Sunteți pe pagina 1din 29

audit financiar contabil Disciplina: AUDITAREA SISTEMELOR INFORMATICE FINANCIAR

OBIECTIVE Cursul si propune sa asigure masteranzilor cunostintele necesare cu privire la auditarea sistemelor informatice folosite de organismele economice pentru gestionarea si controlul resurselor si activitatilor desf 424g68e 59;surate. Nu si propune sa le ofere cunostinte tehnice despre calculatoare si sisteme informatice, ci sa le prezinte cele mai semnificative moduri n care a fost afectata activitatea de audit de aparitia sistemelor electronice de calcul si de utilizarea acestora de catre organismele economice. CONTEXT GENERAL O discutie despre auditarea sistemelor informatice economice trebuie sa nceapa cu definirea Sistemului Informatic Economic: Sistemul Informatic (SI) de evidenta a activitatilor si bunurilor unui Organism Economic (OE). Sistemul informatic economic prelucreaza automat datele vehiculate n cadrul oricarui tip de organism economic. Auditarea sistemelor informatice economice consta n verificarea si controlul activitatilor sistemelor informatice economice. Sistemul informatic economic fiind un caz particular de sistem informatic, tehnicile si mecanismele de auditare a sistemelor informatice sunt valabile si pentru sistemele informatice economice. De aceea, se va discuta numai despre auditarea sistemelor informatice, ca fiind mai cuprinzatoare.

CONTABILE

Dezvoltarea rapida a sistemelor de prelucrare automata a datelor, determinata de aparitia si evolutia tehnicii de calcul si a software-ului specializat, a avut un impact foarte mare asupra modului de evidenta si control al activitatilor desf 424g68e 59;surate de organismele economice. Evolutia tehnologica a microcalculatoarelor de tip PC, din ce n ce mai performante si mai ieftine, accesibile tuturor, a condus la dezvoltarea rapida a aplicatiilor software dedicate (programe de contabilitate, de salarii, de evidenta a mijloacelor fixe, de secretariat etc.), utilizabile de nespecialisti n informatica si, implicit, la utilizarea, pe scara larga, a sistemelor informatice bazate pe mediu PC. Astazi, si cele mai mici firme si pot permite sa foloseasca, ntr-un fel sau altul, un calculator pentru evidenta resurselor utilizate (materiale, umane, financiare, informationale) si a activitatilor desf 424g68e 59;surate n vederea executarii de produse sau servicii pe care le ofera clientilor cu scopul realizarii de profit. n aceste conditii, sistemele clasice de evidenta si de prelucrare a datelor (manual sau mecanic) sunt nlocuite, treptat, cu sisteme informatice. si, deoarece raportarile financiare periodice sunt solicitate, obligatoriu, si n format electronic (pe FloppyDisk sau prin e-mail), chiar si organismele economice cu activitate foarte redusa (firmele foarte mici) trebuie sa utilizeze o forma de sistem informatic, pentru generarea acestora, sau sa apeleze la serviciile unui centru de calcul.
Sistemele informatice prelucreaza datele introduse n sistem (intrarile) conform unor algoritmi prestabiliti, determinati de regulile de functionare si organizatorice proprii fiecarui organism economic, precum si n conformitate cu reglementarile si legislatia n vigoare. Pentru a controla daca rezultatele prelucrarilor efectuate n interiorul sistemului informatic utilizat respecta conditiile

prestabilite si iesirile furnizate de acesta sunt cele solicitate de manageri, un organism economic, indiferent de volumul sau de activitate, trebuie sa foloseasca o forma de audit al sistemelor informatice. Trebuie facuta distinctie ntre auditul activitatilor economice desfasurate n cadrul unui organism economic si auditul sistemului informatic utilizat de organismul economic respectiv, pentru evidenta activitatilor desf 424g68e 59;surate si a bunurilor sale. Auditul activitatilor economice desfasurate de un organism economic urmareste: - evidentierea tuturor activitatilor economice desfasurate, prin nregistrarea corecta a acestora, pe documente de evidenta si control - suport de hrtie sau format electronic; efectuarea prelucrarilor asupra datelor rezultate din activitatile economice desfasurate, n conformitate cu regulile de gestiune interna ale acestuia, cu normele, reglementarile si legislatia n vigoare;

- generarea tuturor rapoartelor si situatiilor necesare factorilor de conducere (managerilor) pentru a lua cele mai bune decizii; - determinarea valorii taxelor si impozitelor care trebuie platite, conform legislatiei n vigoare; - ntocmirea corecta a declaratiilor financiare, n conformitate cu legislatia n vigoare.

Auditul activitatilor sistemului informatic, utilizat de un organism economic n desfasurarea activitatilor sale economice, urmareste;
- asigurarea corectitudinii, completitudinii si preciziei datelor introduse n sistem, deoarece afecteaza rezultatele prelucrarilor efectuate de acesta; - asigurarea corectitudinii prelucrarilor efectuate asupra datelor introduse n sistem, n sensul ca rezultatele acestora respecta regulile de gestiune specifice organismului economic respectiv si legislatia n vigoare; - asigurarea corectitudinii si integritatii iesirilor sistemului, n sensul ca acestea sunt cele solicitate de managerii organismului economic respectiv si de organismele de control financiar; - asigurarea corectitudinii procedurilor de control (controalelor) folosite pentru auditarea sistemului informatic respectiv. Utilizarea sistemelor informatice n desfasurarea activitatilor lor economice si/sau pentru evidenta si controlul acestora ofera organismelor economice att avantaje, ct si dezavantaje. Principalele avantaje oferite de utilizarea sistemelor informatice de catre organismele economice sunt: mbunatatirea preciziei rezultatelor prelucrarilor, prin eliminarea erorilor umane care pot aparea ntr-un sistem manual de prelucrare si prin procesarea uniforma a datelor, pe masura aparitiei acestora;

cresterea vitezei de procesare, prin prelucrarea automata a datelor si eliminarea timpilor de prelucrare manuala a acestora, oferind utilizatorilor informatiile solicitate, n momentul cnd acestia au nevoie de ele;

- eliminarea fortei de munca implicate n prelucrarea manuala a datelor, prin prelucrarea automata a acestora, folosind calculatorul; sporirea volumului de informatii oferite utilizatorilor ntr-un interval dat de timp, prin cresterea volumului de date prelucrat pe unitatea de timp determinata de prelucrarea automata a acestora;

- sporirea diversitatii si complexitatii informatiilor oferite utilizatorilor, prin prelucrarea automata a datelor si folosirea caracteristicilor grafice ale echipamentelor si programelor disponibile. Principalele dezavantaje oferite organismelor economice de utilizarea sistemelor informatice n desfasurarea activitatilor lor, economice sau neeconomice (stiintifice, de proiectare etc.), se numara: posibilitatea aparitiei unor defecte hardware, care pot determina pierderea datelor si, implicit, imposibilitatea de obtinere, n timp util, a informatiilor bazate pe rezultatele prelucrarii lor; pentru diminuarea efectelor produse de defectele tehnice, fabricantii integreaza n echipamente protectii speciale; posibilitatea aparitiei unor erori software, la nivelul programelor de aplicatie, care pot conduce la rezultate incorecte, neobservate de catre utilizator, deoarece acesta nu are control direct asupra prelucrarii datelor; pentru depistarea si eliminarea acestui tip de erori, proiectantii integreaza n programele de aplicatie protectii speciale;

- posibilitatea virusarii programelor utilizate (software de sistem sau pentru dezvoltarea de aplicatii sau de utilizator), care poate determina pierderea sau alterarea datelor si/sau programelor, conducnd astfel la imposibilitatea utilizarii lor; pentru eliminarea efectelor determinate de virusi se utilizeaza pachete de programe (software) antivirus, puse pe piata de producatori software specializati (Norton AntiVirus, MCAfee etc.); posibilitatea de aparitie a unor erori de manipulare a datelor si/sau a programelor, care poate determina pierderea si/sau alterarea acestora, nsotita de prelucrari gresite, si, implicit, rezultate incorecte care pot trece neobservate att de catre operator, ct si de catre utilizator, deoarece acestia nu au un control direct asupra prelucrarilor efectuate; pentru reducerea efectelor produse de neglijenta sau neatentia n manipularea datelor si/sau programelor se impun masuri adecvate de siguranta.

Prin urmare, capacitatile de prelucrare si precizia calculatorului nu asigura corectitudinea rezultatelor unui sistem informatic. Pentru verificarea rezultatelor prelucrarilor, la nivel de operator sau utilizator, sunt necesare tehnici si mecanisme speciale de audit, asistate sau nu de calculator, integrate sau nu n componentele sistemului de prelucrare automata a datelor utilizat. Avantajele economice si informationale oferite de utilizarea sistemelor informatice n desfasurarea activitatilor lor sunt mult mai importante pentru organismele economice dect dezavantajele utilizarii acestor sisteme, motiv pentru care acestea prefera sa le foloseasca si sa ia toate masurile impuse de necesitatea eliminarii, reducerii sau compensarii efectelor dezavantajelor respective. Prin urmare, n conditiile n care organismele economice folosesc n activitatea lor sisteme electronice de calcul, economistii trebuie sa fie pregatiti sa lucreze ntr-un mediu aflat ntr-o continua

schimbare, n care prelucrarile, evidentele si controlul se fac folosind de la sisteme informatice simple, formate dintr-un singur sistem PC (calculator personal pe care sunt instalate programele necesare si imprimanta), pna la sisteme informatice complexe, care includ retele de PC-uri si echipamente periferice interconectate (intranet, internet, telecomunicatii etc.). Pentru a fi competitivi, ei trebuie sa si mbogateasca cunostintele cu informatii despre sistemele informatice folosite n mediul economic si despre auditarea acestora. CONTROLUL INTERN NTR-UN SISTEM INFORMATIC

Auditarea (auditul) unui sistem informatic consta, n principal, n efectuarea controlului intern n sistemul informatic respectiv pentru verificarea corectitudinii rezultatelor prelucrarilor realizate n interiorul sau si a distribuirii acestora numai catre utilizatorii autorizati, n cazul n care distribuirea se face automat folosind sisteme de calcul.
Pentru efectuarea controlului intern ntr-un sistem informatic se folosesc masuri, metode si tehnici de verificare a corectitudinii rezultatelor prelucrarilor realizate n interiorul sau, cunoscute, n literatura de specialitate, sub denumirea de controale. Altfel spus, controlul intern ntr-un sistem informatic se realizeaza cu ajutorul controalelor. Utilizarea unui sistem automat de prelucrare a datelor nu diminueaza importanta controlului intern realizat n vederea asigurarii corectitudinii rezultatelor prelucrarilor efectuate n interiorul acestuia. Aparitia si utilizarea sistemelor informatice determina nsa folosirea unor masuri si metode de control specifice, care se adauga metodelor traditionale de auditare a sistemelor manuale si/sau mecanice de prelucrare a datelor, deoarece posibilitatea de folosire a unui singur calculator pentru efectuarea tuturor operatiunilor corelate din cadrul unui organism economic impune utilizarea unor controale specifice pentru asigurarea protectiei datelor la pierderi sau alterari si pentru depistarea prelucrarilor eronate, efectuate n interiorul calculatorului. Exemplu: realizarea statului de salarii folosind calculatorul face posibila rezolvarea tuturor problemelor legate de evidenta personalului prin adaugarea datelor de evidenta respective la nregistrarea aferenta fiecarui angajat; n acest caz, fisierul de personal cuprinde nu numai datele necesare realizarii statului de salarii (salariul de ncadrare, vechimea n munca, sporuri, obligatii catre bugetul asigurarilor sociale de stat - CAS, somaj, sanatate, impozit etc.), ci si date legate de pontaj (prezenta, concedii de odihna, concedii medicale), de distributia costurilor salariale pe compartimente, de studii, de locul de munca si functia ocupata etc.; pentru protectia datelor de salarizare si evidenta personal mpotriva pierderilor voite sau accidentale si/sau modificarilor neautorizate, accesul n sistemul automat de evidenta si prelucrare a acestor date este controlat, prin parola si nivel de acces, forma de control specifica sistemelor automate de prelucrare a datelor. n literatura de specialitate, controalele sistemelor informatice sunt clasificate n controale generale si controale de aplicatie. Controalele generale sunt masuri de protectie a echipamentelor, datelor si programelor care privesc toate componentele unui sistem informatic (hardware si software) si pot fi de urmatoarele tipuri: - controale organizatorice: masuri organizatorice folosite pentru protectia la fraude, neatentie si/sau neglijenta; - documentatie de sistem, folosita pentru verificarea functionarii sistemului, n conformitate cu cerintele utilizatorului, specificate n proiectul de executie;

- controale hardware (controale de echipament): masuri de protectie la defectiunile tehnice; - controale de siguranta (echipamente si fisiere): masuri de protectie la pierdere, distrugere sau alterare, la accesul neautorizat sau la calamitati (apa, foc etc.). Controalele de aplicatie sunt tehnici de control specifice, integrate n software-ul de aplicatie (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea si protectia datelor stocate n sistemul respectiv si a rezultatelor prelucrarilor efectuate asupra acestor date. Se proiecteaza si se realizeaza o data cu fiecare sistem informatic. Principalele tipuri de controale de aplicatie sunt: - controale de intrare: masuri de asigurare a corectitudinii intrarilor sistemului; - controale de prelucrare: masuri de asigurare a corectitudinii prelucrarilor efectuate n interiorul sistemului; - controale de iesire: masuri de asigurare a corectitudinii iesirilor sistemului. Majoritatea erorilor identificate n rezultatele finale ale prelucrarilor efectuate de sistemele informatice provin din software-ul de aplicatie (de utilizator) folosit sau din introducerea eronata a datelor. Din acest motiv, controalele de aplicatie joaca un rol major n asigurarea unui control intern eficient n sistemul informatic. Controale organizatorice n sistemul informatic

Controalele organizatorice sunt metode si tehnici de organizare a activitatilor desf 424g68e 59;surate de organismele economice, folosite pentru prevenirea pierderilor si/sau alterarilor de date determinate de frauda, neatentie si/sau neglijenta, n vederea asigurarii unui control intern eficient n sistemele de prelucrare a datelor utilizate de acestea. Principalele tipuri de controale organizatorice sunt:
definirea clara a functiilor, urmata de definirea si separarea clara a sarcinilor angajatilor pentru fiecare functie; rotatia angajatilor pe functii si vacante obligatorii; selectia angajatilor care au acces la echipamentele si programele sistemului informatic si acordarea unui spor de fidelitate. Definirea clara a functiilor, urmata de definirea si separarea clara a sarcinilor si responsabilitatilor (raspunderilor) angajatilor pentru fiecare functie, joaca rolul-cheie n asigurarea controlului oricarui tip de sistem de prelucrare si evidenta a datelor (manual, mecanic, semiautomat sau automat), deoarece protejeaza organismul economic mpotriva pierderilor de date, care conduc la alterarea rezultatelor prelucrarilor. Pentru asigurarea unui control intern puternic ntr-un sistem de prelucrare si evidenta a datelor (manual, mecanic, semiautomat sau automat) din cadrul unui organism economic, nici un angajat nu trebuie sa aiba sarcina si raspunderea completa pentru efectuarea unei activitati; operatia executata de o persoana trebuie verificata de o alta persoana, care ndeplineste o alta sarcina, vizavi de activitatea respectiva. Separarea sarcinilor ntre angajati diferiti asigura corectitudinea nregistrarilor de date (pe hrtie sau suport magnetic) si a rapoartelor, protejnd totodata organismul economic respectiv mpotriva pierderilor de date determinate de fraude sau neglijente.

Schimbarile produse de utilizarea unui sistem automat de prelucrare a datelor n organizarea activitatilor desf 424g68e 59;surate de un organism economic trebuie sa urmareasca att folosirea eficienta a echipamentelor si programelor componente ale sistemului informatic, ct si asigurarea unui control intern puternic n cadrul acestuia. Trecerea de la prelucrarea manuala sau mecanica a datelor la prelucrarea automata a acestora permite unificarea activitatilor si integrarea functiilor dintr-un domeniu de activitate, deoarece un singur calculator poate executa, cu usurinta, toate operatiile corelate din cadrul unui organism economic. Acest lucru este posibil, fara slabirea controlului intern, pentru ca un calculator programat corect nu are posibilitatea sau interesul sa ascunda erorile si de aceea poate efectua orice combinatie de functii considerata incompatibila de un control intern puternic ntr-un sistem traditional de prelucrare a datelor (manual sau mecanic). innd cont si de faptul ca ntr-un calculator programele si datele se pot modifica fara a putea fi observat acest lucru, se impune folosirea unor controale organizatorice compensatoare pentru asigurarea sigurantei programelor si a datelor n vederea obtinerii unor rezultate corecte ale prelucrarilor efectuate n interiorul sistemului informatic. De exemplu, ntr-un sistem manual de prelucrare a datelor, functia de nregistrare a platilor, n numerar, este incompatibila cu functia de verificare a extraselor de cont, deoarece cea de-a doua serveste ca metoda de verificare pentru prima, atribuirea ambelor sarcini aceluiasi functionar permitnd acestuia sa ascunda erorile. Daca cele doua functii, de nregistrare a platilor si de verificare a extraselor de cont, sunt efectuate de un calculator, ele devin compatibile, deoarece calculatorul, programat corect, nu ascunde erorile. Dar, un programator poate modifica programul astfel nct sa fie nregistrata o plata fara baza reala, motiv pentru care acesta nu trebuie sa ndeplineasca si functia de nregistrare a platilor. Pentru folosirea eficienta a fiecarui calculator din dotare, organismele economice combina si concentreaza functiile de prelucrare a datelor la nivelul unui compartiment specializat, numit departament de informatica sau centru de calcul sau centru de prelucrare automata a datelor. Daca functiile combinate si/sau concentrate la nivelul departamentului de informatica sunt considerate incompatibile din punctul de vedere al unui control intern puternic, se realizeaza controale organizatorice compensatoare la nivelul planului de organizare al departamentului informatic respectiv, deoarece ntr-un sistem informatic programele si datele pot fi schimbate, fara a se observa modificarea lor. Planul de organizare al departamentului informatic trebuie astfel conceput nct sa previna interventia neautorizata a factorului uman n procesul de prelucrare automata a datelor, sa previna accesul neautorizat al personalului la echipamentele, programele sau datele sistemului informatic. Acest lucru poate fi realizat prin definirea clara a functiilor n departament si prin definirea si separarea clara a sarcinilor angajatilor pentru fiecare functie. De exemplu, un program utilizat sa faca plati poate fi proiectat sa aprobe plata unui furnizor de materiale sau servicii numai daca factura de plata a fost emisa pe baza unei comenzi si daca exista o nota de receptie. Dar un angajat care are dreptul sa faca modificari n programul de aplicatie poate efectua plati, fara baza reala, catre anumiti furnizori, daca planul de organizare al departamentului informatic respectiv i permite sa faca si plati. Structura organizatorica a fiecarui organism economic si numarul angajatilor de specialitate disponibili determina gradul de separare a sarcinilor legate de proiectarea si/sau realizarea si exploatarea unui sistem informatic. Ca un minim necesar, functia de programator, care necesita cunostinte detaliate despre programul de aplicatie folosit, trebuie separata de functia de operator, care detine controlul intrarilor n programul respectiv. Daca structura organizatorica a unui organism economic, care foloseste pentru evidenta si controlul activitatilor sale un sistem informatic, permite unui angajat sa realizeze att sarcini de programator, ct si de operator, se slabeste controlul intern, existnd permanent posibilitatea de frauda. Separarea activitatii de exploatare de cea de programare este foarte importanta din punct de vedere al asigurarii unui control intern eficient, deoarece un angajat care realizeaza ambele functii poate face schimbari neautorizate n programul sistemului

informatic, producnd fraude. Istoria fraudelor computerizate arata ca, de cele mai multe ori, persoanele implicate au intervenit n sistemul informatic, ca programator si operator, controlnd folosirea lui. De exemplu, daca programatorul care a scris programul de identificare si listare a tuturor conturilor clientilor ce extrag sume de bani mai mari dect limitele admise are acces la sistemul informatic al bancii ca operator, el poate modifica programul astfel nct depasirea limitei de extragere admisa sa fie ignorata, n cazul propriului sau cont. Programatorul operator poate astfel extrage sume de bani din contul sau, fara ca sistemul informatic utilizat sa semnaleze administratorului acest lucru. Frauda nu poate fi descoperita pna cnd programul nu este revizuit de un alt programator sau pna cnd calculatorul nu se defecteaza si lista conturilor cu depasiri de limita trebuie pregatita manual. Daca structura organizatorica a unui organism economic permite accesul personalului de exploatare a sistemului informatic la activele organismului economic respectiv, se slabeste, n mod serios, controlul intern, n cazul n care nu sunt implementate masuri de control (controale organizationale) compensatorii. De exemplu, daca acelasi angajat tine att evidenta activelor unui organism economic folosind un sistem informatic, ct si pastrarea (gestiunea) fizica a acestora, prin combinarea responsabilitatilor corespunzatoare celor doua sarcini se creeaza posibilitatea ca angajatul respectiv sa ascunda sustragerea de active (bani, marfa etc.). De aceea, organismele economice care folosesc sisteme informatice pentru evidenta computerizata a activelor trebuie sa limiteze, pe ct posibil, accesul personalului de exploatare la activele respective. Totusi, personalul de exploatare al unui sistem informatic poate avea:

- acces direct la active; exemplu: daca sistemul informatic este folosit pentru tiparirea cecurilor (acces direct la sume de bani); - acces indirect la active; exemplu: daca sistemul informatic este folosit pentru a genera ordine de livrare cu autorizarea de eliberare a marfii (acces direct la marfa de livrare).
Ca masura de control compensatorie se pot folosi documente si totaluri pe loturi, lista cu numarul de documente si totalul datelor semnificative pentru fiecare lot fiind pregatite n doua departamente diferite ale organismului economic respectiv, pentru compararea rezultatelor. De exemplu, departamentul care autorizeaza tiparirea cecurilor trebuie sa ntocmeasca o lista cu numarul total de cecuri si suma autorizata pentru fiecare, tiparirea acestora facndu-se n alt departament care, la rndul lui, ntocmeste o lista cu numarul de cecuri tiparite si suma aferenta fiecaruia. Pentru fiecare lot, se compara totalurile realizate independent de cele doua departamente diferite ale organismului economic respectiv: totalul calculat nainte si dupa eliberarea cecurilor. Controalele compensatorii nu pot elimina, n ntregime, riscul rezultat din faptul ca personalul de exploatare a sistemului informatic are acces, direct sau indirect, la activele organismului economic. Din acest motiv, auditorii trebuie sa stie ca, acolo unde personalul de exploatare a sistemului informatic are acces la active, frauda care implica utilizarea calculatoarelor poate fi mai mare dect n alte cazuri. Rotatia, pe functii, a angajatilor care au legatura cu sistemul informatic implementat de un organism economic se face cu scopul de a evita schimbarile neobservabile de date si programe efectuate n calculator, fie din interes (frauda), fie din neatentie sau neglijenta. Planul de organizare al unui departament de informatica trebuie sa includa un mecanism de rotatie a sarcinilor si vacante obligatorii pentru angajatii sai, pentru ca schimbarea programatorilor sau operatorilor (ntre ei) faciliteaza descoperirea modificarilor accidentale sau neautorizate de date si programe. Rotirea, pe functii, a angajatilor care se ocupa cu prelucrarea si evidenta datelor asigura un control intern eficient n orice tip de sistem de prelucrare si evidenta a datelor folosit de un organism economic, programelor din sistemele informatice corespunzndu-le n sistemele traditionale documentele scrise.

Selectia angajatilor care au acces la echipamentele si programele sistemului informatic folosit de un organism economic, precum si la datele vehiculate n cadrul acestuia, trebuie facuta pe baza unor criterii care elimina, pe ct posibil, posibilitatile de frauda si producerea erorilor din lipsa cunostintelor profesionale, din neatentie sau neglijenta; personalul de ntretinere si exploatare trebuie ales cu grija, pentru a reduce posibilitatea de distrugere intentionata produsa de un angajat nemultumit. Principalele criterii de selectie a personalului care are legatura cu sistemul informatic sunt: - nivelul de pregatire profesionala dovedit prin: diplome de studii, pregatire teoretica si ndemnare practica, experienta dobndita n timp (vechime n domeniu), calificative obtinute la locurile de munca anterioare etc.; - moralitate si seriozitate demonstrate prin: cazier judiciar, nscrisurile din documentele de angajare (frecventa si motivele de schimbare a locurilor de munca), recomandari de la locurile de munca anterioare si/sau de la alti specialisti n domeniu (profesori, colegi, cunostinte) etc.; - fidelitatea fata de organismul economic la care lucreaza. Selectia atenta a personalului care se ocupa cu prelucrarea si evidenta datelor din cadrul unui organism economic este foarte importanta n realizarea unui control intern eficient, indiferent de tipul sistemului de prelucrare si evidenta a datelor utilizat (manual, mecanic, semiautomat sau automat). Planul de organizare al unui organism economic, cu sau fara departament de informatica, trebuie sa includa un spor de fidelitate pentru angajatii sai care lucreaza n domeniul informatic pentru a evita fraudele computerizate, greu de depistat si foarte periculoase pentru evolutia organismului economic respectiv. Concluzie. Controalele organizationale joaca rolul-cheie n asigurarea unui control intern puternic n cadrul unui sistem informatic, n vederea prevenirii fraudelor, care au implicatii majore asupra evolutiei oricarui tip de organism economic. Ele sunt destul de eficiente n prevenirea fraudelor produse de un singur angajat, dar nu pot preveni fraudele n complicitate, foarte dificil de depistat. Daca un angajat-cheie al organismului economic conspira cu alti angajati n vederea comiterii unei fraude, controalele organizationale interne care se bazeaza pe separarea sarcinilor si rotirea angajatilor pe functii devin inoperante. De exemplu, daca persoane de conducere si angajati ai unui organism economic fac tranzactii fictive si ntocmesc documente false care sustin aceste activitati, cu scopul de a induce n eroare auditorii si organismele de control abilitate, orice structura organizatorica de control este ineficienta. Daca nu sunt descoperite n timp util, fraudele n complicitate conduc la falimentul organismului economic respectiv. Documentatia sistemului informatic

Controlul intern eficient ntr-un sistem informatic impune ntocmirea si ntretinerea unei documentatii care trebuie sa cuprinda:
- aprobarile pentru realizarea sistemului informatic initial si pentru toate modificarile ulterioare ale acestuia; - documentatia completa, care sa descrie, n detaliu, sistemul informatic si procedurile folosite de acesta pentru prelucrarea si evidenta datelor.

Documentatia completa, bine ntocmita, a sistemului informatic creeaza conditiile de asigurare a unui control intern eficient, prin faptul ca: pune instructiunile de operare la dispozitia tuturor utilizatorilor si operatorilor sistemului informatic, pentru eliminarea, pe ct posibil, a erorilor de operare;

- pune programele sursa la dispozitia programatorilor, pentru a crea posibilitatea de revizuire si adaptare ulterioara a sistemului informatic la nevoile de calcul si de control intern ale organismului economic respectiv; pune logica de programare a sistemului informatic la dispozitia auditorilor, pentru a permite identificarea schimbarilor efectuate n sistemul informatic respectiv si a controalelor prevazute prin program. Documentatia sistemului informatic trebuie sa cuprinda: - descrierea completa si inteligibila a sistemului de prelucrare a datelor, inclusiv a diagramelor de sistem; - descrierea naturii intrarilor si iesirilor; - descrierea operatiilor efectuate asupra datelor; - responsabilitatile pentru introducerea datelor, corectarea si reprocesarea datelor eronate, realizarea sarcinilor de control etc. Documentatia completa a unui sistem informatic este formata din: - Manualul de operare sau de utilizare, pentru uzul utilizatorului si operatorului, care contine instructiuni de: pregatire date pentru prelucrare si introducere n sistem; configurare si folosire terminale si echipamente periferice (monitoare, imprimante etc.); ntretinere programe componente si date stocate (nregistrate) n interiorul sistemului.

- Documentatia programului, care contine o descriere completa a fiecarui program component al sistemului informatic respectiv si care trebuie sa includa cel putin: prezentarea, n detaliu, a obiectivelor fiecarui program; diagramele logice si pasii importanti, pentru fiecare program; lista si explicatia controalelor asociate fiecarui program; descrierea modului de organizare si de arhivare a datelor;

exemple de iesiri, inclusiv liste de erori; listing-uri de program, n limbaj-sursa; manualul cu instructiunile de folosire, pentru fiecare program; datele folosite pentru testarea si depanarea fiecarui program.

Documentatia completa a sistemului informatic este necesara analistilor de sistem, ingineri de sistem si programatori analisti, pentru depanare sau realizarea unor modificari. Operatorii calculatorului trebuie sa aiba acces numai la manualul de operare, care contine instructiunile pentru introducerea datelor n sistem si pentru prelucrarea acestora. Daca operatorii au acces la informatii de detaliu cu privire la software-ul de aplicatie utilizat, cresc probabilitatea si posibilitatea ca acestia sa efectueze schimbari neautorizate n programul respectiv, care stau la baza fraudelor computerizate, cele mai periculoase pentru un organism economic. Documentatia completa a sistemului informatic utilizat de un organism economic este utila si auditorilor de sisteme informatice, pentru: determinarea logicii de prelucrare folosite de sistemul informatic auditat, n vederea identificarii eventualelor erori de prelucrare produse n interiorul lui; determinarea schimbarilor (modificarilor) efectuate n sistemul informatic auditat, dupa instalarea acestuia;

- identificarea controalelor integrate n sistemul informatic auditat. n plus, informatiile cuprinse n documentatia unui sistem informatic ajuta auditorii n dezvoltarea de teste sau programe generalizate de audit, necesare pentru testarea sistemelor de prelucrare automata a datelor utilizate de clientii lor. Concluzie. Documentatia sistemului informatic este indispensabila utilizarii, dezvoltarii si auditarii acestuia. Controale hardware

Echipamentele digitale, componentele hardware ale sistemelor moderne de prelucrare automata si de evidenta a datelor au, din constructie, o precizie foarte mare si o fiabilitate foarte buna; prin urmare, toleranta de calcul nu produce erori n rezultatele finale ale prelucrarilor efectuate, iar defectiunile tehnice care determina alterari si/sau pierderi masive de date si programe sunt putine. Pentru evaluarea corecta a fiabilitatii echipamentelor digitale utilizate la implementarea unui sistem informatic, n vederea prevenirii pierderilor (de date si programe) si reducerii erorilor (n rezultatele finale ale prelucrarilor) produse de posibilele defectiuni tehnice ale acestor echipamente, economistii, inclusiv auditorii, trebuie sa cunoasca controalele integrate de fabricant n fiecare tip de echipament, care sunt ntlnite n literatura de specialitate sub numele de controale hardware.

Cele mai ntlnite controale hardware sunt: Ecoul: consta ntr-un semnal pe care echipamentul periferic l trimite (returneaza) catre unitatea centrala de prelucrare, daca a receptionat corect datele transmise de aceasta; prin ecou se verifica daca echipamentul periferic se comporta n conformitate cu instructiunile primite de la unitatea centrala de prelucrare. Autodiagnoza: consta n folosirea unor tehnici si proceduri hardware pentru testarea propriilor circuite; majoritatea echipamentelor moderne, care fac parte din sistemele de prelucrare automata a datelor, contin tehnici sau proceduri de autodiagnoza; exemplu: identificarea circuitelor de interfata sau modulelor de memorie defecte, nainte ca sistemul sa poata fi considerat valid, permitnd astfel utilizatorului sa evite utilizarea unui sistem defect (Post- Power On Self Test). Verificarea prin duplicare: consta n realizarea fiecarei operatii de doua ori si compararea rezultatelor; n procesul dublu de verificare, cunoscut sub numele de citire dupa scriere, calculatorul citeste datele, dupa transferarea lor n sistem, si le verifica corectitudinea. Verificarea paritatii: consta n controlul sau verificarea paritatii ntr-un sistem de calcul digital, modern, care prelucreaza datele n serii de biti (cifrele binare 1 si 0); controlul paritatii se face prin compararea valorilor bitului de paritate, calculate nainte si dupa un transfer de date, pentru a verifica daca biti de date s-au modificat pe durata transferului; bitul de paritate, care contine suma tuturor bitilor de 1(unu) pari sau impari, n functie de constructia fiecarui echipament digital, este adaugat de fabricant la bitii de date folositi pentru reprezentarea numerelor sau caracterelor alfanumerice transferate ntre componentele unui sistem digital de calcul. Concluzie. Asigurarea functionarii corespunzatoare a hardware-ului unui sistem modern de prelucrare automata a datelor, n vederea evitarii pierderilor sau alterarii de date si programe, determinate de aparitia unor defectiuni tehnice, impune nu numai folosirea controalelor hardware prevazute de fabricantul echipamentelor, ci si aplicarea unui mecanism de ntretinere preventiva conceput de catre organismul economic care utilizeaza sistemul informatic respectiv. Auditorii de sisteme informatice trebuie sa cunoasca nu numai controalele hardware integrate de fabricanti n echipamente, ci si masurile de ntretinere preventiva folosite, mpreuna cu modul de aplicare a acestora. Controale de siguranta Fiecare sistem automat de prelucrare a datelor trebuie sa dispuna de controale pentru asigurarea sigurantei: echipamentelor componente (hardware), pentru a nu fi deconfigurate (accidental sau voit), descompletate si/sau distruse; programelor si fisierelor de date, pentru a nu fi pierdute, alterate, distruse sau accesate de personal neautorizat; aceste evenimente se pot produce accidental sau voit. Programele, componentele software ale sistemelor informatice moderne pot produce erori n rezultatele finale ale prelucrarilor efectuate automat si n evidentele computerizate, deoarece pot fi distruse sau alterate cu usurinta, accidental sau voit, blocnd accesul utilizatorilor la volumele mari de date stocate n sistem si, implicit, la informatiile obtinute prin interpretarea rezultatelor prelucrarilor

efectuate asupra acestora; de asemenea, permit foarte usor distrugerea, alterarea sau pierderea, acciden-tala sau voita, a bazelor de date stocate si gestionate de sistemul informatic, n con-ditiile n care cel mai mare volum de munca rezida n crearea si ntretinerea acestora. Principalele tipuri de controale de siguranta utilizate pentru protectia unui sistem informatic sau a componentelor acestuia, hardware sau software, sunt: Programarea sistemului de operare al fiecarui calculator: sa ntocmeasca un jurnal al utilizarii tuturor echipamentelor periferice accesibile (ultimele utilizari); aceasta asigura identificarea momentului ultimei utilizari corecte si aparitiei primului incident n utilizarea fiecarui echipament periferic n parte; exemplu: indica momentul n care s-a utilizat pentru ultima data o imprimanta si momentul n care aceasta a fost deconectata de la calculator (descompletarea sistemului); sa emita un semnal de atentionare, daca se fac tentative de acces repetat n sistem, prin folosirea unor parole incorecte, sau tentative de efectuare a unor operatii care pot distruge datele sau pot genera anomalii n functionarea sistemului respectiv; exemplu: utilizatorul este atentionat de sistemul de operare ca operatia de formatare a unui disc magnetic (HardDisk, FloppyDisk etc.) determina pierderea programelor si/sau datelor stocate pe acesta, dndu-i posibilitatea sa le salveze nainte de efectuarea operatiei respective. Accesul utilizatorilor n sistemul informatic pe baza pe nivele de acces si parola individuala secreta; permite numai personalului autorizat sa utilizeze programele componente si datele stocate n sistem; exemplu: ntr-un sistem de prelucrare distribuita, n care datele pot fi alterate din orice locatie de unde se poate accesa sistemul, la fiecare punct de lucru sunt necesare masuri suplimentare de control al accesului, pe baza de parole si nivele de acces, pentru a preveni distrugerea datelor stocate n sistem si a evita pierderea ncrederii utilizatorilor n informatiile obtinute pe baza rezultatelor oferite de ntregul sistem. Crearea functiei de administrator al bazei de date, pentru protejarea acesteia la accesul neautorizat, de catre organismele economice care utilizeaza sisteme informatice tip baza de date, administratorul unei baze de date are sarcina principala de administrare a accesului la baza de date, deoarece, din punctul de vedere al controlului intern ntr-un astfel de sistem, este foarte important ca baza de date sa fie protejata mpotriva accesului neautorizat; exemplu: administratorul bazei de date a clientilor (fisierul clientilor), care contine toate datele de identificare si despre activitatea fiecarui client n parte, folosite de secretariat (pentru ntocmirea contractelor), la departamentul de vnzari (pentru evidenta activitatii clientilor respectivi), la serviciul contabilitate (pentru evidenta platilor efectuate de acesta) etc., gestioneaza accesul utilizatorilor la baza de date respectiva. Programarea fiecarei componente a software-ului de aplicatie utilizat de sistemul informatic: sa emita un semnal de atentionare, daca se fac tentative repetate de acces (prin folosirea unor parole incorecte), daca se ncearca efectuarea unor operatii care pot distruge datele sau pot genera anomalii n functionarea sistemului respectiv; exemplu: programul de aplicatie atentioneaza utilizatorul, printr-un mesaj, ca operatia care urmeaza a se efectua asupra datelor poate fi produsa de un virus care le distruge, lasndu-i posibilitatea de a decide daca operatia respectiva este sau nu cea programata;

sa ntocmeasca o lista a celor mai recenti utilizatori: nume, parola, data si ora accesului; aceasta permite identificarea momentelor cnd s-au produs incidente si a utilizatorilor care, prin modul de operare, determina anomalii n functionarea Sistemului informatic, pierderi sau alterari de programe sau date, cu scopul de a afla informatii legate de incidentele respective, n vederea stabilirii posibilitatilor de refacere a sistemului, si de se ridica dreptul de acces tuturor celor care nu-l exploateaza corect; sa ntocmeasca o lista cu ultimele operatii efectuate de fiecare utilizator; prin consultarea acestei liste se identifica operatia sau secventa de operatii care produce anomalii n functionarea sistemului informatic, pierderi sau alterari de programe si/sau date, n vederea efectuarii corectiilor care se impun. Crearea unor copii de siguranta pentru toate componentele software utilizate de sistemul informatic (fisiere de date si programe etc.), lucru care permite refacerea acestora, daca sunt pierdute sau alterate. Din motive de securitate, copiile de siguranta se depoziteaza n locatii separate de original. De exemplu: benzile sau discurile magnetice, folosite pentru stocarea pe termen lung a datelor si programelor de aplicatie, pot fi afectate de expunerea la caldura excesiva sau la un cmp magnetic sau, pur si simplu, de trecerea timpului; de aceea, se recomanda crearea a 2 (doua) copii de siguranta simultan si transferul periodic al arhivelor de date si programe de pe un suport magnetic pe altul; pentru siguranta, bazele de date trebuie mutate, la intervale regulate de timp, pe alte discuri sau benzi magnetice; cel mai fiabil suport pentru stocarea pe termen lung este, n prezent, CD-ul; n timpul utilizarii, orice fisier (de date sau program) poate fi sters, din greseala, sau poate fi distrus, n orice moment, de un virus; pentru refacerea rapida a fisierelor pierdute sau distruse accidental, se recomanda pastrarea (salvarea) unei copii de siguranta (ultima versiune corecta si/sau completa) n sistem (pe HardDisk) si/sau n exteriorul acestuia (pe FloppyDisk sau pe CD); exemplu: n sistemele de procesare n loturi, fisierele care sunt actualizate periodic, numite fisiere master, se salveaza respectnd principiul de salvare numit bunic - tata - fiu, potrivit caruia fisierul master curent actualizat este fiul, fisierul master utilizat n actualizare (care a produs fiul) este tatal si fisierul anterior tatalui este bunicul; cele trei generatii de fisiere de date se vor depozita n locatii diferite, pentru a minimiza riscul pierderii tuturor; n timpul functionarii, orice sistem de calcul se poate defecta, producnd pierderea/ distrugerea fisierelor stocate (memorate) n sistem (pe HardDisk); de aceea, pentru prevenirea pierderilor masive de date si programe produse de defectiunile tehnice, se recomanda arhivarea acestora pe suport magnetic extern (FloppyDisk, CD-ROM, CD- RW, USB- flash etc.) Masuri de protectie la accidente sau sabotaj (foc, apa, distrugere etc.), care previn distrugerea accidentala sau deliberata a sistemului informatic, n ntregul sau, care constau, de regula, n: limitarea accesului, n aria de desfasurare a activitatii, numai pentru personalul autorizat; intrarile n locatiile destinate sistemului informatic trebuie sa fie controlate de agenti de paza sau activate pe baza de cartela de acces; construirea locatiilor destinate sistemului informatic (camera calculatorului) din materiale rezistente la foc, deasupra nivelului probabil de inundatie si dotarea acestora cu aer conditionat, pentru a evita aparitia defectelor tehnice si a preveni deteriorarea suportilor magnetici de stocare a datelor si

programelor (benzi sau discuri magnetice) prin asigurarea unei temperaturi si umiditati corespunzatoare n spatiul lor de functionare. Concluzie. Fara implementarea masurilor de siguranta adecvate (controale de siguranta) nu este posibila asigurarea unui control intern eficient ntr-un sistem informatic, deoarece acestea protejeaza la distrugere, alterare sau acces neautorizat att sistemul, n ansamblul sau, ct si componentele acestuia. Controlul intrarilor Controlul intrarilor consta n tehnici de verificare a datelor primite pentru prelucrare, la introducerea acestora n sistemul informatic. Aceste tehnici, numite controale de intrare, permit introducerea n sistemul informatic numai a datelor care sunt autorizate, corecte si complete din punctul de vedere al evidentei si controlului activitatilor desf 424g68e 59;surate n cadrul organismului economic sau compartimentului specializat al acestuia pentru care s-a proiectat sistemul respectiv. Autorizarea introducerii datelor n sistemul informatic prin implementarea unor controale de acces specifice care dau dreptul de autorizare numai:

- personalului departamentului la care s-a ntocmit documentul de evidenta si control (suport material sau) pe care sunt nregistrate datele initial; exemplu: Contractul/Comanda de vnzare/cumparare, Factura de vnzare/cumparare, Cererea de deschidere cont/acordare credit etc.; de regula, personalul departamentului care gestioneaza si prelucreaza datele stocate (pastrate) ntr-un sistem de tip baza de date nu este autorizat sa introduca date n sistemul respectiv; exemplu: angajatii departamentului de vnzare nu sunt autorizati sa introduca n sistemul de prelucrare automata datele de pe facturile ntocmite de ei;
- personalului cu nivelul de acces corespunzator, pentru sistemele on-line n care datele se introduc direct, de la terminale aflate n locatii diferite, la distanta de sistemul de calcul n care sunt stocate si/sau prelucrate; Validarea intrarilor consta n aplicarea unor tehnici de verificare a corectitudinii si completitudinii datelor, pe masura introducerii lor n sistemul informatic; aceste tehnici, controale de validitate, pot fi de urmatoarele tipuri: test de limita: verifica corectitudinea datelor prin verificarea ncadrarii acestora ntre limitele (inferioara si/sau superioara) prestabilite pentru fiecare tip de date, pe baza regulilor de gestiune proprii organismului economic sau legislatiei n vigoare; exemplu: salariul brut al unui angajat salariul minim brut pe economie; test de validitate: verifica autenticitatea datelor care se introduc n sistem, prin compararea lor cu valorile predefinite pentru tipul respectiv de date, memorate ntr-un tabel numit tabel master; spre exemplu, Marca unui angajat trebuie sa faca parte din multimea marcilor din tabelul master aferent, definit n sistem; numar de autocontrol: verifica precizia unui numar la introducerea n sistem sau dupa ce a fost transmis de la un terminal la altul, prin memorarea unei informatii redundante; exemplu: ultimele doua cifre trebuie sa fie suma celorlalte;

mecanism de testare dubla: verifica corectitudinea unei date prin introducerea acesteia n sistem de doua ori, n mod independent; exemplu: CNP-ul unui angajat; documentele sursa (suport material) convertite n formate citibile de catre masina (suport electronic - fisier). Validarea intrarilor, prin aplicarea unor tehnici de verificare asupra datelor, la introducerea lor n sistem, asigura: corectitudinea datelor: sunt acceptate numai datele corecte, care trec testele de verificare, fiind rejectate toate cele care nu ndeplinesc conditiile impuse de testele de verificare respective; completitudinea datelor: sunt identificate datele care lipsesc si sunt solicitate, pna cnd sunt introduse, ntruct absenta lor nu permite obtinerea rezultatelor sau evidentelor corecte pe care trebuie sa le ofere sistemul informatic utilizatorilor sai (situatii, liste, rapoarte etc.) n vederea fundamentarii deciziilor sau pentru informare. Exemplu: asigurarea corectitudinii si completitudinii datelor introduse n sistemele cu prelucrare pe loturi se poate face prin implementarea urmatoarelor tipuri de controale de validare a intrarilor: - nregistrarea secventei de serii si numere a documentului sursa care contine lotul de date si implementarea unor teste specifice de identificare a elementelor din lot care sa determine solicitarea datelor pierdute sau eliminarea celor adaugate; exemplu: nregistrarea secventei de serii si numere aferente facturilor de vnzare/cumparare dintr-o luna; - nregistrarea numarului de date dintr-un lot si implementarea unui test care l compara cu numarul de date introduse n sistem; exemplu: numarul angajatilor unui organism economic; - controlul TOTALULUI, pentru fiecare tip de date numerice dintr-un lot, prin implementarea unui test de comparare a totalului calculat, dupa introducerea tuturor datelor din lot, cu totalul calculat, pe masura introducerii acestora n sistem; n acest caz , TOTALUL are semnificatia intrinseca data de semantica denumirii care i s-a atribuit; exemplu: totalul vnzarilor/cumpararilor, pentru un lot de comenzi; - controlul TOTALULUI HASH se deosebeste de controlul TOTALULUI prin aceea ca nu are o semnificatie intrinseca, dar este folosit n acelasi mod; exemplu: suma Codurilor Numerice Personale (CNP) ale angajatilor care trebuie introdusi pentru procesare ntr-un program de salarizare. Concluzie. ntruct majoritatea erorilor identificate n rezultatele finale ale prelucrarilor sau evidentelor efectuate de sistemele informatice provin din introducerea eronata a datelor, nu se poate asigura un control intern puternic n cadrul unui asemenea sistem fara implementarea unor controalele de intrare eficiente. Controlul procesarii

Controlul procesarii, care asigura fiabilitatea si precizia prelucrarilor efectuate asupra datelor introduse n sistemul informatic, consta n folosirea urmatoarelor tipuri de controale: Controale de program, integrate n programul de aplicatie, care pot fi:

- controale de intrare, implementate sub forma de controale de procesare: teste de limite, teste de validitate, numere de autocontrol, numar de nregistrari, totaluri si totaluri de tip HASH; - etichete externe: identifica n mod unic fisierele de date folosite n fiecare tip de prelucrari, pentru a preveni greselile de utilizare a acestora; exemplu: fisierul cu eticheta Angajat, care contine datele angajatilor unui organism economic folosite pentru identificarea si retribuirea acestora, este utilizat la ntocmirea statului de plata lunar; - etichete interne care, mpreuna cu etichete externe, previn greselile de utilizare a fisierelor de date n prelucrari; exemple: eticheta header (mesaj nregistrat la nceputul fisierului, n limbaj cod masina, citibil pe o banda magnetica sau pe un hard-disc, folosit pentru a identifica fisierul si data crearii sale) si eticheta end of file (mesaj nregistrat la sfrsitul unui fisier, care contine informatii de tipul numarului de nregistrari din fisierul de date sau totalul de control). Jurnale de activitate sau de prelucrare, care se pun la dispozitia personalului autorizat sau grupului de control din cadrul organismului economic sau Departamentului de informatica constituit n cadrul acestuia, daca exista, pentru analiza activitatilor desf 424g68e 59;surate de sistemul de prelucrare automata a datelor, si care descriu: - activitatea fiecarui operator: secventa de operatiuni efectuate; fiecare executie a programului (rulare): timpul de executie, blocajele masinii, interventiile operatorului de la consola sistemului (tastatura), fisierele master utilizate etc.

Liste de erori, care se tiparesc n cazuri exceptionale, cnd sistemul detecteaza erori grave si opreste sau nu prelucrarea. Listele de erori se transmit direct grupului de control al organismului economic care utilizeaza sistemul informatic respectiv, pentru investigatii si remedierea anomaliilor de functionare identificate. Dupa efectuarea corectiilor, grupul de control verifica corectitudinea prelucrarilor si eliminarea erorilor raportate de sistem.
Concluzie. Pentru asigurarea unui control intern puternic si eficient, controalele de program pun la dispozitia grupului de control al organismului economic, a utilizatorilor si/sau auditorilor unui sistem informatic, mecanisme de verificare a prelucrarilor efectuate n interiorul acestuia, compensnd faptul ca nu da acces direct celor interesati la prelucrarile respective pentru a le verifica corectitudinea si/sau completitudinea. n plus, se impune, ca masura de control, monitorizarea activitatii operatorilor, cu scopul de a-i identifica pe cei care fac greseli si a le ridica dreptul de acces n sistemul informatic. Controlul iesirilor Controlul iesirilor consta n masuri si tehnici de verificare a corectitudinii rezultatelor oferite de sistemul de prelucrare automata a datelor utilizatorilor sai. Acestea pot fi: Controale ale utilizatorului, care constau n:

compararea rezultatelor sistemului, prezentate sub forma de liste, rapoarte, situatii etc. cu cerintele definite de utilizator; exemplu: compararea periodica a totalurilor generate automat de un sistem informatic de salarizare cu totalurile, generate n faza de introducere a datelor, manual sau folosind alt sistem informatic de acelasi tip; analize si teste efectuate de utilizatori specializati; exemplu: corectitudinea facturilor de vnzare generate de sistemul informatic, din punctul de vedere al ntocmirii si al preturilor, trebuie verificata de un contabil. Controale de program, care analizeaza si testeaza automat corectitudinea iesirilor sistemului informatic n raport cu cerintele definite de utilizatori. Sunt mai eficiente dect controalele utilizatorului, pentru ca, fiind integrate n sistem, verificarile pe care le efectueaza se fac automat. Controale ale grupului de control al sistemului informatic, care constau n masuri de verificare a iesirilor de catre personalul autorizat al organismului economic, cu sau fara departament specializat de informatica, care urmaresc: distributia rezultatelor prelucrarilor sau evidentelor efectuate, prin sistemele de calcul componente ale sistemului informatic, numai catre utilizatorii autorizati; analiza erorilor raportate de sistem, identificarea cauzelor de aparitie a lor si verificarea eliminarii acestora din sistemul automat de prelucrare si evidenta respectiv. Concluzie. Scopul controlului intern ntr-un sistem informatic l constituie verificarea corectitudinii rezultatelor prelucrarilor realizate n interiorul sau si distribuirea acestora, manual sau prin intermediul sistemului de prelucrare automata a datelor folosit, numai catre utilizatorii autorizati. Prin urmare, nu se poate vorbi de control intern ntr-un sistem informatic fara controale de iesire, folosite de grupul de control al organismului economic, de utilizatori si/sau de auditori pentru a verifica daca sistemul informatic utilizat respecta cerintele utilizatorilor pentru care a fost proiectat si implementat. Un control intern puternic si eficient impune utilizarea tuturor masurilor, tehnicilor si mecanismelor, denumite generic controale de audit, controale interne sau, mai simplu, controale, care servesc scopului urmarit si permit organismelor economice sa utilizeze n desfasurarea activitatilor lor economice, stiintifice, organizatorice etc. sistemele informatice, beneficiind astfel de avantajele majore oferite de acestea: puterea de calcul, de stocare (memorare), de evidenta si de prezentare grafica. SARCINILE DE CONTROL ALE AUDITORILOR NTR-UN SISTEM INFORMATIC ntr-un organism economic, functia de auditor al sistemului informatic trebuie sa existe separat si distinct de functia de control atribuita personalului autorizat sau grupului de control din Departamentul de informatica, daca acesta este constituit, deoarece personalul autorizat sau grupul de control efectueaza controlul zilnic al prelucrarilor si distribuirilor automate de date, n timp ce auditorii evalueaza eficienta prelucrarilor efectuate asupra datelor si a controalelor corespunzatoare, n ansamblu. Auditorii sistemelor informatice trebuie sa participe la proiectarea acestora pentru a se asigura ca:

- sistemul creeaza un jurnal corect si complet al prelucrarilor (jurnal de activitate); - se implementeaza controalele necesare pentru asigurarea unui control intern, la nivelul solicitat de utilizatori. Auditorii testeaza sistemul informatic, n momentul n care acesta devine operativ: - verifica daca au fost implementate toate controalele interne prevazute n proiect; - stabilesc daca toate controalele interne implementate n sistem functioneaza asa cum a fost planificat; - iau masurile necesare pentru corectia erorilor de implementare si functionare a controalelor interne prevazute n proiect; - identifica eventualele schimbari neautorizate efectuate n sistemul informatic si iau masurile necesare pentru eliminarea sau autorizarea acestor schimbari. Pentru asigurarea controlului intern, la nivelul solicitat de utilizatori, definit prin proiect, auditorii ndeplinesc urmatoarele sarcini: - verifica separarea, din punct de vedere functional, a personalului de programare de personalul de operare si impun masurile organizatorice necesare pentru realizarea acestei separari; - verifica documentatia initiala a sistemului informatic si actualizarea acesteia, n cazul n care sunt autorizate schimbari; - verifica ndeplinirea sarcinilor care au fost atribuite personalului autorizat sau grupului de control al sistemului informatic; - urmaresc aplicarea masurilor de siguranta a sistemului informatic; - urmaresc functionarea efectiva a controlului, n cadrul organismului economic care utilizeaza, pentru evidenta activitatilor sale, un sistem informatic. Functia de auditor al sistemului informatic utilizat de un organism economic poate fi atribuita unui angajat permanent sau unui colaborator extern al acestuia, dupa cum sarcinile pe care trebuie sa le ndeplineasca auditorul impun, sau nu impun, prezenta permanenta a acestuia la locul de munca. Daca volumul de activitate desfasurat sau nivelul de eficienta solicitat pentru controlul intern al sistemului informatic utilizat este ridicat, organismul economic trebuie sa angajeze proprii sai auditori. n caz contrar, poate folosi, pentru ndeplinirea sarcinilor de audit, colaboratori externi specializati, care pot ocupa functia de auditor la mai multe organisme economice. Din acest punct de vedere, auditorii sistemelor informatice pot fi interni sau externi organismului economic care utilizeaza un sistem informatic. Auditorii externi pot fi auditori independenti sau angajati ai organismelor financiare sau agentiilor guvernamentale de control. UTILIZAREA SISTEMELOR INTEGRATE DE TESTARE N AUDITAREA SISTEMELOR INFORMATICE

Auditorii pot folosi pentru testarea si monitorizarea controalelor interne implementate ntr-un sistem informatic asa-numitul sistem integrat de testare, care consta n integrarea unui set de fisiere de test, programe si date de test n sistemul informatic respectiv. Aceste fisiere de test permit ca datele de test pe care le contin sa fie prelucrate simultan cu datele reale, fara ca datele reale respective si rezultatul prelucrarii lor sa fie afectate. Datele de test, care cuprind toata gama imaginabila de date posibil a fi introduse n sistemul informatic respectiv, afecteaza numai fisierele de test si rezultatele prelucrarilor acestora. Sistemul integrat de testare poate fi implementat n toate tipurile de sisteme informatice, inclusiv n sistemele informatice on-line, n timp real.
Sistemul integrat de testare poate fi folosit de auditori si pentru monitorizarea prelucrarilor datelor de test n vederea studierii efectelor produse de prelucrarile efectuate asupra fisierelor de test, listelor de erori si iesirilor sistemului informatic. Ei comunica concluziile personalului autorizat sau grupului de control care efectueaza controlul zilnic. Spre exemplu, un sistem integrat de testare pentru aplicatii de salarizare si evidenta personal poate defini un departament fictiv pentru care nregistreaza angajati fictivi n fisierele de angajati si salarii. Datele de la departamentul fictiv vor fi introduse n sistem simultan cu datele de la departamentele reale. Auditorii, externi sau interni, vor monitoriza toate iesirile aferente departamentului fictiv, inclusiv nregistrarile de salarii, listele de erori si cecurile emise. n acest caz, e necesar un control strict al iesirilor n vederea prevenirii folosirii neautorizate a cecurilor fictive. Folosirea sistemelor integrate de testare prezinta riscul de manipulare eronata a datelor reale, prin transferarea lor n sau din fisierele fictive. Pentru eliminarea acestui dezavantaj, auditorii trebuie sa monitorizeze toate activitatile n fisierele fictive utilizate si sa impuna masuri riguroase de prevenire a accesului neautorizat la aceste fisiere. De asemenea, proiectarea unui astfel de sistem trebuie facuta cu atentie, pentru a elimina riscul ca fisierele reale sa fie contaminate ntmplator cu date din fisierele fictive de test. IMPACTUL UTILIZRII SISTEMELOR INFORMATICE ASUPRA AUDITULUI ORGANISMELOR ECONOMICE

Organismele economice, care folosesc sisteme manuale sau mecanice de prelucrare a datelor, ntocmesc documente de evidenta, prezentare si control al activitatilor desf 424g68e 59;surate pe suport material (hrtie), pe care orice modificare de date (nregistrare, actualizare sau stergere) lasa urme, ramne vizibila. Sistemele informatice, fiind sisteme automate de prelucrare, evidenta si stocare a datelor, permit modificarea datelor introduse (nregistrate) n sistem (pe suport electronic), fara nici o urma vizibila a schimbarilor facute. La nceputul dezvoltarii sistemelor informatice, acest lucru a produs o mare ngrijorare printre economisti (contabili, finantisti, auditori etc.) care considerau ca prelucrarile electronice de date vor ascunde, sau chiar vor elimina, nregistrarile de date necesare n procesul de audit. Desi, din punct de vedere tehnologic, este posibila proiectarea unui sistem informatic n care datele produse de activitatile efectuate de organismele economice sa nu fie nregistrate, n vederea efectuarii unui control, un astfel de sistem nu este nici practic, nici de dorit. Exista motive reale de integrare a unui sistem de audit, chiar si n cele mai sofisticate sisteme informatice, determinate, n principal, de:

necesitatea de coordonare si controlare a activitatilor desf 424g68e 59;surate de un organism economic de catre factorii acestuia de decizie (managerii sai); nevoia de reconstructie a fisierelor de date si de program, distruse de eventualele erori de prelucrare sau posibilele defecte tehnice;

desfasurarea activitatii de control (audit) de catre auditori independenti sau agentii guvernamentale. n cazul sistemelor informatice sofisticate, dificultatea unui audit este data de faptul ca nregistrarile datelor rezultate din activitatile organismelor economice, folosite n procesul de audit, pot exista numai pe suport electronic, ntr-un format cod-masina, nu si ntr-o forma tiparita. Uneori, dupa ce sunt generate, datele pentru audit sunt transferate pe un mediu de stocare cu pret redus, cum ar fi microfisele. Mai mult dect att, anumite organisme economice folosesc asa-numitul Electronic Data Interchange (EDI), n care organismul economic respectiv, mpreuna cu clientii si furnizorii sai folosesc legaturi de comunicatii electronice (telecomunicatii, comunicatii radio sau pe fibra optica etc.) pentru a schimba date pe cale electronica. n astfel de cazuri, documentele sursa tiparite (facturi, ordine de plata, cecuri, avize de expeditie etc.) sunt nlocuite cu documente similare n format electronic. Exemplu: ntr-un sistem informatic de tip EDI, o tranzactie de cumparare poate fi initiata automat de catre calculatorul firmei care solicita cumpararea prin trimiterea unui mesaj electronic, de tip comanda direct, la calculatorul furnizorului sau. n aceste conditii, auditorii trebuie sa utilizeze controale de audit care sa integreze tehnici specifice de retentie a datelor si de prelucrare a lor, n vederea asigurarii unui audit adecvat. ntr-un sistem informatic, datele necesare auditului pot fi nregistrate: pe documente tiparite din calculator; n format electronic, citibil numai pe calculator.

n sistemele informatice, datele nu se nregistreaza ntr-un format traditional, pe documente sursa scrise de mna, ci numai n format electronic, care poate fi tiparit, la cerere, pe suport material de tip hrtie sau poate fi urmarit direct pe ecranul calculatorului. Prin urmare, teama economistilor ca utilizarea sistemelor informatice n desfasurarea activitatilor economice va elimina datele necesare auditului nu s-a materializat. nca din faza de proiectare a unui sistem informatic, auditorii interni si, eventual, externi, urmaresc integrarea n sistem a unor tehnici de audit care asigura pastrarea (memorarea) datelor necesare efectuarii unui control intern eficient al sistemului respectiv.

CONSIDERATIILE AUDITORILOR CU PRIVIRE LA CONTROLUL INTERN NTR-UN SISTEM INFORMATIC


Indiferent de tipul sistemului de evidenta (gestiune) a activitatilor economice si de prelucrare a datelor (manual, mecanic sau informatic) folosit de organismele economice, auditorii trebuie sa efectueze un control intern, pentru realizarea caruia este necesar: - sa evalueze corect riscul de control (posibilitatea de existenta a unor erori care nu pot fi detectate);

- sa determine natura activitatilor desf 424g68e 59;surate de organismul economic auditat; - sa stabileasca tipul si amploarea activitatilor de audit necesare; - sa aprecieze timpul necesar pentru completarea auditului.

Pe baza celor stabilite n vederea completarii auditului, auditorii pot face organismului economic recomandari pentru mbunatatirea structurii de control intern. Indiferent de tipul sistemului de gestiune si prelucrare a datelor folosit de un organism economic, recomandarile pe care le fac auditorii cu privire la controlul intern se mpart n patru categorii, corespunzatoare urmatoarelor patru tipuri de activitati:
planificarea auditului; pentru aceasta. auditorii trebuie sa nteleaga suficient de bine rolul controlului intern, modalitatile de realizare a acestuia si tehnicile de integrare a controalelor n sistemul de gestiune si prelucrare a datelor folosit de un organism economic;

- evaluarea riscului de control si proiectarea testelor aditionale pentru procedurile de control ale sistemului informatic; - realizarea testelor aditionale pentru procedurile de control ale sistemului informatic; - reevaluarea riscului de control al sistemului informatic si modificarea corespunzatoare a testelor de evaluare.

Pregatirea auditorilor pentru planificarea auditului si proiectarea controalelor (testelor) de audit


Planificarea auditului pentru un organism economic si necesitatea proiectarii de teste de audit eficiente solicita auditorilor sa aiba cunostintele de specialitate necesare ntelegerii structurii unui control intern, indiferent de tipul sistemului de gestiune si prelucrare a datelor utilizat (manual, mecanic sau electronic) si de complexitatea acestuia.

Pentru planificarea auditului si proiectarea de teste de audit eficiente, auditorii trebuie sa aiba cunostinte despre:
- procedurile si tehnicile de audit disponibile; - proiectarea si realizarea controalelor interne; trebuie sa stie ce se urmareste prin auditul intern si cum se poate realiza un audit complet; sistemele de gestiune si prelucrare a datelor utilizate de organismele economice; trebuie sa cunoasca particularitatile fiecaruia, din punct de vedere al auditului; tehnicile de integrare a controalelor interne n sistemele de gestiune si prelucrare a datelor disponibile; natura activitatilor desf 424g68e 59;surate de organismele economice: caracteristicile si particularitatile acestora, din punctul de vedere al auditului;

- legislatia n vigoare. Evolutia tehnologica a microcalculatoarelor de tip PC, din ce n ce mai performante si mai ieftine, a condus la aparitia si dezvoltarea continua a aplicatiilor software si, implicit, la utilizarea, pe scara larga, a sistemelor informatice bazate pe mediu PC. Practic, sistemele de gestiune si prelucrare a datelor clasice (manual sau mecanic) sunt pe cale de disparitie, fiind nlocuite de sisteme informatice. n aceste conditii, auditorii trebuie sa aiba cunostinte suplimentare de informatica, minimul necesar care sa le permita sa si desfasoare activitatea de control. Pentru a stabili natura, durata si amploarea activitatilor de audit, auditorul trebuie sa aiba suficiente cunostinte informatice pentru a face analiza procedurilor de prelucrare utilizate si a rezultatelor acestora. Auditarea sistemelor informatice simple, care prelucreaza datele folosind algoritmi de calcul usor de aplicat, nu impune testarea acestor sisteme folosind proceduri de test implementate pe calculator; n acest caz, auditorii compara rezultatul prelucrarilor datelor de test, obtinut manual, cu cel obtinut folosind sistemul informatic auditat si analizeaza diferentele; aceasta tehnica este denumita auditarea evitnd calculatorul, deoarece auditorii evita calculatorul n realizarea auditului. Auditarea sistemelor informatice complexe impune nsa folosirea procedurilor de audit implementate pe calculator si proiectarea unor teste suplimentare pentru controlul acestor proceduri. Documentatia ntocmita de auditor, asa-numitul raport de audit, variaza n functie de complexitatea sistemului informatic auditat. Pentru un sistem cu structura simpla de control intern, poate fi suficienta o descriere. De regula, nsa, raportul de audit trebuie sa contina: Diagramele Sistemului Informatic, care descriu activitatile desfasurate de sistemul informatic utilizat de organismul economic auditat si care pot fi: - diagrame de sistem: sunt folosite, n mod curent, n procesul de audit, ca tehnica de descriere a controlului intern; prezinta avantajul ca fac parte din documentatia standard a sistemului informatic, prin urmare nu mai trebuie ntocmite de auditor; exemplu: diagrama de vnzari, diagrama de credite, diagrame de ncasari etc.; diagrame de program: prezinta, n detaliu, logica unui anumit program folosit de sistemul informatic; auditorii care pot interpreta diagramele de program pot ntelege si interpreta controalele continute ntr-o anumita aplicatie software, folosita de Sistemul Informatic auditat.

Chestionare, special proiectate, pentru a fi folosite n procesul de control al sistemului informatic; exemplu: chestionare de control al accesului ntr-un sistem informatic. Concluzie. Proiectarea, realizarea si utilizarea tehnicilor de audit asistate de calculator impun auditorilor, pe lnga cunostinte temeinice din domeniul economic, cunostinte suplimentare din domeniul informatic si din domeniul de activitate al organismelor economice de auditat.

Evaluarea riscului de control planificat si proiectarea de teste aditionale pentru controlul (testarea) procedurilor de audit
Riscul de control al unui sistem informatic reprezinta posibilitatea de existenta a unei erori care nu poate fi prevenita sau detectata n timp util de catre controlul intern al sistemului respectiv.

Pentru a determina nivelul riscului de control planificat al sistemului informatic auditat, auditorii trebuie sa cunoasca si sa nteleaga:
mediul de control specific organismului economic care utilizeaza sistemul informatic auditat; schimburile de date din cadrul organismului economic care utilizeaza sistemul informatic auditat; procedurile de control intern implementate n sistemul informatic auditat. Daca, pentru sistemul informatic auditat, nivelul riscului de control planificat a fost evaluat ca fiind: mare, atunci este admisa posibilitatea aparitiei unor erori nedetectabile de controlul intern implementat n sistemul respectiv; n aceste conditii, nu sunt necesare teste aditionale pentru verificarea procedurilor de audit utilizate; scazut, atunci nu este admisa posibilitatea aparitiei unor erori nedetectabile de controlul intern implementat n sistemul respectiv; n aceste conditii, sunt necesare teste aditionale pentru verificarea procedurilor de audit utilizate. n evaluarea riscului de control planificat pentru un sistem informatic, se tine cont de cerintele utilizatorului cu privire la precizia rezultatelor solicitate sistemului respectiv si de specificul domeniului de activitate gestionat cu ajutorul acestui sistem; daca cerintele de precizie impuse sistemului informatic nu admit posibilitatea aparitiei unor erori nedetectabile de controlul intern proiectat si implementat n interiorul acestuia, se impun proiectarea si implementarea unor controale de audit suplimentare pentru testarea (verificarea) controalelor de audit folosite. Realizarea controalelor aditionale pentru controalele de audit ale sistemelor informatice Pentru testarea controalelor de audit integrate ntr-un sistem informatic se folosesc proceduri de control cunoscute sub denumirea de controale aditionale de audit, care verifica daca controalele de audit descrise n documentatia de audit sunt implementate si functioneaza asa cum a fost prevazut n analiza de sistem.

Auditorii trebuie sa efectueze verificarea tuturor controalelor de audit pe care intentioneaza sa le ia n consideratie n evaluarea riscului de control aferent sistemului informatic auditat, indiferent de natura acestuia. Trebuie nsa precizat ca unele controale aditionale de audit, folosite de auditori pentru testarea controalelor de audit integrate ntr-un sistem informatic, depind de natura sistemului informatic auditat.
Proceduri de testare a controalelor generale. Testarea controalelor interne ale unui sistem informatic ncepe cu testarea controalelor generale, deoarece eficacitatea unui control specific al unei aplicatii este adesea dependenta de existenta unui control general, efectiv al tuturor activitatilor sistemului informatic auditat. Spre exemplu, verificarea programelor de testare a procedurilor de control, ntr-un mediu n care programatorii pot efectua cu usurinta schimbari neautorizate n programe, este ineficienta n absenta unui control asupra modificarilor programelor, deoarece auditorii nu au nici o dovada ca programul testat este identic cu cel folosit de-a lungul timpului. n astfel de situatii, auditorii nu pot conta pe controalele aplicatiei n vederea evaluarii riscului de control.

De obicei, auditorii testeaza controalele generale ale sistemului informatic auditat prin analiza documentatiei de sistem si urmarirea ndeplinirii sarcinilor de ntocmire a acestei documentatii de catre personalul organismului economic respectiv: obtinerea autorizatiilor de revizuire a sistemului informatic auditat; ntocmirea documentatiilor specifice sistemului informatic auditat; obtinerea aprobarilor pentru realizarea sau achizitionarea de programe noi; obtinerea aprobarilor pentru modificarea programelor existente; completarea jurnalului cu defectiuni sau anomalii de functionare a echipamentelor folosite; urmarirea masurilor de siguranta implementate etc.

Prin natura lui, un control general trebuie mai degraba respectat, dect determinat prin analiza documentatiei sistemului informatic auditat.
Proceduri de testare a controalelor de aplicatii. Procedurile folosite de auditori pentru testarea controalelor de aplicatie variaza semnificativ de la un tip de sistem informatic la altul si de la un tip de aplicatie componenta a sistemului informatic la alta. Procedurile de testare a controalelor de intrare depind de tipul sistemului informatic auditat. Exemplu: n sistemele de procesare n loturi, controlul intrarilor poate fi testat prin compararea iesirii sistemului informatic cu totalul lotului, folosind secventa de serii si numere aferenta documentelor din lotul selectat; n sistemele on-line, n timp real, loturile de date nu sunt disponibile si auditorul trebuie sa imagineze alt tip de test pentru controlul intrarilor. Tehnicile de audit folosite pentru testarea controalelor prelucrarilor pot fi manuale sau asistate de calculator. Pentru testarea controalelor prelucrarilor, auditorii: examineaza procedurile de testare a sistemului informatic auditat, efectuate de catre grupul de control al organismului economic care l utilizeaza; analizeaza rezultatele testarilor controalelor prelucrarilor sistemului informatic auditat, realizate de auditorii organismului economic care l utilizeaza; examineaza rapoartele de erori si jurnalele de activitati generate de calculator; deoarece ele ilustreaza violarile controalelor de program care apar n timpul prelucrarilor, oferind astfel dovezi ale functionarii, corecte sau eronate, a acestora; analizeaza si testeaza tehnicile, manuale sau asistate de calculator, folosite pentru explicitarea si explicarea incidentelor aparute n timpul prelucrarilor si nregistrate n rapoartele de erori, deoarece efectivitatea controalelor de program depinde de acest lucru.

Pentru testarea controalelor de program, auditorii folosesc, de regula, tehnici de audit asistate de calculator. Principalele tehnici de audit asistate de calculator folosite pentru testarea controalelor aditionale de audit sunt: Seturi de date de test: pot fi stabilite de auditori sau de programatorii organismului economic care utilizeaza sistemul informatic de auditat; trebuie sa includa toate erorile semnificative care afecteaza evaluarea, de catre auditor, a riscului de control planificat pentru sistemul informatic de auditat: tranzactii cu date lipsa, eronate sau ilogice, loturi incomplete etc. Duplicate ale programelor sistemului informatic, cunoscute sub denumirea de programe controlate, aflate sub controlul auditorilor; sunt folosite de acestia pentru a monitoriza prelucrarea datelor curente, prin compararea iesirilor acestor programe cu iesirile programelor originale sau pentru reprocesarea datelor initiale, folosind varianta proprie de program, cu scopul de a compara rezultatul curent cu cel initial sau de a descoperi schimbarile din programul organismului economic netrecute n documentatie; programele controlate ofera auditorilor posibilitatea de a testa programele organismului economic cu date reale si de test, fara riscul alterarii fisierelor acestuia si n locatii diferite de spatiile de exploatare, fara utilizarea calculatoarelor sau personalului organismului economic respectiv.

Programe de analiza, special elaborate, pentru a genera, folosind calculatorul, diagrame de analiza cu ajutorul carora se testeaza logica programelor componente ale sistemului informatic auditat si a controalelor acestora sau se verifica daca documentatia sistemului respectiv descrie programele si controalele programelor folosite de fapt. Marcaje (identificatori) de urmarire a schimburilor de date, introduse n sistemul informatic, o data cu datele pentru urmarirea pasilor de prelucrare a schimburilor de date marcate si ntocmirea listelor care contin descrierea, n detaliu, a pasilor de prelucrare respectivi, cu scopul de a depista eventualele actiuni neautorizate n programele si controalele programelor sistemului informatic auditat.

Programe de audit generalizat (aplicatii software pentru audit generalizat), care pot fi folosite de organismele economice specializate n auditarea sistemelor informatice complexe, pentru testarea fiabilitatii programelor si controalelor programelor componente, pentru o gama larga de sisteme informatice sau pentru realizarea unor functii specifice de audit; exemple: marirea numarului de schimburi de date testate suficient de mult pentru a evalua corect riscul de control; rearanjarea datelor de test ntr-un format mult mai folositor auditului; selectarea schimburilor de date n functie de anumite criterii etc. Exemplu: Program pentru verificarea fiabilitatii unui sistem informatic prin simulare paralela: program care realizeaza anumite functii de prelucrare echivalente acelora din sistemul informatic, pentru a verifica daca acesta functioneaza corect; rezultatele prelucrarilor efectuate de sistemul informatic asupra unui set de date (grup de tranzactii) trebuie sa fie egal cu rezultatul prelucrarilor efectuate asupra aceluiasi set de date de catre programul de audit generalizat; ofera auditorilor avantajul efectuarii unor prelucrari asupra datelor reale, independent de sistemul informatic auditat. Reevaluarea riscului de control si utilizarea testelor independente Pentru a stabili n ce masura se pot baza pe controlul intern al sistemului informatic n reducerea posibilitatilor de aparitie a erorilor de functionare a acestuia, auditorii trebuie sa reevalueze riscul de control, pe domenii de activitate, si, pe baza acestuia, sa determine natura, locul, momentul de timp si

amploarea testelor de control independente de sistemul informatic auditat, necesare n aprecierea corectitudinii rezultatelor oferite de sistemul respectiv utilizatorilor sai. Din punct de vedere conceptual, evaluarea controlului intern al activitatilor unui sistem informatic nu este diferita de evaluarea altor aspecte ale sistemului. De obicei, sunt necesare mai putine proceduri de testare independente de sistemul informatic auditat, n acele domenii n care se admite un risc de control mare, si mai multe acolo unde se admite un risc de control redus. Pentru evaluarea corecta a controlului intern al activitatilor desf 424g68e 59;surate de un sistem informatic, trebuie luate n considerare controalele folosite de utilizatori, de auditorii interni si de specialistii n informatica. AUDITAREA SISTEMELOR PC

Termenul de PC se refera la o varietate de calculatoare mici: calculatoare personale, statii de lucru si terminale inteligente. Desi progresele tehnologice reduc continuu diferentele dintre PC-uri si calculatoarele mari, PC-urile ramn, n general, mai putin flexibile, au memorie mai redusa si sunt mai lente n procesarea datelor, dect calculatoarele mari. Totusi, PC-urile ofera utilizatorilor avantajul accesului direct la calculator, fara timpii de prelucrare si capacitatea de stocare date asociati unui sistem de calcul centralizat. Din acest motiv, chiar si auditul organismelor economice care folosesc sisteme informatice centralizate sofisticate se poate face folosind sisteme PC.
Aparitia PC-urilor a condus la descentralizarea activitatilor de prelucrare, de evidenta si control al datelor vehiculate n cadrul unui organism economic. ntr-un mediu PC, calculatoarele se pot plasa n departamentele utilizatorilor si pot fi operate de catre personalul acestor departamente, cu putine cunostinte n domeniul informatic si despre calculatoare. Prelucrarile sunt realizate, de obicei, de aplicatii software dedicate, usor de exploatat, achizitionate de la organisme economice specializate, eliminndu-se astfel nevoia de a angaja programatori. Pentru stocarea, crearea unor copii de siguranta (back-up) si/sau arhivarea aplicatiilor si Bazelor de Date, sunt folosite discuri magnetice de tipul HardDisk, FloppyDisc, CD-ROM, CD-RW, DVD etc. sau, din ce n ce mai rar, benzi magnetice. Controlul intern al sistemelor informatice bazate pe mediul PC prezinta unele particularitati. Astfel, pentru verificarea corectitudinii rezultatelor si distributiei acestora numai catre utilizatorii autorizati, se foloseste descrierea, n detaliu, a procedurilor de prelucrare a datelor, care trebuie cuprinsa, obligatoriu, n documentatia sistemului. Pentru protectia datelor manipulate de operatori sau utilizatori fara cunostinte n domeniul informatic, se face instruirea acestora n folosirea componentelor sistemului si li se pun la dispozitie manualele de operare si ntretinere complete ale componentelor respective: echipamente, software de sistem si de aplicatie. Pentru reconstituirea datelor si aplicatiilor software utilizate organismele economice care utilizeaza sisteme informatice bazate pe mediul PC trebuie sa efectueze, periodic, copii de siguranta (back-up) ale fisierelor de date si de program, pe suporti magnetici externi (dischete, CD-uri sau benzi), care trebuie depozitati departe de sistem, n locatii sigure. Prin amplasarea calculatoarelor de tip PC n departamentele utilizatorilor, cresc riscul de utilizare neautorizata a acestora si, implicit, posibilitatea de frauda computerizata. Din acest motiv, sistemul de operare al PC-urilor si aplicatiile software utilizate trebuie sa permita accesul operatorilor si/sau utilizatorilor n sistem numai pe baza de coduri si nivele de autorizare, limitnd astfel accesul acestora la anumite fisiere de date si/sau de program. Pentru detectarea activitatilor neautorizate

trebuie organizata o activitate independenta de analiza a jurnalelor generate de sistemele PC. Pentru prevenirea utilizarii neautorizate a sistemelor informatice bazate pe mediul PC: - se limiteaza accesul la originalul si la copiile de siguranta ale aplicatiilor software prin utilizarea carora personalul neautorizat poate intra n sistem; - se instaleaza un sistem de blocare a PC-ului n afara orelor de program; - se limiteaza accesul n spatiile de lucru folosite de sistemele informatice bazate pe mediul PC prin paza sau sisteme de acces cu cartela. Auditorii (interni sau externi) organismelor economice, care utilizeaza sisteme informatice bazate pe mediul PC, trebuie sa impuna implementarea tuturor tipurilor de controale interne minim necesare pentru a asigura: - integritatea sistemului informatic implementat integritatea si corectitudinea datelor vehiculate n cadrul organismului economic respectiv; exemplu: evidentele financiare care trebuie puse la dispozitia organelor financiare de control. AUDITAREA CENTRELOR DE CALCUL

Centrele de calcul furnizeaza servicii de prelucrare a datelor pentru clientii lor, organisme economice care nu au propriul centru de calcul sau departament de informatica. De regula, centrul de calcul primeste datele de prelucrat de la clienti, n loturi, si le transmite rezultatele prelucrarilor efectuate. Unele centre de calcul functioneaza n regim partajat, n sensul ca ofera abonatilor lor acces la toate resursele de calcul disponibile, prin intermediul terminalelor proprii, utilizatorul unui astfel de sistem avnd, dispozitie majoritatea serviciilor pe care i le-ar oferi propriul calculator.
Controlul intern al centrului de calcul poate interactiona cu sistemul de control al fiecarui client, caz n care auditorii trebuie sa nteleaga si activitatile de prelucrare desfasurate de centrul de calcul. n plus, daca intentioneaza sa reduca nivelul riscului de control bazndu-se pe anumite controale, auditorii trebuie sa dovedeasca eficacitatea acestora, prin testarea lor, indiferent daca sunt executate de Centrul de calcul sau de clientul acestuia. Uneori, testarea controalelor aplicate de client este suficienta pentru evaluarea riscului de control si detectarea erorilor. Alteori, pentru atingerea obiectivelor de control ale clientului si evaluarea corecta a riscului de control, auditorii trebuie sa teste si controalele Centrului de calcul pentru a dovedi ca acestea functioneaza efectiv. si pentru ca Centrul de calcul realizeaza, de regula, servicii de prelucrare a datelor similare pentru mai multi clienti, auditorii acestuia ntocmesc un raport asupra sistemului de control intern propriu, pe care l pun la dispozitia auditorilor fiecarui client. Totusi auditorii clientului trebuie sa se asigure de competenta auditorilor Centrului de calcul. CONCLUZIE. Desi aparitia calculatoarelor si a aplicatiilor software specializate a creat unele probleme de adaptare pentru economisti, ea le-a largit orizontul de cunoastere si a extins gama si valoarea serviciilor pe care acestia le pot oferi. n timp, calculatorul a devenit o unealta folosita pentru realizarea sarcinilor de rutina, cu viteza si precizie fara precedent. El face posibil accesul la un volum de date care, n trecut, nu era accesibil din cauza limitarilor de timp si pret de cost. Daca organismul

economic auditat si tine evidentele folosind un sistem informatic complex si sofisticat, auditorii pot utiliza calculatorul si programe specializate n procesul de audit.

II. Controalele de aplicatie sunt tehnici de control specifice, integrate n software-ul de aplicatie (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea si protectia datelor stocate n sistemul respectiv si a rezultatelor prelucrarilor efectuate asupra acestor date. Se proiecteaza si se realizeaza o data cu fiecare sistem informatic. Principalele tipuri de controale de aplicatie sunt: - controale de intrare: masuri de asigurare a corectitudinii intrarilor sistemului; - controale de prelucrare: masuri de asigurare a corectitudinii prelucrarilor efectuate n interiorul sistemului; - controale de iesire: masuri de asigurare a corectitudinii iesirilor sistemului. Majoritatea erorilor identificate n rezultatele finale ale prelucrarilor efectuate de sistemele informatice provin din software-ul de aplicatie (de utilizator) folosit sau din introducerea eronata a datelor. Din acest motiv, controalele de aplicatie joaca un rol major n asigurarea unui control intern eficient n sistemul informatic

BIBLIOGRAFIE SELECTIV 1. 2. Boulecu Mircea, Doina Fusaru, Zenovic Gherasim- Auditul Sistemelor Informatice Financiar- Contabile, Editura Tribuna Economica, 2005, Bucuresti. Stefan Popa, Claudia Ionescu- Audit n medii informatizate, Editura Expert, 2005, Bucuresti.

3. Ali Eden, Victoria Stnciu- Auditul Sistemelor informatice, Editura Dual Tech, 2004, Bucuresti.

4. Munteanu A.- Auditul sistemelor informationale contabile, Editura Polirom, 2001, Iasi.

5. O. Ray Whittington, Kurt Pany, Walter B. Meigs, Robert F. Meigs- Principles of Auditing.
Tenth Edition, IRWIN Boston. 6. 7. Jack J. Champlain- Auditing Information Systems, Second Edition, John Wiley & Sons Inc., 2003, USA. Victor Munteanu- Control si Audit Financiar Contabil, Editura LUMINALEX, 2003, Bucuresti.