printr-un mesaj, ca
operatia care urmeaza a se efectua asupra datelor poate fi produsa de un virus care

le distruge, lasndu-i posibilitatea de a decide daca operatia respectiva este sau nu


cea programata;
sa ntocmeasca o lista a celor mai recenti utilizatori: nume, parola, data si ora
accesului; aceasta permite identificarea momentelor cnd s-au produs incidente si a
utilizatorilor care, prin modul de operare, determina anomalii n functionarea
Sistemului informatic, pierderi sau alterari de programe sau date, cu scopul de a afla
informatii legate de incidentele respective, n vederea stabilirii posibilitatilor de
refacere a sistemului, si de se ridica dreptul de acces tuturor celor care nu-l
exploateaza corect;
sa ntocmeasca o lista cu ultimele operatii efectuate de fiecare utilizator; prin
consultarea acestei liste se identifica operatia sau secventa de operatii care produce
anomalii n functionarea sistemului informatic, pierderi sau alterari de programe
si/sau date, n vederea efectuarii corectiilor care se impun.
Crearea unor copii de siguranta pentru toate componentele software utilizate de
sistemul informatic (fisiere de date si programe etc.), lucru care permite refacerea
acestora, daca sunt pierdute sau alterate. Din motive de securitate, copiile de
siguranta se depoziteaza n locatii separate de original. De exemplu:
benzile sau discurile magnetice, folosite pentru stocarea pe termen lung a datelor si
programelor de aplicatie, pot fi afectate de expunerea la caldura excesiva sau la un
cmp magnetic sau, pur si simplu, de trecerea timpului; de aceea, se recomanda
crearea a 2 (doua) copii de siguranta simultan si transferul periodic al arhivelor de
date si programe de pe un suport magnetic pe altul; pentru siguranta, bazele de date
trebuie mutate, la intervale regulate de timp, pe alte discuri sau benzi magnetice; cel
mai fiabil suport pentru stocarea pe termen lung este, n prezent, CD-ul;
n timpul utilizarii, orice fisier (de date sau program) poate fi sters, din greseala, sau
poate fi distrus, n orice moment, de un virus; pentru refacerea rapida a fisierelor
pierdute sau distruse accidental, se recomanda pastrarea (salvarea) unei copii de
siguranta (ultima versiune corecta si/sau completa) n sistem (pe HardDisk) si/sau n
exteriorul acestuia (pe FloppyDisk sau pe CD); exemplu: n sistemele de procesare n
loturi, fisierele care sunt actualizate periodic, numite fisiere master, se salveaza
respectnd principiul de salvare numit bunic - tata - fiu, potrivit caruia fisierul master
curent actualizat este fiul, fisierul master utilizat n actualizare (care a produs fiul)
este tatal si fisierul anterior tatalui este bunicul; cele trei generatii de fisiere de date
se vor depozita n locatii diferite, pentru a minimiza riscul pierderii tuturor;
n timpul functionarii, orice sistem de calcul se poate defecta, producnd pierderea/
distrugerea fisierelor stocate (memorate) n sistem (pe HardDisk); de aceea, pentru
prevenirea pierderilor masive de date si programe produse de defectiunile tehnice,
se recomanda arhivarea acestora pe suport magnetic extern (FloppyDisk, CD-ROM,
CD- RW, USB- flash etc.)
Masuri de protectie la accidente sau sabotaj (foc, apa, distrugere etc.), care previn
distrugerea accidentala sau deliberata a sistemului informatic, n ntregul sau, care
constau, de regula, n:

limitarea accesului, n aria de desfasurare a activitatii, numai pentru personalul


autorizat; intrarile n locatiile destinate sistemului informatic trebuie sa fie controlate
de agenti de paza sau activate pe baza de cartela de acces;
construirea locatiilor destinate sistemului informatic (camera calculatorului) din
materiale rezistente la foc, deasupra nivelului probabil de inundatie si dotarea
acestora cu aer conditionat, pentru a evita aparitia defectelor tehnice si a preveni
deteriorarea suportilor magnetici de stocare a datelor si programelor (benzi sau
discuri magnetice) prin asigurarea unei temperaturi si umiditati corespunzatoare n
spatiul lor de functionare.
Concluzie. Fara implementarea masurilor de siguranta adecvate (controale de
siguranta) nu este posibila asigurarea unui control intern eficient ntr-un sistem
informatic, deoarece acestea protejeaza la distrugere, alterare sau acces neautorizat
att sistemul, n ansamblul sau, ct si componentele acestuia.
Controlul intrarilor
Controlul intrarilor consta n tehnici de verificare a datelor primite pentru
prelucrare, la introducerea acestora n sistemul informatic. Aceste tehnici, numite
controale de intrare, permit introducerea n sistemul informatic numai a datelor care
sunt autorizate, corecte si complete din punctul de vedere al evidentei si controlului
activitatilor desf 424g68e 59;surate n cadrul organismului economic sau
compartimentului specializat al acestuia pentru care s-a proiectat sistemul respectiv.
Autorizarea introducerii datelor n sistemul informatic prin implementarea unor
controale de acces specifice care dau dreptul de autorizare numai:
- personalului departamentului la care s-a ntocmit documentul de evidenta si control (suport material sau)
pe care sunt nregistrate datele initial; exemplu: Contractul/Comanda de vnzare/cumparare, Factura de
vnzare/cumparare, Cererea de deschidere cont/acordare credit etc.; de regula, personalul
departamentului care gestioneaza si prelucreaza datele stocate (pastrate) ntr-un sistem de tip baza de
date nu este autorizat sa introduca date n sistemul respectiv; exemplu: angajatii departamentului de
vnzare nu sunt autorizati sa introduca n sistemul de prelucrare automata datele de pe facturile
ntocmite de ei;

- personalului cu nivelul de acces corespunzator, pentru sistemele on-line n care


datele se introduc direct, de la terminale aflate n locatii diferite, la distanta de
sistemul de calcul n care sunt stocate si/sau prelucrate;
Validarea intrarilor consta n aplicarea unor tehnici de verificare a corectitudinii si
completitudinii datelor, pe masura introducerii lor n sistemul informatic; aceste tehnici,
controale de validitate, pot fi de urmatoarele tipuri:
test de limita: verifica corectitudinea datelor prin verificarea ncadrarii acestora ntre
limitele (inferioara si/sau superioara) prestabilite pentru fiecare tip de date, pe baza
regulilor de gestiune proprii organismului economic sau legislatiei n vigoare;
exemplu: salariul brut al unui angajat salariul minim brut pe economie;

test de validitate: verifica autenticitatea datelor care se introduc n sistem, prin


compararea lor cu valorile predefinite pentru tipul respectiv de date, memorate ntrun tabel numit tabel master; spre exemplu, Marca unui angajat trebuie sa faca parte
din multimea marcilor din tabelul master aferent, definit n sistem;

numar de autocontrol: verifica precizia unui numar la introducerea n sistem sau


dupa ce a fost transmis de la un terminal la altul, prin memorarea unei informatii
redundante; exemplu: ultimele doua cifre trebuie sa fie suma celorlalte;
mecanism de testare dubla: verifica corectitudinea unei date prin introducerea
acesteia n sistem de doua ori, n mod independent; exemplu: CNP-ul unui angajat;
documentele sursa (suport material) convertite n formate citibile de catre masina
(suport electronic - fisier).
Validarea intrarilor, prin aplicarea unor tehnici de verificare asupra datelor, la
introducerea lor n sistem, asigura:
corectitudinea datelor: sunt acceptate numai datele corecte, care trec testele de
verificare, fiind rejectate toate cele care nu ndeplinesc conditiile impuse de testele
de verificare respective;
completitudinea datelor: sunt identificate datele care lipsesc si sunt solicitate, pna
cnd sunt introduse, ntruct absenta lor nu permite obtinerea rezultatelor sau
evidentelor corecte pe care trebuie sa le ofere sistemul informatic utilizatorilor sai
(situatii, liste, rapoarte etc.) n vederea fundamentarii deciziilor sau pentru informare.
Exemplu: asigurarea corectitudinii si completitudinii datelor introduse n sistemele cu
prelucrare pe loturi se poate face prin implementarea urmatoarelor tipuri de controale
de validare a intrarilor:
- nregistrarea secventei de serii si numere a documentului sursa care contine lotul de
date si implementarea unor teste specifice de identificare a elementelor din lot care
sa determine solicitarea datelor pierdute sau eliminarea celor adaugate; exemplu:
nregistrarea secventei de serii si numere aferente facturilor de vnzare/cumparare
dintr-o luna;
- nregistrarea numarului de date dintr-un lot si implementarea unui test care l
compara cu numarul de date introduse n sistem; exemplu: numarul angajatilor unui
organism economic;
- controlul TOTALULUI, pentru fiecare tip de date numerice dintr-un lot, prin
implementarea unui test de comparare a totalului calculat, dupa introducerea tuturor
datelor din lot, cu totalul calculat, pe masura introducerii acestora n sistem; n acest
caz , TOTALUL are semnificatia intrinseca data de semantica denumirii care i s-a
atribuit; exemplu: totalul vnzarilor/cumpararilor, pentru un lot de comenzi;

- controlul TOTALULUI HASH se deosebeste de controlul TOTALULUI prin aceea ca nu


are o semnificatie intrinseca, dar este folosit n acelasi mod; exemplu: suma Codurilor
Numerice Personale (CNP) ale angajatilor care trebuie introdusi pentru procesare ntrun program de salarizare.
Concluzie. ntruct majoritatea erorilor identificate n rezultatele finale ale
prelucrarilor sau evidentelor efectuate de sistemele informatice provin din introducerea
eronata a datelor, nu se poate asigura un control intern puternic n cadrul unui
asemenea sistem fara implementarea unor controalele de intrare eficiente.
Controlul procesarii
Controlul procesarii, care asigura fiabilitatea si precizia prelucrarilor efectuate asupra datelor introduse n
sistemul informatic, consta n folosirea urmatoarelor tipuri de controale:
Controale de program, integrate n programul de aplicatie, care pot fi:
- controale de intrare, implementate sub forma de controale de procesare: teste de limite, teste de
validitate, numere de autocontrol, numar de nregistrari, totaluri si totaluri de tip HASH;
- etichete externe: identifica n mod unic fisierele de date folosite n fiecare tip de prelucrari, pentru a preveni
greselile de utilizare a acestora; exemplu: fisierul cu eticheta Angajat, care contine datele angajatilor unui
organism economic folosite pentru identificarea si retribuirea acestora, este utilizat la ntocmirea statului de
plata lunar;
- etichete interne care, mpreuna cu etichete externe, previn greselile de utilizare a fisierelor de date n
prelucrari; exemple: eticheta header (mesaj nregistrat la nceputul fisierului, n limbaj cod masina, citibil
pe o banda magnetica sau pe un hard-disc, folosit pentru a identifica fisierul si data crearii sale) si
eticheta end of file (mesaj nregistrat la sfrsitul unui fisier, care contine informatii de tipul numarului de
nregistrari din fisierul de date sau totalul de control).
Jurnale de activitate sau de prelucrare, care se pun la dispozitia personalului autorizat sau grupului de
control din cadrul organismului economic sau Departamentului de informatica constituit n cadrul acestuia,
daca exista, pentru analiza activitatilor desf 424g68e 59;surate de sistemul de prelucrare automata a
datelor, si care descriu:
- activitatea fiecarui operator: secventa de operatiuni efectuate;
-

fiecare executie a programului (rulare): timpul de executie, blocajele masinii, interventiile operatorului de la
consola sistemului (tastatura), fisierele master utilizate etc.

Liste de erori, care se tiparesc n cazuri exceptionale, cnd sistemul detecteaza erori grave si opreste sau
nu prelucrarea. Listele de erori se transmit direct grupului de control al organismului economic care
utilizeaza sistemul informatic respectiv, pentru investigatii si remedierea anomaliilor de functionare
identificate. Dupa efectuarea corectiilor, grupul de control verifica corectitudinea prelucrarilor si eliminarea
erorilor raportate de sistem.

Concluzie. Pentru asigurarea unui control intern puternic si eficient, controalele de


program pun la dispozitia grupului de control al organismului economic, a utilizatorilor
si/sau auditorilor unui sistem informatic, mecanisme de verificare a prelucrarilor
efectuate n interiorul acestuia, compensnd faptul ca nu da acces direct celor
interesati la prelucrarile respective pentru a le verifica corectitudinea si/sau
completitudinea. n plus, se impune, ca masura de control, monitorizarea activitatii

operatorilor, cu scopul de a-i identifica pe cei care fac greseli si a le ridica dreptul de
acces n sistemul informatic.
Controlul iesirilor
Controlul iesirilor consta n masuri si tehnici de verificare a corectitudinii
rezultatelor oferite de sistemul de prelucrare automata a datelor utilizatorilor sai.
Acestea pot fi:
Controale ale utilizatorului, care constau n:
compararea rezultatelor sistemului, prezentate sub forma de liste, rapoarte, situatii
etc. cu cerintele definite de utilizator; exemplu: compararea periodica a totalurilor
generate automat de un sistem informatic de salarizare cu totalurile, generate n faza
de introducere a datelor, manual sau folosind alt sistem informatic de acelasi tip;
analize si teste efectuate de utilizatori specializati; exemplu: corectitudinea facturilor
de vnzare generate de sistemul informatic, din punctul de vedere al ntocmirii si al
preturilor, trebuie verificata de un contabil.
Controale de program, care analizeaza si testeaza automat corectitudinea iesirilor
sistemului informatic n raport cu cerintele definite de utilizatori. Sunt mai eficiente
dect controalele utilizatorului, pentru ca, fiind integrate n sistem, verificarile pe care
le efectueaza se fac automat.
Controale ale grupului de control al sistemului informatic, care constau n masuri
de verificare a iesirilor de catre personalul autorizat al organismului economic, cu sau
fara departament specializat de informatica, care urmaresc:
distributia rezultatelor prelucrarilor sau evidentelor efectuate, prin sistemele de
calcul componente ale sistemului informatic, numai catre utilizatorii autorizati;
analiza erorilor raportate de sistem, identificarea cauzelor de aparitie a lor si
verificarea eliminarii acestora din sistemul automat de prelucrare si evidenta
respectiv.
Concluzie. Scopul controlului intern ntr-un sistem informatic l constituie verificarea
corectitudinii rezultatelor prelucrarilor realizate n interiorul sau si distribuirea acestora,
manual sau prin intermediul sistemului de prelucrare automata a datelor folosit, numai
catre utilizatorii autorizati. Prin urmare, nu se poate vorbi de control intern ntr-un sistem
informatic fara controale de iesire, folosite de grupul de control al organismului economic,
de utilizatori si/sau de auditori pentru a verifica daca sistemul informatic utilizat respecta
cerintele utilizatorilor pentru care a fost proiectat si implementat.
Un control intern puternic si eficient impune utilizarea tuturor masurilor,
tehnicilor si mecanismelor, denumite generic controale de audit, controale
interne sau, mai simplu, controale, care servesc scopului urmarit si permit
organismelor economice sa utilizeze n desfasurarea activitatilor lor economice,
stiintifice, organizatorice etc. sistemele informatice, beneficiind astfel de

avantajele majore oferite de acestea: puterea


(memorare), de evidenta si de prezentare grafica.

de

calcul,

de

stocare

SARCINILE DE CONTROL ALE AUDITORILOR NTR-UN SISTEM INFORMATIC


ntr-un organism economic, functia de auditor al sistemului informatic trebuie sa
existe separat si distinct de functia de control atribuita personalului autorizat sau
grupului de control din Departamentul de informatica, daca acesta este constituit,
deoarece personalul autorizat sau grupul de control efectueaza controlul zilnic al
prelucrarilor si distribuirilor automate de date, n timp ce auditorii evalueaza eficienta
prelucrarilor efectuate asupra datelor si a controalelor corespunzatoare, n ansamblu.
Auditorii sistemelor informatice trebuie sa participe la proiectarea acestora pentru
a se asigura ca:
- sistemul creeaza un jurnal corect si complet al prelucrarilor (jurnal de activitate);
- se implementeaza controalele necesare pentru asigurarea unui control intern, la
nivelul solicitat de utilizatori.
Auditorii testeaza sistemul informatic, n momentul n care acesta devine operativ:
- verifica daca au fost implementate toate controalele interne prevazute n proiect;
- stabilesc daca toate controalele interne implementate n sistem functioneaza asa
cum a fost planificat;
- iau masurile necesare pentru corectia erorilor de implementare si functionare a
controalelor interne prevazute n proiect;
- identifica eventualele schimbari neautorizate efectuate n sistemul informatic si iau
masurile necesare pentru eliminarea sau autorizarea acestor schimbari.
Pentru asigurarea controlului intern, la nivelul solicitat de utilizatori, definit prin
proiect, auditorii ndeplinesc urmatoarele sarcini:
- verifica separarea, din punct de vedere functional, a personalului de programare de
personalul de operare si impun masurile organizatorice necesare pentru realizarea
acestei separari;
- verifica documentatia initiala a sistemului informatic si actualizarea acesteia, n cazul
n care sunt autorizate schimbari;
- verifica ndeplinirea sarcinilor care au fost atribuite personalului autorizat sau
grupului de control al sistemului informatic;
- urmaresc aplicarea masurilor de siguranta a sistemului informatic;

- urmaresc functionarea efectiva a controlului, n cadrul organismului economic care


utilizeaza, pentru evidenta activitatilor sale, un sistem informatic.
Functia de auditor al sistemului informatic utilizat de un organism economic poate
fi atribuita unui angajat permanent sau unui colaborator extern al acestuia, dupa cum
sarcinile pe care trebuie sa le ndeplineasca auditorul impun, sau nu impun, prezenta
permanenta a acestuia la locul de munca. Daca volumul de activitate desfasurat sau
nivelul de eficienta solicitat pentru controlul intern al sistemului informatic utilizat este
ridicat, organismul economic trebuie sa angajeze proprii sai auditori. n caz contrar,
poate folosi, pentru ndeplinirea sarcinilor de audit, colaboratori externi specializati,
care pot ocupa functia de auditor la mai multe organisme economice. Din acest punct
de vedere, auditorii sistemelor informatice pot fi interni sau externi organismului
economic care utilizeaza un sistem informatic. Auditorii externi pot fi auditori
independenti sau angajati ai organismelor financiare sau agentiilor guvernamentale de
control.
UTILIZAREA SISTEMELOR INTEGRATE DE TESTARE
N AUDITAREA SISTEMELOR INFORMATICE
Auditorii pot folosi pentru testarea si monitorizarea controalelor interne implementate ntr-un sistem
informatic asa-numitul sistem integrat de testare, care consta n integrarea unui set de fisiere de test,
programe si date de test n sistemul informatic respectiv. Aceste fisiere de test permit ca datele de test pe
care le contin sa fie prelucrate simultan cu datele reale, fara ca datele reale respective si rezultatul
prelucrarii lor sa fie afectate. Datele de test, care cuprind toata gama imaginabila de date posibil a fi
introduse n sistemul informatic respectiv, afecteaza numai fisierele de test si rezultatele prelucrarilor
acestora. Sistemul integrat de testare poate fi implementat n toate tipurile de sisteme informatice, inclusiv
n sistemele informatice on-line, n timp real.

Sistemul integrat de testare poate fi folosit de auditori si pentru monitorizarea


prelucrarilor datelor de test n vederea studierii efectelor produse de prelucrarile
efectuate asupra fisierelor de test, listelor de erori si iesirilor sistemului informatic. Ei
comunica concluziile personalului autorizat sau grupului de control care efectueaza
controlul zilnic. Spre exemplu, un sistem integrat de testare pentru aplicatii de
salarizare si evidenta personal poate defini un departament fictiv pentru care
nregistreaza angajati fictivi n fisierele de angajati si salarii. Datele de la departamentul
fictiv vor fi introduse n sistem simultan cu datele de la departamentele reale. Auditorii,
externi sau interni, vor monitoriza toate iesirile aferente departamentului fictiv, inclusiv
nregistrarile de salarii, listele de erori si cecurile emise. n acest caz, e necesar un
control strict al iesirilor n vederea prevenirii folosirii neautorizate a cecurilor fictive.
Folosirea sistemelor integrate de testare prezinta riscul de manipulare eronata a
datelor reale, prin transferarea lor n sau din fisierele fictive. Pentru eliminarea acestui
dezavantaj, auditorii trebuie sa monitorizeze toate activitatile n fisierele fictive utilizate
si sa impuna masuri riguroase de prevenire a accesului neautorizat la aceste fisiere. De
asemenea, proiectarea unui astfel de sistem trebuie facuta cu atentie, pentru a elimina
riscul ca fisierele reale sa fie contaminate ntmplator cu date din fisierele fictive de
test.
IMPACTUL UTILIZRII SISTEMELOR INFORMATICE
ASUPRA AUDITULUI ORGANISMELOR ECONOMICE

Organismele economice, care folosesc sisteme manuale sau mecanice de prelucrare a datelor, ntocmesc
documente de evidenta, prezentare si control al activitatilor desf 424g68e 59;surate pe suport material
(hrtie), pe care orice modificare de date (nregistrare, actualizare sau stergere) lasa urme, ramne vizibila.
Sistemele informatice, fiind sisteme automate de prelucrare, evidenta si stocare a datelor, permit
modificarea datelor introduse (nregistrate) n sistem (pe suport electronic), fara nici o urma vizibila a
schimbarilor facute. La nceputul dezvoltarii sistemelor informatice, acest lucru a produs o mare ngrijorare
printre economisti (contabili, finantisti, auditori etc.) care considerau ca prelucrarile electronice de date vor
ascunde, sau chiar vor elimina, nregistrarile de date necesare n procesul de audit. Desi, din punct de
vedere tehnologic, este posibila proiectarea unui sistem informatic n care datele produse de activitatile
efectuate de organismele economice sa nu fie nregistrate, n vederea efectuarii unui control, un astfel de
sistem nu este nici practic, nici de dorit. Exista motive reale de integrare a unui sistem de audit, chiar si n
cele mai sofisticate sisteme informatice, determinate, n principal, de:

necesitatea de coordonare si controlare a activitatilor desf 424g68e 59;surate de un


organism economic de catre factorii acestuia de decizie (managerii sai);
nevoia de reconstructie a fisierelor de date si de program, distruse de eventualele
erori de prelucrare sau posibilele defecte tehnice;
desfasurarea activitatii de control (audit) de catre auditori independenti sau agentii
guvernamentale.
n cazul sistemelor informatice sofisticate, dificultatea unui audit este data de
faptul ca nregistrarile datelor rezultate din activitatile organismelor economice, folosite
n procesul de audit, pot exista numai pe suport electronic, ntr-un format cod-masina,
nu si ntr-o forma tiparita. Uneori, dupa ce sunt generate, datele pentru audit sunt
transferate pe un mediu de stocare cu pret redus, cum ar fi microfisele. Mai mult dect
att, anumite organisme economice folosesc asa-numitul Electronic Data Interchange
(EDI), n care organismul economic respectiv, mpreuna cu clientii si furnizorii sai
folosesc legaturi de comunicatii electronice (telecomunicatii, comunicatii radio sau pe
fibra optica etc.) pentru a schimba date pe cale electronica. n astfel de cazuri,
documentele sursa tiparite (facturi, ordine de plata, cecuri, avize de expeditie etc.)
sunt nlocuite cu documente similare n format electronic. Exemplu: ntr-un sistem
informatic de tip EDI, o tranzactie de cumparare poate fi initiata automat de catre
calculatorul firmei care solicita cumpararea prin trimiterea unui mesaj electronic, de tip
comanda direct, la calculatorul furnizorului sau. n aceste conditii, auditorii trebuie sa
utilizeze controale de audit care sa integreze tehnici specifice de retentie a datelor si
de prelucrare a lor, n vederea asigurarii unui audit adecvat.
ntr-un sistem informatic, datele necesare auditului pot fi nregistrate:
-

pe documente tiparite din calculator;

n format electronic, citibil numai pe calculator.

n sistemele informatice, datele nu se nregistreaza ntr-un format traditional, pe


documente sursa scrise de mna, ci numai n format electronic, care poate fi tiparit, la
cerere, pe suport material de tip hrtie sau poate fi urmarit direct pe ecranul
calculatorului.

Prin urmare, teama economistilor ca utilizarea sistemelor informatice n


desfasurarea activitatilor economice va elimina datele necesare auditului nu s-a
materializat. nca din faza de proiectare a unui sistem informatic, auditorii interni si,
eventual, externi, urmaresc integrarea n sistem a unor tehnici de audit care asigura
pastrarea (memorarea) datelor necesare efectuarii unui control intern eficient al
sistemului respectiv.
CONSIDERATIILE AUDITORILOR CU PRIVIRE
LA

CONTROLUL INTERN NTR-UN SISTEM INFORMATIC

Indiferent de tipul sistemului de evidenta (gestiune) a activitatilor economice si de


prelucrare a datelor (manual, mecanic sau informatic) folosit de organismele
economice, auditorii trebuie sa efectueze un control intern, pentru realizarea caruia
este necesar:
- sa evalueze corect riscul de control (posibilitatea de existenta a unor erori care nu
pot fi detectate);
- sa determine natura activitatilor desf 424g68e 59;surate de organismul economic
auditat;
- sa stabileasca tipul si amploarea activitatilor de audit necesare;
- sa aprecieze timpul necesar pentru completarea auditului.
Pe baza celor stabilite n vederea completarii auditului, auditorii pot face organismului economic
recomandari pentru mbunatatirea structurii de control intern. Indiferent de tipul sistemului de gestiune si
prelucrare a datelor folosit de un organism economic, recomandarile pe care le fac auditorii cu privire la
controlul intern se mpart n patru categorii, corespunzatoare urmatoarelor patru tipuri de activitati:

- planificarea auditului; pentru aceasta. auditorii trebuie sa nteleaga suficient de bine


rolul controlului intern, modalitatile de realizare a acestuia si tehnicile de integrare a
controalelor n sistemul de gestiune si prelucrare a datelor folosit de un organism
economic;
- evaluarea riscului de control si proiectarea testelor aditionale pentru procedurile de
control ale sistemului informatic;
- realizarea testelor aditionale pentru procedurile de control ale sistemului informatic;
- reevaluarea riscului de control al
corespunzatoare a testelor de evaluare.

sistemului

informatic

si

modificarea

Pregatirea auditorilor pentru planificarea auditului si proiectarea controalelor (testelor)


de audit

Planificarea auditului pentru un organism economic si necesitatea proiectarii de


teste de audit eficiente solicita auditorilor sa aiba cunostintele de specialitate necesare
ntelegerii structurii unui control intern, indiferent de tipul sistemului de gestiune si

prelucrare a datelor utilizat (manual, mecanic sau electronic) si de complexitatea


acestuia.
Pentru planificarea auditului si proiectarea de teste de audit eficiente, auditorii trebuie sa aiba cunostinte
despre:

- procedurile si tehnicile de audit disponibile;


- proiectarea si realizarea controalelor interne; trebuie sa stie ce se urmareste prin
auditul intern si cum se poate realiza un audit complet;
- sistemele de gestiune si prelucrare a datelor utilizate de organismele economice;
trebuie sa cunoasca particularitatile fiecaruia, din punct de vedere al auditului;
- tehnicile de integrare a controalelor interne n sistemele de gestiune si prelucrare a
datelor disponibile;
- natura activitatilor desf 424g68e 59;surate de organismele economice:
caracteristicile si particularitatile acestora, din punctul de vedere al auditului;
- legislatia n vigoare.
Evolutia tehnologica a microcalculatoarelor de tip PC, din ce n ce mai performante
si mai ieftine, a condus la aparitia si dezvoltarea continua a aplicatiilor software si,
implicit, la utilizarea, pe scara larga, a sistemelor informatice bazate pe mediu PC.
Practic, sistemele de gestiune si prelucrare a datelor clasice (manual sau mecanic) sunt
pe cale de disparitie, fiind nlocuite de sisteme informatice. n aceste conditii, auditorii
trebuie sa aiba cunostinte suplimentare de informatica, minimul necesar care sa le
permita sa si desfasoare activitatea de control.
Pentru a stabili natura, durata si amploarea activitatilor de audit, auditorul trebuie
sa aiba suficiente cunostinte informatice pentru a face analiza procedurilor de
prelucrare utilizate si a rezultatelor acestora.
Auditarea sistemelor informatice simple, care prelucreaza datele folosind algoritmi
de calcul usor de aplicat, nu impune testarea acestor sisteme folosind proceduri de test
implementate pe calculator; n acest caz, auditorii compara rezultatul prelucrarilor
datelor de test, obtinut manual, cu cel obtinut folosind sistemul informatic auditat si
analizeaza diferentele; aceasta tehnica este denumita auditarea evitnd calculatorul,
deoarece auditorii evita calculatorul n realizarea auditului. Auditarea sistemelor
informatice complexe impune nsa folosirea procedurilor de audit implementate pe
calculator si proiectarea unor teste suplimentare pentru controlul acestor proceduri.
Documentatia ntocmita de auditor, asa-numitul raport de audit, variaza n functie
de complexitatea sistemului informatic auditat. Pentru un sistem cu structura simpla de
control intern, poate fi suficienta o descriere. De regula, nsa, raportul de audit trebuie
sa contina:

Diagramele Sistemului Informatic, care descriu activitatile desfasurate de sistemul


informatic utilizat de organismul economic auditat si care pot fi:
- diagrame de sistem: sunt folosite, n mod curent, n procesul de audit, ca tehnica de
descriere a controlului intern; prezinta avantajul ca fac parte din documentatia
standard a sistemului informatic, prin urmare nu mai trebuie ntocmite de auditor;
exemplu: diagrama de vnzari, diagrama de credite, diagrame de ncasari etc.;
- diagrame de program: prezinta, n detaliu, logica unui anumit program folosit de
sistemul informatic; auditorii care pot interpreta diagramele de program pot ntelege
si interpreta controalele continute ntr-o anumita aplicatie software, folosita de
Sistemul Informatic auditat.
Chestionare, special proiectate, pentru a fi folosite n procesul de control al
sistemului informatic; exemplu: chestionare de control al accesului ntr-un sistem
informatic.
Concluzie. Proiectarea, realizarea si utilizarea tehnicilor de audit asistate de
calculator impun auditorilor, pe lnga cunostinte temeinice din domeniul economic,
cunostinte suplimentare din domeniul informatic si din domeniul de activitate al
organismelor economice de auditat.
Evaluarea riscului de control planificat si proiectarea de teste aditionale pentru controlul
(testarea) procedurilor de audit

Riscul de control al unui sistem informatic reprezinta posibilitatea de existenta a


unei erori care nu poate fi prevenita sau detectata n timp util de catre controlul intern
al sistemului respectiv.
Pentru a determina nivelul riscului de control planificat al sistemului informatic auditat, auditorii trebuie sa
cunoasca si sa nteleaga:

mediul de control specific organismului economic care utilizeaza sistemul informatic


auditat;
schimburile de date din cadrul organismului economic care utilizeaza sistemul
informatic auditat;
procedurile de control intern implementate n sistemul informatic auditat.
Daca, pentru sistemul informatic auditat, nivelul riscului de control planificat a fost
evaluat ca fiind:
mare, atunci este admisa posibilitatea aparitiei unor erori nedetectabile de controlul
intern implementat n sistemul respectiv; n aceste conditii, nu sunt necesare teste
aditionale pentru verificarea procedurilor de audit utilizate;

scazut, atunci nu este admisa posibilitatea aparitiei unor erori nedetectabile de


controlul intern implementat n sistemul respectiv; n aceste conditii, sunt necesare
teste aditionale pentru verificarea procedurilor de audit utilizate.
n evaluarea riscului de control planificat pentru un sistem informatic, se tine cont
de cerintele utilizatorului cu privire la precizia rezultatelor solicitate sistemului respectiv
si de specificul domeniului de activitate gestionat cu ajutorul acestui sistem; daca
cerintele de precizie impuse sistemului informatic nu admit posibilitatea aparitiei unor
erori nedetectabile de controlul intern proiectat si implementat n interiorul acestuia, se
impun proiectarea si implementarea unor controale de audit suplimentare pentru
testarea (verificarea) controalelor de audit folosite.
Realizarea controalelor aditionale pentru controalele de audit ale
sistemelor informatice
Pentru testarea controalelor de audit integrate ntr-un sistem informatic se
folosesc proceduri de control cunoscute sub denumirea de controale aditionale de
audit, care verifica daca controalele de audit descrise n documentatia de audit sunt
implementate si functioneaza asa cum a fost prevazut n analiza de sistem.
Auditorii trebuie sa efectueze verificarea tuturor controalelor de audit pe care intentioneaza sa le ia n
consideratie n evaluarea riscului de control aferent sistemului informatic auditat, indiferent de natura
acestuia. Trebuie nsa precizat ca unele controale aditionale de audit, folosite de auditori pentru testarea
controalelor de audit integrate ntr-un sistem informatic, depind de natura sistemului informatic auditat.

Proceduri de testare a controalelor generale. Testarea controalelor interne ale unui


sistem informatic ncepe cu testarea controalelor generale, deoarece eficacitatea unui
control specific al unei aplicatii este adesea dependenta de existenta unui control
general, efectiv al tuturor activitatilor sistemului informatic auditat. Spre exemplu,
verificarea programelor de testare a procedurilor de control, ntr-un mediu n care
programatorii pot efectua cu usurinta schimbari neautorizate n programe, este
ineficienta n absenta unui control asupra modificarilor programelor, deoarece auditorii
nu au nici o dovada ca programul testat este identic cu cel folosit de-a lungul timpului.
n astfel de situatii, auditorii nu pot conta pe controalele aplicatiei n vederea evaluarii
riscului de control.
De obicei, auditorii testeaza controalele generale ale sistemului informatic auditat
prin analiza documentatiei de sistem si urmarirea ndeplinirii sarcinilor de ntocmire a
acestei documentatii de catre personalul organismului economic respectiv:
obtinerea autorizatiilor de revizuire a sistemului informatic auditat;
ntocmirea documentatiilor specifice sistemului informatic auditat;
obtinerea aprobarilor pentru realizarea sau achizitionarea de programe noi;
obtinerea aprobarilor pentru modificarea programelor existente;

completarea jurnalului cu defectiuni sau anomalii de functionare a echipamentelor


folosite;
urmarirea masurilor de siguranta implementate etc.
Prin natura lui, un control general trebuie mai degraba respectat, dect determinat prin analiza
documentatiei sistemului informatic auditat.

Proceduri de testare a controalelor de aplicatii. Procedurile folosite de auditori


pentru testarea controalelor de aplicatie variaza semnificativ de la un tip de sistem
informatic la altul si de la un tip de aplicatie componenta a sistemului informatic la alta.
Procedurile de testare a controalelor de intrare depind de tipul sistemului
informatic auditat. Exemplu: n sistemele de procesare n loturi, controlul intrarilor
poate fi testat prin compararea iesirii sistemului informatic cu totalul lotului, folosind
secventa de serii si numere aferenta documentelor din lotul selectat; n sistemele online, n timp real, loturile de date nu sunt disponibile si auditorul trebuie sa imagineze
alt tip de test pentru controlul intrarilor.
Tehnicile de audit folosite pentru testarea controalelor prelucrarilor pot fi manuale
sau asistate de calculator. Pentru testarea controalelor prelucrarilor, auditorii:
examineaza procedurile de testare a sistemului informatic auditat, efectuate de
catre grupul de control al organismului economic care l utilizeaza;
analizeaza rezultatele testarilor controalelor prelucrarilor sistemului informatic
auditat, realizate de auditorii organismului economic care l utilizeaza;
examineaza rapoartele de erori si jurnalele de activitati generate de calculator;
deoarece ele ilustreaza violarile controalelor de program care apar n timpul
prelucrarilor, oferind astfel dovezi ale functionarii, corecte sau eronate, a acestora;
analizeaza si testeaza tehnicile, manuale sau asistate de calculator, folosite pentru
explicitarea si explicarea incidentelor aparute n timpul prelucrarilor si nregistrate n
rapoartele de erori, deoarece efectivitatea controalelor de program depinde de acest
lucru.
Pentru testarea controalelor de program, auditorii folosesc, de regula, tehnici de
audit asistate de calculator. Principalele tehnici de audit asistate de calculator folosite
pentru testarea controalelor aditionale de audit sunt:
Seturi de date de test: pot fi stabilite de auditori sau de programatorii organismului
economic care utilizeaza sistemul informatic de auditat; trebuie sa includa toate
erorile semnificative care afecteaza evaluarea, de catre auditor, a riscului de control
planificat pentru sistemul informatic de auditat: tranzactii cu date lipsa, eronate sau
ilogice, loturi incomplete etc.

Duplicate ale programelor sistemului informatic, cunoscute sub denumirea de


programe controlate, aflate sub controlul auditorilor; sunt folosite de acestia pentru
a monitoriza prelucrarea datelor curente, prin compararea iesirilor acestor programe
cu iesirile programelor originale sau pentru reprocesarea datelor initiale, folosind
varianta proprie de program, cu scopul de a compara rezultatul curent cu cel initial
sau de a descoperi schimbarile din programul organismului economic netrecute n
documentatie; programele controlate ofera auditorilor posibilitatea de a testa
programele organismului economic cu date reale si de test, fara riscul alterarii
fisierelor acestuia si n locatii diferite de spatiile de exploatare, fara utilizarea
calculatoarelor sau personalului organismului economic respectiv.
Programe de analiza, special elaborate, pentru a genera, folosind calculatorul,
diagrame de analiza cu ajutorul carora se testeaza logica programelor componente
ale sistemului informatic auditat si a controalelor acestora sau se verifica daca
documentatia sistemului respectiv descrie programele si controalele programelor
folosite de fapt.
Marcaje (identificatori) de urmarire a schimburilor de date, introduse n sistemul
informatic, o data cu datele pentru urmarirea pasilor de prelucrare a schimburilor de
date marcate si ntocmirea listelor care contin descrierea, n detaliu, a pasilor de
prelucrare respectivi, cu scopul de a depista eventualele actiuni neautorizate n
programele si controalele programelor sistemului informatic auditat.
Programe de audit generalizat (aplicatii software pentru audit generalizat), care pot
fi folosite de organismele economice specializate n auditarea sistemelor informatice
complexe, pentru testarea fiabilitatii programelor si controalelor programelor
componente, pentru o gama larga de sisteme informatice sau pentru realizarea unor
functii specifice de audit; exemple: marirea numarului de schimburi de date testate
suficient de mult pentru a evalua corect riscul de control; rearanjarea datelor de test
ntr-un format mult mai folositor auditului; selectarea schimburilor de date n functie
de anumite criterii etc. Exemplu: Program pentru verificarea fiabilitatii unui sistem
informatic prin simulare paralela: program care realizeaza anumite functii de
prelucrare echivalente acelora din sistemul informatic, pentru a verifica daca acesta
functioneaza corect; rezultatele prelucrarilor efectuate de sistemul informatic asupra
unui set de date (grup de tranzactii) trebuie sa fie egal cu rezultatul prelucrarilor
efectuate asupra aceluiasi set de date de catre programul de audit generalizat; ofera
auditorilor avantajul efectuarii unor prelucrari asupra datelor reale, independent de
sistemul informatic auditat.
Reevaluarea riscului de control si utilizarea testelor independente
Pentru a stabili n ce masura se pot baza pe controlul intern al sistemului
informatic n reducerea posibilitatilor de aparitie a erorilor de functionare a acestuia,
auditorii trebuie sa reevalueze riscul de control, pe domenii de activitate, si, pe baza
acestuia, sa determine natura, locul, momentul de timp si amploarea testelor de
control independente de sistemul informatic auditat, necesare n aprecierea
corectitudinii rezultatelor oferite de sistemul respectiv utilizatorilor sai.

Din punct de vedere conceptual, evaluarea controlului intern al activitatilor unui


sistem informatic nu este diferita de evaluarea altor aspecte ale sistemului. De obicei,
sunt necesare mai putine proceduri de testare independente de sistemul informatic
auditat, n acele domenii n care se admite un risc de control mare, si mai multe acolo
unde se admite un risc de control redus. Pentru evaluarea corecta a controlului intern
al activitatilor desf 424g68e 59;surate de un sistem informatic, trebuie luate n
considerare controalele folosite de utilizatori, de auditorii interni si de specialistii n
informatica.
AUDITAREA SISTEMELOR PC
Termenul de PC se refera la o varietate de calculatoare mici: calculatoare personale, statii de lucru si
terminale inteligente. Desi progresele tehnologice reduc continuu diferentele dintre PC-uri si calculatoarele
mari, PC-urile ramn, n general, mai putin flexibile, au memorie mai redusa si sunt mai lente n procesarea
datelor, dect calculatoarele mari. Totusi, PC-urile ofera utilizatorilor avantajul accesului direct la calculator,
fara timpii de prelucrare si capacitatea de stocare date asociati unui sistem de calcul centralizat. Din acest
motiv, chiar si auditul organismelor economice care folosesc sisteme informatice centralizate sofisticate se
poate face folosind sisteme PC.

Aparitia PC-urilor a condus la descentralizarea activitatilor de prelucrare, de


evidenta si control al datelor vehiculate n cadrul unui organism economic. ntr-un
mediu PC, calculatoarele se pot plasa n departamentele utilizatorilor si pot fi operate
de catre personalul acestor departamente, cu putine cunostinte n domeniul informatic
si despre calculatoare. Prelucrarile sunt realizate, de obicei, de aplicatii software
dedicate, usor de exploatat, achizitionate de la organisme economice specializate,
eliminndu-se astfel nevoia de a angaja programatori. Pentru stocarea, crearea unor
copii de siguranta (back-up) si/sau arhivarea aplicatiilor si Bazelor de Date, sunt folosite
discuri magnetice de tipul HardDisk, FloppyDisc, CD-ROM, CD-RW, DVD etc. sau, din ce
n ce mai rar, benzi magnetice.
Controlul intern al sistemelor informatice bazate pe mediul PC prezinta unele
particularitati. Astfel, pentru verificarea corectitudinii rezultatelor si distributiei acestora
numai catre utilizatorii autorizati, se foloseste descrierea, n detaliu, a procedurilor de
prelucrare a datelor, care trebuie cuprinsa, obligatoriu, n documentatia sistemului.
Pentru protectia datelor manipulate de operatori sau utilizatori fara cunostinte n
domeniul informatic, se face instruirea acestora n folosirea componentelor sistemului
si li se pun la dispozitie manualele de operare si ntretinere complete ale
componentelor respective: echipamente, software de sistem si de aplicatie. Pentru
reconstituirea datelor si aplicatiilor software utilizate organismele economice care
utilizeaza sisteme informatice bazate pe mediul PC trebuie sa efectueze, periodic, copii
de siguranta (back-up) ale fisierelor de date si de program, pe suporti magnetici externi
(dischete, CD-uri sau benzi), care trebuie depozitati departe de sistem, n locatii sigure.
Prin amplasarea calculatoarelor de tip PC n departamentele utilizatorilor, cresc
riscul de utilizare neautorizata a acestora si, implicit, posibilitatea de frauda
computerizata. Din acest motiv, sistemul de operare al PC-urilor si aplicatiile software
utilizate trebuie sa permita accesul operatorilor si/sau utilizatorilor n sistem numai pe
baza de coduri si nivele de autorizare, limitnd astfel accesul acestora la anumite
fisiere de date si/sau de program. Pentru detectarea activitatilor neautorizate trebuie
organizata o activitate independenta de analiza a jurnalelor generate de sistemele PC.
Pentru prevenirea utilizarii neautorizate a sistemelor informatice bazate pe mediul PC:

- se limiteaza accesul la originalul si la copiile de siguranta ale aplicatiilor software prin


utilizarea carora personalul neautorizat poate intra n sistem;
- se instaleaza un sistem de blocare a PC-ului n afara orelor de program;
- se limiteaza accesul n spatiile de lucru folosite de sistemele informatice bazate pe
mediul PC prin paza sau sisteme de acces cu cartela.
Auditorii (interni sau externi) organismelor economice, care utilizeaza sisteme
informatice bazate pe mediul PC, trebuie sa impuna implementarea tuturor tipurilor de
controale interne minim necesare pentru a asigura:
- integritatea sistemului informatic implementat
- integritatea si corectitudinea datelor vehiculate n cadrul organismului economic
respectiv; exemplu: evidentele financiare care trebuie puse la dispozitia organelor
financiare de control.
AUDITAREA CENTRELOR DE CALCUL
Centrele de calcul furnizeaza servicii de prelucrare a datelor pentru clientii lor, organisme economice care
nu au propriul centru de calcul sau departament de informatica. De regula, centrul de calcul primeste
datele de prelucrat de la clienti, n loturi, si le transmite rezultatele prelucrarilor efectuate. Unele centre de
calcul functioneaza n regim partajat, n sensul ca ofera abonatilor lor acces la toate resursele de calcul
disponibile, prin intermediul terminalelor proprii, utilizatorul unui astfel de sistem avnd, dispozitie
majoritatea serviciilor pe care i le-ar oferi propriul calculator.

Controlul intern al centrului de calcul poate interactiona cu sistemul de control al


fiecarui client, caz n care auditorii trebuie sa nteleaga si activitatile de prelucrare
desfasurate de centrul de calcul. n plus, daca intentioneaza sa reduca nivelul riscului
de control bazndu-se pe anumite controale, auditorii trebuie sa dovedeasca
eficacitatea acestora, prin testarea lor, indiferent daca sunt executate de Centrul de
calcul sau de clientul acestuia. Uneori, testarea controalelor aplicate de client este
suficienta pentru evaluarea riscului de control si detectarea erorilor. Alteori, pentru
atingerea obiectivelor de control ale clientului si evaluarea corecta a riscului de control,
auditorii trebuie sa teste si controalele Centrului de calcul pentru a dovedi ca acestea
functioneaza efectiv. si pentru ca Centrul de calcul realizeaza, de regula, servicii de
prelucrare a datelor similare pentru mai multi clienti, auditorii acestuia ntocmesc un
raport asupra sistemului de control intern propriu, pe care l pun la dispozitia auditorilor
fiecarui client. Totusi auditorii clientului trebuie sa se asigure de competenta auditorilor
Centrului de calcul.
CONCLUZIE. Desi aparitia calculatoarelor si a aplicatiilor software specializate a
creat unele probleme de adaptare pentru economisti, ea le-a largit orizontul de
cunoastere si a extins gama si valoarea serviciilor pe care acestia le pot oferi. n timp,
calculatorul a devenit o unealta folosita pentru realizarea sarcinilor de rutina, cu viteza
si precizie fara precedent. El face posibil accesul la un volum de date care, n trecut, nu
era accesibil din cauza limitarilor de timp si pret de cost. Daca organismul economic
auditat si tine evidentele folosind un sistem informatic complex si sofisticat, auditorii
pot utiliza calculatorul si programe specializate n procesul de audit.

BIBLIOGRAFIE SELECTIV
1. Boulecu Mircea, Doina Fusaru, Zenovic Gherasim- Auditul Sistemelor
Informatice Financiar- Contabile, Editura Tribuna Economica, 2005, Bucuresti.
2. Stefan Popa, Claudia
Expert, 2005, Bucuresti.

Ionescu- Audit n

medii

informatizate,

Editura

3. Ali Eden, Victoria Stnciu- Auditul Sistemelor informatice, Editura Dual Tech,
2004, Bucuresti.
4.

Munteanu A.- Auditul sistemelor informationale contabile, Editura Polirom,


2001, Iasi.

5.

O. Ray Whittington, Kurt Pany, Walter B. Meigs, Robert F. Meigs- Principles of


Auditing. Tenth Edition, IRWIN Boston.

6.

Jack J. Champlain- Auditing


Wiley & Sons Inc., 2003, USA.

Information

Systems, Second

Edition,

John

7. Victor Munteanu- Control si Audit Financiar Contabil, Editura LUMINALEX, 2003,


Bucuresti.