Sunteți pe pagina 1din 21

AUDITUL SISTEMELOR INFORMATICE DE GESTIUNE

- Curs introductiv -

Lector univ. drd. Claudiu BRNDA Universitatea de Vest din Timioara Facultatea de tiine Economice Catedra de Informatic Economic

Cuprins
1. NOIUNI INTRODUCTIVE PRIVIND AUDITUL SISTEMELOR INFORMATICE ........................................................2 1.1. NECESITATEA CONTROLULUI I AUDITULUI SISTEMELOR INFORMATICE..................................................................................2 1.2. DEFINIREA I CONINUTUL AUDITULUI SISTEMELOR INFORMATICE.........................................................................................4 1.3. ORGANISME, REGULAMENTE I STANDARDE PRIVIND AUDITUL SISTEMELOR INFORMATICE....................................................5 1.4. CONOTINELE I APTITUDINILE UNUI AUDITOR DE SISTEME INFORMATICE............................................................................6 2. RISCURILE I CONTROLUL DIN CADRUL SISTEMELOR INFORMATICE DE GESTIUNE....................................7 2.1. DEFINIREA I CLASIFICAREA RISCULUI DIN CADRUL SISTEMULUI INFORMAIONAL ...............................................................7 2.2. EVALUAREA RISCURILOR DIN SISTEMUL INFORMAIONAL.......................................................................................................8 2.3. CONTROLUL N CADRUL SISTEMULUI INFORMAIONAL ...........................................................................................................9 2.4. STANDARDE PRIVIND TRATAREA RISCURILOR I CONTROLULUI DIN CADRUL SISTEMELOR INFORMATICE ECONOMICE.........11 3. METODOLOGIA DE AUDIT A SISTEMELOR INFORMATICE.......................................................................................12 3.1. PLANIFICAREA.........................................................................................................................................................................13 3.2. EVALUAREA RISCURILOR I CONTROLULUI INTERN ..............................................................................................................13 3.3. ELABORAREA PROGRAMULUI DE AUDIT..................................................................................................................................13 3.4. CULEGEREA PROBELOR...........................................................................................................................................................15 3.5. FORMULAREA CONCLUZIILOR I ELABORAREA RAPORTULUI..................................................................................................15 3.6. URMRIREA (MONITORIZAREA) IMPLEMENTRII RECOMANDRILOR DIN RAPORTUL DE AUDIT............................................16 3.7. TEHNICI DE AUDIT A SISTEMELOR INFORMATICE....................................................................................................................16 3.7.1. Tehnici de investigare a sistemului auditat....................................................................................................................16 3.7.2. Tehnici de identificare i evaluare a riscurilor..............................................................................................................17 3.7.3. Tehnici de testare a controlului din cadrul sistemului auditat.......................................................................................18 4. TEHNICI DE AUDIT ASISTATE DE CALCULATOR (CAATS) ......................................................................................18 EXERCIII I NTREBRI..........................................................................................................................................................20 BIBLIOGRAFIE...............................................................................................................................................................................20

1. Noiuni introductive privind auditul sistemelor informatice


1.1. Necesitatea controlului i auditului sistemelor informatice Dezvoltarea tehnologiei informaionale, din ultimii 30 de ani, a condus la integrarea progresiv a sistemelor de calcul (informatice) n cadrul activitii 2

economice. n prezent utilizarea calculatorului i a programelor informatice a devenit un element vital n cadrul sistemului informaional al ntreprinderilor. Acest fenomen a condus la creterea rolului sistemului informatic n prelucrarea datelor i obinerea informaiilor economice. Odat cu integrarea noilor tehnologii informaionale n procesele de prelucrare, transmitere i stocare a datelor, au aprut o serie de ameninri i vulnerabiliti ale sistemului informaional. n acelai timp un impact deosebit asupra obiectivelor de control a sistemelor informaionale l-a avut deschiderea ntreprinderilor spre WEB, respectiv Internet. Aceast deschidere a accentuat riscurile utilizrii sistemelor informatice n prelucrarea i transmisia datelor la distan. Fraudele i pierderile de date n sistemele informaionale deschise spre Internet ating cote alarmante care impun dezvoltarea n cadrul fiecrei ntreprinderi a unui control intern orientat i spre sistemul informatic. Astfel, managerii i-au pus problema garantrii corectitudinii i securitii operaiilor din sistemul informatic i convergenei acestora cu obiectivele i strategiile organizaiei. Pentru a contracara aceste aspecte negative s-a impus elaborarea unor proceduri de control a sistemelor informaionale la nivelul fiecrei ntreprinderi. Toate aceste obiective i proceduri de control intern au ca scop asigurarea securitii sistemelor informaionale i reducerea riscului, respectiv a valorii impactului, pe care l-ar putea avea orice ameninare i vulnerabilitate asupra sistemului. Mijloacele sistemului informaional care trebuie supuse controlului i evalurii sunt: calculatoarele, aplicaiile informatice (sistemele de operare, aplicaiile informatice economice, sistemele de gestiune a bazelor de date), reelele de comunicaie, procedurile i operaiile, politicile din sistem. n acest sens, datorit importanei pe care o confer utilizarea calculatorului n mediile de afaceri, n unele ri au fost elaborate o serie de acte normative care reglementeaz utilizarea, controlul i auditul mijloacelor electronice de prelucrare a datelor. Astfel, cele mai importante acte care fac referire la activitatea de audit n mediile de afaceri informatizate respectiv n cadrul sistemelor informatice ( CIS Coputerized Information Systems) sunt standardele ISA (International Standards on Auditing) i IAPS (International Auditing Practice Statement) elaborate de ctre IFAC (International Federation of Accountants). n literatura i practica de specialitate aspectele privind riscurile i controlul utilizrii tehnologiei informaiei sunt grupate n cadrul termenului de IT Governance (Guvernana Tehnologiilor Informaionale) , respectiv conducerea i coordonarea tehnologiei informaiei dintr-o organizaie. IT Governance, practic, reprezint procesul de control i coordonare a resurselor informaionale, cum ar fi: mijloacele de preluare, prelucrare, stocare i transmitere automat a datelor (calculatoare, periferice, reele, servere, routere, aplicaii informatice etc.), politicile i procedurile care guverneaz procesele informatice, utilizatorii, personalul implicat n dezvoltarea i conducerea sistemului informaional (analiti, programatori, manageri etc.), furnizorii de resurse informaionale i auditorii sistemului informaional. Prin prisma IT Governance aceste resurse trebuie utilizate convergent cu obiectivele i strategiile organizaiei, dar cu riscuri minime. Astfel, obiectivele principale ale IT Governance sunt: stabilirea unor strategii pentru ca utilizarea resurselor informaionale s fie n concordan cu obiectivele organizaiei; utilizarea ct mai eficient i cu riscuri minime a resurselor informaionale. Factorii care determin urmrirea i evaluarea procedurilor de control n mediile de afaceri informatizate, pot fi sintetizai n: Costul pierderii datelor. Costul lurii unor decizii incorecte. Costul abuzului n sistemul informatic. 3

Valoarea ridicat a sistemului de calcul, a aplicaiilor informatice i a personalului specializat. Costul ridicat al erorilor datorate calculatoarelor. Protecia confidenialitii. Controlul evoluiei modului de utilizare al calculatoarelor. Sintetiznd aspectele de mai sus se poate spune c auditarea unui sistem informatic, ca act de certificare a corectitudinii i securitii operaiilor din acest sistem, este imperativ necesar. De-a lungul timpului necesitatea activitii de audit informatic sau informaional s-a conturat pe baza unor consideraii cum ar fi: Auditorii financiari i interni au realizat c sistemul informatic are un impact tot mai mare asupra obiectivelor misiunilor lor. Managerii din cadrul ntreprinderilor au recunoscut calculatorul ca fiind o resurs cheie n competiia de pe pia i ca atare se impune controlul i auditarea proceselor unde este utilizat. Asociaiile i organizaiile profesionale, precum i guvernele, au recunoscut necesitatea controlului i auditatarea sistemelor informatice. Impactul auditului sistemelor informaionale asupra ntreprinderii se concretizeaz n: creterea securitii mijloacelor sistemului informatic; creterea integritii datelor; creterea utilizrii efective a sistemului informatic; creterea eficienei exploatrii sistemului informatic; creterea eficienei i calitii procedurilor i politicilor de securitate; creterea calitii controlului intern. 1.2. Definirea i coninutul auditului sistemelor informatice n literatura i practica de la noi se ntlnesc termenii de auditul sistemelor informaionale, auditul sistemelor informatice sau auditul informatic (auditul IT) . Diferena conceptual dintre aceti termeni este dat pe de o parte de coninutul i nivelul la care se desfoar activitatea de audit i pe de alt parte de diferena conceptual dintre noiunile de sistem informaional i sistem informatic. Astfel, auditul sistemului informaional este, conceptual, cel mai cuprinztor, acoperind prin obiectivele sale toate nivelurile sistemului informaional, de la evaluarea proiectrii i utilizrii sistemului informatic, pn la evaluarea politicilor i procedurilor de securitate de la nivelul operaional i strategic. Auditul sistemului informatic respectiv auditul informatic acoper prin obiectivele sale doar sistemul informatic. Pe scurt, conceptual, auditul sistemului informaional conine auditul sistemului informatic. ntruct n majoritatea ntreprinderilor sistemul informatic acoper aproape tot sistemul informaional cel mai utilizat termen va fi de auditul sistemelor informatice sau auditul IT, iar pentru auditor se va utiliza termenii de auditor de sisteme informatice sau auditor IT. Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe pentru a determina dac sistemul informatic este securizat, menine integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz eficient resursele informaionale . De regul, aceast activitate trebuie s fie executat de persoane pregtite i calificate n domeniul controlului, securitii i managementului sistemelor informaionale. O atestare profesional n acest domeniul l ofer certificatul CISA (Certified Information Systems Auditor) eliberat de ctre ISACA (Information Systems Audit and Control Association). 4

Dei exist o legtur metodologic destul de strns ntre auditul financiarcontabil i auditul sistemelor informatice, cel din urm are la baz cunotine din cel puin patru domenii, astfel: auditul tradiional, sisteme informaionale pentru management, tiina comportamentului (psihologie) i informatic. Auditul sistemului informatic poate fi organizat att la nivelul ntreprinderii, n cadrul funciei de audit intern, ct i sub forma auditului extern realizat de ctre persoane din afara ntreprinderii. n cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operaii sunt verificrile, evalurile i testrile mijloacelor informaionale, astfel: Identificarea i evaluarea riscurilor din sistem. Evaluarea i testarea controlului din sistem. Verificarea i evaluarea fizic a mediului informaional. Verificarea i evaluarea administrrii sistemului informatic. Verificarea i evaluarea aplicaiilor informatice. Verificarea i evaluarea securitii reelelor de calculatoare. Verificarea i evaluarea planurilor i procedurilor de recuperare n caz de dezastre i continuare a activitii. Testarea integritii datelor.

1.3. Organisme, regulamente i standarde privind auditul sistemelor informatice La nivel mondial exist o serie de organisme i instituii care fac referire sau reglementeaz auditul sistemelor informatice. Cele mai multe dintre aceste organisme sunt asociaii profesionale de economiti, experi contabili, auditori financiari i experi n informatic, care fac referire n cadrul standardelor organismului la impactul sistemului informatic asupra activitii i controlului intern al ntreprinderilor i la auditul financiar n condiiile existenei sistemului informatic. Exist ns organisme care reglementeaz prin ghiduri i standarde exclusiv procesul de audit al sistemelor informatice. Cele mai importante organisme i standarde n acest domeniu sunt: ISACA (Information Systems Audit and Control Association) Web site: http://www.isaca.org Standarde: SISAS (Statement of Information Systems Auditing Standards) Ghiduri: Guidelines and Procedures for Audit and Control Professionals CobiT (Control Objectives for Information and related Technology) Certificri: CISA (Certified Information Systems Auditor) IFAC (International Federation of Accountants) Web site: http://www.ifac.org Standarde: ISA (International Standards on Auditing) IAPS (International Auditing Practice Statements) Ghiduri: IITG (International Information Technology Guidelines) IIA (Institute of Internal Auditors) Web site: http://www.theiia.org Standarde: SIAS (Statements on Internal Auditing Standards)

1.4. Conotinele i aptitudinile unui auditor de sisteme informatice Avnd n vedere faptul c auditul sistemelor informatice este o disciplin care presupune cunotine de specialitate din alte domenii, profesia de auditor al sistemelor informatice este destul de complex i dinamic. n practica internaional de specialitate exist o serie de recomandri, att cu privire la cunotinele necesare unui auditor de sisteme informatice, ct i la pregtirea unui astfel de auditor. Astfel: ghidul ISACA, paragrafele 040.010 i 040.020 fac referire la aptitudinile i cunotinele auditorului de sisteme informatice respectiv la pregtirea profesional continu a acestuia; standardul IFAC ISA 401 face referire la aptitudinile i competena unui auditor financiar n condiiile auditului ntr-un mediu informatizat. De asemenea standardul IFAC ISA 620 face referire la posibilitatea utilizrii unui expert (n Tehnologia Informaiei) n cadrul misiunii de audit financiar, dac necesitatea practic o impune. Fcnd o sintez a cunotinelor pe care trebuie s le aib sau s le dobndeasc un auditor de sisteme informatice, pot fi enumerate urmtoarele: cunotine din domeniul auditului financiar; cunotine din domeniul managementului; cunotine din domeniul contabilitii; cunotine din domeniu financiar; cunotine privind evaluarea riscurilor; cunotine privind controlul; cunotine privind arhitectura fizic (hardware) a sistemelor informatice; cunotine privind sistemele de operare i aplicaiile informatice; cunotine privind telecomunicaiile; cunotine privind securitatea sistemelor informatice; cunotine privind analiza i proiectarea sistemelor informatice; cunotine privind programarea i limbajele de programare; cunotine privind sistemele de gestiune a bazelor de date; cunotine privind tehnicile de procesare automat a datelor n cadrul sistemelor informatice de gestiune; cunotine de baz din statistic; cunotine privind legislaia. Aceste cunotine pot fi asimilate fie n cadrul instituiilor de nvmnt superior, fie prin cursuri de specializare postuniversitar sau profesional, fie prin certificri. De asemenea auditorul de sisteme informatice trebuie s realizeze o pregtire profesional continu prin participarea la cursuri i conferine de specialitate. n acest scop este indicat ca auditorul s adere la organismele i asociaiile profesionale de specialitate. n ceea ce privete aptitudinile auditorului de sisteme informatice, acesta trebuie: s fie un bun membru ntr-o echip de audit; s fie un bun manager al activitilor de audit; s aib un spirit de observaie bine dezvoltat; s fie un bun colaborator; s dispun de abiliti de comunicare; s fie capabil s ia decizii obiective; 6

s fie un bun analist.

2. Riscurile i controlul din cadrul sistemelor informatice de gestiune


2.1. Definirea i clasificarea riscului din cadrul sistemului informaional n cadrul sistemului informaional al ntreprinderilor, auditorii trebuie s evalueze, att riscurile, ct i controlul sistemului. n ultimii ani auditul sistemelor informatice a trecut de la o abordare orientat spre controlul sistemului la o abordare orientat spre riscurile la care este expus acesta. Orientarea spre evaluarea riscurilor permite auditorului s observe mult mai bine eficacitatea i eficiena controlului din sistemul auditat. Noiunea de risc n cadrul sistemului informaional reprezint probabilitatea de apariie a unei pierderi care s afecteze negativ resursele informaionale i funcionalitatea sistemului. Privit n ansamblul su sistemul informaional al ntreprinderilor este expus la o serie de riscuri. Un rol deosebit n identificarea i controlul riscurilor l are procesul de management al riscului. Managementul riscului poate fi definit ca fiind procesul de identificare a vulnerabilitilor i ameninrilor din cadrul unei ntreprinderi, precum i de elaborare a unor msuri de minimizare a impactului acestora asupra resurselor informaionale din ntreprindere. Potrivit acestei definiii riscul poate fi exprimat cantitativ astfel: Nivelul riscului total = Ameninri Vulnerabiliti Valoarea mijloacelor informaionale Acest proces trebuie s existe la nivelul oricrei ntreprinderi pentru a asigura atingerea cu succes a obiectivelor. ntreprinderile pot, ns, transfera, ignora, accepta sau reduce riscul. Transferul riscurilor se poate realiza prin asigurarea mijloacelor expuse (asigurarea informatic sau a sistemului informatic). Ignorarea riscului poate s conduc la pierderi semnificative. Acceptarea riscului poate fi realizat n condiiile n care msurile de control sunt mai costisitoare dect pierderea n sine. Reducerea riscului se realizeaz prin adoptarea unor proceduri de control a factorilor de risc. Riscul poate fi clasificat astfel: Riscul de afacere. Reprezint probabilitatea ca o anumit ntreprindere s nu-i ating obiectivele sale de afaceri. Pentru a evalua acest risc auditorul trebuie s investigheze planul strategic al ntreprinderii i s observe nivelul de implicare a resurselor informaionale pentru atingerea obiectivelor. Factorii care determin acest risc pot fi, att de natur intern, ct i extern ntreprinderii. De exemplu un factor intern de risc poate fi gradul ridicat de uzur i defeciunile repetate ale utilajelor sau echipamentelor electronice pentru prelucrarea datelor, iar un factor extern poate fi apariia pe pia a unor concureni mai puternici. Riscul de audit. Reprezint probabilitatea ca un auditor s nu observe o eroare sau fraud din sistemul auditat, formulnd astfel o opinie greit. Riscul de audit conine mai multe tipuri de riscuri, astfel: o Riscul inerent. Reprezint probabilitatea ca o eroare sau o fraud s se produc n mod inerent datorit naturii activitii desfurate n ntreprindere. 7

o Riscul de control. Reprezint probabilitatea ca o eroare sau o fraud s se produc fr a fi detectat sau prevenit de ctre controlul intern. o Riscul de detectare. Reprezint probabilitatea ca un auditor s nu detecteze prin testele aplicate o eroare din cadrul sistemului de control auditat. Nivelul riscului de audit = Riscul inerent Riscul de control Riscul de detectare Riscul sistemului informaional. Reprezint probabilitatea de apariie a unor erori sau fraude datorit utilizrii inadecvate a sistemului informaional. Riscul sistemului informaional cuprinde: o Riscurile la nivelul aplicaiilor i operaiilor din sistemul informatic. Acestea pot fi: securitatea sczut a aplicaiilor; accesul neautorizat la datele sistemului; introducerea unor date inadecvate sau false; procesarea incomplet a datelor; dublarea datelor tranzacionate; procesarea cu ntrziere a datelor; nefuncionarea corect a transmisiei datelor; segregarea inadecvat sau inexistent a funciilor i responsabilitilor; analiza i proiectarea defectuoas a aplicaiilor; incompatibilitatea dintre aplicaiile informatice; infectarea aplicaiilor cu virui electronici; instruirea inadecvat a utilizatorilor; suportul i mentenana inadecvat a aplicaiilor. o Riscul de continuare a activitii sistemului informatic . Reprezint riscul asociat disponibilitii i recuperrii sistemului. Riscul disponibilitii sistemului reprezint probabilitatea ca sistemul s devin indisponibil utilizatorilor datorit securitii sale (de exemplu atacul de tip DoS al hacker-ilor). Riscul recuperrii sistemului reprezint probabilitatea ca datele i operaiile sistemului s nu mai poat fi recuperate n vederea continurii activitii ntreprinderii (de exemplu inexistena unor copii de siguran i a procedurilor de recuperare i continuare a activitii conduc la creterea nivelului acestui risc).

2.2. Evaluarea riscurilor din sistemul informaional Att managerii, ct i auditorii, trebuie s evalueze ct mai corect riscurile din cadrul sistemului informaional al ntreprinderii. Pentru identificarea i evaluarea riscurilor, n general, se parcurg urmtorii pai: identificarea factorilor de risc; ierarhizarea factorilor de risc dup importana acestora pentru sistemul auditat; determinarea frecvenei i duratei de apariie a fiecrui factor de risc; cuantificarea i evaluarea nivelului de risc;

programarea auditului i alocarea resurselor de audit corespunztoare nivelului de risc stabilit. Pentru evaluarea i cuantificarea riscurilor exist o serie de tehnici. Una dintre cele mai cunoscute i utilizate este tehnica scorurilor. Aceasta face parte din cadrul metodelor cantitative de evaluare a riscului. Conform acestei tehnici se acord fiecrui factor de risc (ameninri sau vulnerabiliti) o pondere (un coeficient de importan pentru diferitele funciuni ale ntreprinderii) i un nivel de risc. Prin produsul ponderii cu nivelul de risc se determin riscul funciunii, iar prin adunarea riscurilor ponderate se determin riscul sistemului din care fac parte funciunile. De asemenea pentru evaluarea riscurilor poate fi utilizat i judecata liber a auditorului fondat pe experiena acestuia i probele culese din sistemul auditat. n practic se recomand utilizarea combinat a celor dou tehnici. Evaluarea i cuantificarea riscurilor n procesul de audit IT are ca rezultate: determinarea eficace a obiectivelor auditului; alocarea eficient a resurselor pentru audit. 2.3. Controlul n cadrul sistemului informaional Dup identificarea i evaluarea riscurilor din sistemul informatic se trece la evaluarea i testarea controalelor stabilite pentru minimizarea sau eliminarea riscurilor. Obiectivele controlul intern acoper toate funciunile i activitile, indiferent dac acestea sunt manuale sau automatizate. Astfel, auditorul trebuie s cunoasc, s identifice i s testeze toate tipurile de controale existente. n cadrul sistemului informaional, la fel ca i la nivelul ntregii ntrepinderi, controlul intern asigur prevenirea, detectarea (identificarea) i corectarea evenimentelor (problemelor) cauzate de ctre factorii de risc . Astfel, controlul poate fi: preventiv: permite identificarea problemelor nainte ca acestea s apar i s afecteze activitatea ntreprinderii. n termenii sistemului informatic controlul preventiv permite detectarea i prevenirea unor erori, omisiuni sau fraude nainte ca acestea s aib loc. De exemplu n cadrul controlului preventiv din sistemul informaional pot fi cuprinse: segregarea sarcinilor i responsabilitilor; controlul accesului la resursele din sistem (pe baz de cartele sau carduri de acces); stabilirea unor proceduri clare de introducere a datelor n sistem. detectiv: permite detectarea i raportarea problemelor aprute n sistem. De exemplu n cadrul controlului detectiv din sistemul informaional pot fi cuprinse: validarea intrrilor de date prin caractere de control; mesajele de eroare din cadrul aplicaiilor informatice; procedura de identificare a dublurilor nregistrrilor bazei de date. corectiv: permite remedierea unei probleme sau minimizarea impactului unei ameninri identificate prin controlul detectiv. De exemplu: procedurile de recuperare a datelor; procedurile de relansare a aplicaiilor informatice. Obiectivele controlului intern specifice sistemului informaional pot fi: asigurarea securitii fizice i logice a resurselor informaionale; asigurarea integritii aplicaiilor informatice (n special a celor de gestiune) prin: o verificarea i autorizarea intrrilor de date; o acurateea, integritatea i securitatea prelucrrilor i tranzaciilor de date; 9

o acurateea, integritatea i securitatea rapoartelor; o integritatea bazelor de date; asigurarea eficienei dezvoltrii sau achiziiei de aplicaii informatice i asigurarea concordanei acestora cu obiectivele ntreprinderii; asigurarea eficacitii i eficienei operaiilor i procedurilor din sistem; asigurarea concordanei dintre procedurile, respectiv operaiile din sistem i reglementrile legale i regulamentele interne n vigoare; asigurarea recuperrii datelor i continuarea activitii n caz de dezastre sau evenimente neprevzute. Avnd n vedere obiectivele controlului, structura sistemului informaional dintro ntreprindere i recomandrile standardelor IFAC IAPS 1008, controlul intern al sistemului informaional poate fi clasificat n dou categorii: Controlul managementului sistemului informaional. Controlul aplicaiilor informatice. Controlul managementului sistemului informaional reprezint ansamblul procedurilor de asigurare a unui nivel rezonabil de acoperire a controlului intern din sistemul informaional. Acest tip de control are un caracter general, cuprinznd sistemul n ansamblul su. n cadrul acestei categorii de control, auditorul trebuie s identifice, s evalueze i s testeze urmtoarele: Controlul organizrii sistemului informatic; Controlul proiectrii i implementrii sistemului informatic; Controlul procedurilor i operaiilor din sistem; Controlul organizrii securitii sistemului; Controlul asigurrii calitii sistemului. Controlul aplicaiilor informatice reprezint ansamblul procedurilor i tehnicilor, manuale sau automate pentru controlul intrrilor, prelucrrilor i ieirilor aplicaiilor informatice. Acest tip de control are un caracter specific i se refer la o anumit component a sistemului informatic. n cadrul acestei categorii de control, auditorul trebuie s identifice, s evalueze i s testeze urmtoarele: Controlul intrrii datelor. Acest tip de control asigur autenticitatea, acurateea i integralitatea datelor introduse n sistem, precum i respingerea, corectarea sau reintroducerea datelor eronate. Prin autenticitate se asigur faptul c numai utilizatorii autorizai au acces la introducerea datelor. Practic aceast limitare se realizeaz prin definirea unor grupuri de utilizatori n cadrul sistemului, care vor avea acces difereniat la diferitele module de intrare a datelor. Accesul se realizeaz pe baza autentificrii utilizatorilor prin nume i parol. Prin acuratee se asigur faptul c datele introduse sunt reale, corecte i compatibile cu prelucrrile din sistem. Practic acest lucru se realizeaz prin implementarea n sistem a procedurilor de verificare i validare a datelor introduse, cum ar fi: validarea codurilor, validarea lungimii datelor sau validarea ncadrrii datelor n anumite intervale. De exemplu calculul caracterelor de control pentru codurile produselor sau mrfurilor intrate. Prin integralitate se asigur faptul c datele au fost introduse n totalitate fr omisiuni sau dubluri. Acest lucru se poate realizeaz prin calculul i compararea totalului sumelor introduse cu totalurile din documentele introduse. Controlul prelucrrii (procesrii), tranzaciilor de date i a fiierelor de date. Asigur acurateea i integralitatea prelucrrilor i tranzaciilor, integritatea datelor stocate, att pe loturi, ct i n timp real (online), precum i corectarea datelor eronate. 10

Asigurarea acurateii prelucrrii i tranzacionrii datelor se realizeaz prin proceduri de validare a prelucrrilor i tranzaciilor. Asigurarea integralitii prelucrrii i tranzaciilor de date se poate realiza prin compararea tranzaciilor intrate ntr-un modul cu tranzaciile ieite din modulul predecesor. Pot fi comparate, att numrul tranzaciilor, ct i totalul valorii acestora. De exemplu compararea numrului i totalului facturilor recepionate la gestiune i transmise ctre contabilitate, cu numrul i totalul facturile recepionate la contabilitate i primite de la gestiune. Asigurarea integritii datelor stocate n baza de date se realizeaz prin integritatea referenial, integritatea tranzacional, definirea constrngerilor de unicitate i de valoare, precum i definirea procedurilor de recuperare a datelor (backup). Urmrirea i corectarea datelor eronate din cadrul prelucrrilor i tranzaciilor de date se realizeaz prin nregistrarea erorilor i corectrii acestora n cadrul unor fiiere de tip jurnal (log files). Controlul ieirilor de date i informaii . Asigur faptul c ieirile sistemului sunt reale, corecte, integrale, securizate i distribuite n timp util utilizatorilor i factorilor decizionali corespunztori (autentificai). n cadrul procedurilor de control al ieirilor pot fi enumerate urmtoarele: autorizarea generrii ieirilor; compararea totalurilor din cadrul rapoartelor cu totalurile din cadrul tranzaciilor (de exemplu compararea rulajelor din balan cu rulajele calculate din jurnal); autorizarea distribuiei ieirilor (doar utilizatorii autentificai trebuie s beneficieze de ieirile sistemului); verificarea recepiei ieirilor ctre beneficiarii autentificai. De asemenea, n cadrul sistemului generarea i distribuia ieirilor trebuie jurnalizat prin intermediul unor fiiere jurnal.

Evaluarea riscurilor i a controlului sistemului informaional este un proces dinamic ntr-o perpetu schimbare datorit evoluiei rapide a tehnologiei informaiei. Astfel, pe lng aspectele menionate mai sus exist o serie de riscuri i sisteme de control particularizate pentru sistemele informatice de comer electronic, electronic banking, ATM, e-finance .a. Auditorul trebuie s aib n vedere, att cadrul general de evaluare a riscurilor i de implementare i funcionare a controlului, ct i riscurile i sistemele de control particularizate pe sisteme informatice ca i cele menionate anterior. Implicaiile majore pe care sistemele informatice le au asupra controlului i auditului ntreprinderilor, au condus la elaborarea de ctre asociaii profesionale sau guvernamentale a unor seturi de standarde cu privire la procesele de evaluare a riscurilor i de implementare a controlului intern n sistemul informatic. n continuare vor fi amintite cele mai importante standarde privind riscurile i controlul sistemelor informatice. 2.4. Standarde privind tratarea riscurilor i controlului din cadrul sistemelor informatice economice Cele mai complete standarde, ghiduri i proceduri n ceea ce privete evaluarea riscurilor i implementarea controlului sistemelor informatice sunt elaborate de ctre ISACA. Astfel, institutul IT Governance Institute (fondat de ctre ISACF Information Systems Audit and Control Foundation) a conceput i publicat o colecie de standarde cu privire la definirea i implementarea obiectivelor controlului din sistemul informatic. Aceste standarde au fost reunite sub denumirea de CobiT (Control Objectives for Information and related Technology). CobiT-ul reprezint cel 11

mai puternic instrument i cadru de lucru pentru implementarea i auditarea controlului din cadrul sistemelor informatice de gestiune. El este orientat ctre managementul sistemelor informaionale, departamentelor de control intern, auditorilor i n special proprietarilor (acionari sau asociai) care utilizeaz tehnologia informaiei n cadrul afacerilor, pentru a le asigura confidenialitatea, integritatea i disponibilitatea datelor i informaiilor. CobiT-ul conine urmtoarele documente: Prezentarea general (Executive Summary). Cadrul de lucru (Framework). Obiectivele controlului (Control Objectives). Ghidul pentru management (Management Guidelines). Ghidul pentru audit (Audit Guidelines). Instrumentele de implementare (Implementation Tool Set). Accesul la aceste documente se poate face din cadrul site-ului ISACA, la adresa http//www.isaca.org De asemenea organismul IFAC, prin standardele ISA i IAPS aduce o serie de reglementri n ceea ce privete evaluarea riscurilor, controlului i auditul n sistemele informatice de gestiune. Astfel: ISA 400: reglementeaz evaluarea riscurilor i a controlului intern. ISA 401: reglementeaz procesul de audit n cadrul sistemelor informatice. IAPS 1008: reglementeaz evaluarea riscurilor i controlului intern din cadrul sistemelor informatice. nafar de aceste organisme mai exist o serie de alte asociaii profesionale naionale sau internaionale care fac referiri prin standardele lor la evaluarea riscurilor, controlului i auditul n cadrul sistemelor informatice. La nivel internaional cele mai utilizate standarde cu privire la auditul sistemelor informatice sunt elaborate de ctre cele dou mari asociaii profesionale: ISACA i IFAC. Auditorul trebuie s cunoasc aceste standarde i s le utilizeze n cadrul procesului de audit.

3. Metodologia de audit a sistemelor informatice


Metodologia de audit a sistemelor informatice reprezint un set de proceduri destinat atingerii obiectivelor activitii de audit. Aceast metodologie, din punct de vedere al etapelor, corespunde n cea mai mare parte cu metodologia auditului financiar. n practica de specialitate metodologia de audit IT este reglementat prin unele ghiduri sau recomandri, dintre care cel mai cunoscut este ghidul ISACA pentru auditul sistemului informaional. De asemenea standardul IFAC ISA 401 reglementeaz etapele unei misiuni de audit n condiiile existenei unui sistem informatic. Avnd n vedere recomandrile standardelelor IFAC ISA i ghidul ISACA pentru auditul sistemului informaional, etapele generale ale unei unei misiuni de audit IT pot fi: Planificarea. Evaluarea riscurilor i controlului intern. Elaborarea programului de audit. Culegerea probelor. Formularea concluziilor i elaborarea raportului. 12

Urmrirea (monitorizarea) implementrii recomandrilor din raportul de audit.

3.1. Planificarea n cadrul acestei etape auditorul trebuie: s se informeze cu privire la obiectul de activitate al clientului i domeniul n care i desfoar activitatea; s se documenteze cu privire la structura sistemului informaional. Auditorul trebuie s analizeze structura organizatoric (organigrama), organigrama sistemului informatic i flowchart-urile din sistem; s determine complexitatea sistemului informatic; s se documenteze cu privire la aplicaiile informatice utilizate; se documenteze cu privire la infrastructura reelei de calculatoare; s se documenteze cu privire la politicile i procedurile de securitate, respectiv procedurile de operare din sistemul informatic; s identifice contractele de outsourcing (externalizare) din sistemul informaional; s se documenteze cu privire la controlul intern i mai cu seam a controalelor ce privesc procesele ce vor fi auditate; s s evalueze riscurile din sistem (inerent, de detectare i de control); s stabileasc nivelul pragului de materialitate; s stabileasc i s documenteze foile de lucru necesare pentru misiunea de audit. 3.2. Evaluarea riscurilor i controlului intern n cadrul acestei etape auditorul trebuie: s identifice vulnerabilitile i ameninrile la care este expus aria de audit; s evalueze prin tehnici adecvate (metoda scorurilor sau judecata liber) nivelurile de risc din cadrul ariei de audit; s stabileasc riscul inerent i de control; s evalueze controlul intern din aria de audit; 3.3. Elaborarea programului de audit Programul de audit se elaboreaz dup planificarea i evaluarea riscurilor i controlului intern, atunci cnd auditorul are o imagine mai clar asupra sistemului ce va fi auditat. Acest program reprezint un ghid pentru procedurile ce vor fi realizate n etapa de culegere a probelor, astfel nct s fie acoperite ct mai bine obiectivele auditului. n general programul de audit trebuie s fie documentat n cadrul foilor de lucru i cuprinde urmtoarele: Scopul auditului. Obiectivele auditului. Procedurile i tehnicile de audit ce vor fi utilizate. 13

Planificarea i programarea sarcinilor i responsabilitilor membrilor echipei. Bugetul misiunii de audit.

Programul de audit poate s sufere modificri ulterioare n funcie de rezultatele testelor i analizelor sistemului auditat. n continuare este prezentat un exemplu de program general pentru auditarea aplicaiilor de eviden a mijloacelor fixe. Program general pentru auditarea aplicaiilor informatice de evidena a mijloacelor fixe Scopul auditului o Auditarea aplicaiilor de eviden a mijloacelor fixe Obiectivele auditului 1. Asigurarea acurateii i integritii aplicaiilor de eviden a mijloacelor fixe 2. Evaluarea controalelor din cadrul aplicaiilor de eviden a mijloacelor fixe Planificarea o ntlnirea cu managementul ntreprinderii pentru clarificarea ntinderii misiunii de audit. o Revizuirea unor misiuni anterioare privind evidena mijloacelor fixe pentru a determina unele probleme. o Realizarea unei evaluri preliminare a riscurilor pentru identificarea i cuantificarea ameninrilor i vulnerabilitilor din sistemul de eviden a mijloacelor fixe. o Scrierea detaliat a programului de audit, respectiv a foilor de lucru. o Formarea echipei de audit n funcie de complexitatea aplicaiilor i a sistemului. o Stabilirea bugetului misiunii. Desfurarea o Revizuirea legislaiei la zi referitor la evidena mijloacelor fixe. o Identificarea personalului i aplicaiilor implicate n evidena mijloacelor fixe. o Analiza tuturor documentelor i rapoartelor privind evidena mijloacelor fixe pentru a nelege circuitul i fluxul informaional din aceast activitate. o Intervievarea personalului implicat. o Documentarea i completarea foilor de lucru cu procedurile i descrierea circuitelor din cadrul aplicaiilor pentru evidena mijloacelor fixe. o Pregtirea datelor de test pentru testarea intrrilor i prelucrrilor aplicaiilor. o Introducerea datelor de test i verificarea controalelor de intrare i prelucrare. o Evaluarea modului de prelucrare i concordana cu legislaia i regulamentele interne. o Identificarea i analiza erorilor. o Evaluarea i testarea controalelor aplicaiilor. Controale de acces, de raportare, de stocare i de modificare a aplicaiilor. o Testarea integritii datelor din baza de date i din cadrul listelor sau rapoartelor. o Evaluarea sistemului de operare sub care lucraez aplicaia. o Documentarea tuturor testelor i evalurilor n cadrul foilor de lucru. Raportarea 14

o Formularea concluziilor privind controalele i integritatea sistemului de eviden a mijloacelor fixe. o Prezentarea i discutarea rezultatelor obinute cu managementul clientului. o Stabilirea recomandrilor. o Pregtirea i scrierea raportului de audit. o Stabilirea condiiilor i termenilor pentru urmrirea implementrii recomandrilor.

3.4. Culegerea probelor Probele pentru audit reprezint ansamblul documentelor, reprezentrilor, fiierelor i observaiilor obinute n cursul misiunii de audit i utilizate pentru elaborarea concluziilor i formularea opiniei. Pentru fundamentarea unor concluzii ct mai reale i exprimarea unei opinii pertinente, auditorul trebuie s obin probe suficiente i concludente. Probele pe care auditorul IT le culege ntr-o misiune sunt variate. n general acestea pot fi: documente privind politicile i procedurile de securitate din sistemul informaional al clientului; documente privind procedurile de lucru din sistemul informatic; documente sau observaii privind infrastructura fizic (hardware) i logic (software) a sistemului auditat. interviurile i chestionarele aplicate; flowchart-uri de sistem i/sau de aplicaii; observaii personale n cadrul foilor de lucru; fiiere cu datele extrase din aria de auditat; fiiere cu tranzaciile de date necesare auditului; fiiere jurnal pentru intrri, prelucrri, tranzacii de date i tratare a erorilor; situaii listate din aplicaiile sistemului; fiierele cu datele de test; fiiere cu erori; coninutul i rezultatul testelor controlului din sistem; liste cu surse ale programelor utilizate n procesele auditate; coninutul i rezultatul testelor securitii sistemului. 3.5. Formularea concluziilor i elaborarea raportului Dup culegerea probelor, auditorul trebuie s le analizeze i s formuleze concluziile cu privire la obiectivele misiunii de audit. Auditorul trebuie s discute rezultatele i concluziile n primul rnd cu managementul entitii auditate i apoi s le comunice conducerii ntreprinderii. Scopul unei astfel de proceduri este de a dezbate rezultatele obinute i de a elabora un plan de msuri corective. Rezultatele obinute i recomandrile stabilite, se vor concretiza sub forma unei opinii ntr-un raport de audit. n general un raport de audit IT trebuie s conin urmtoarele: Denumirea organizaiei auditate. 15

Titlul, data i semntura. Descrierea obiectivelor auditului. Scopul auditului. Perioada acoperit prin audit. Standardele i criteriile sub care a fost desfurat auditul. Descrierea detaliat a rezultatelor pentru obiectivele auditului. Concluziile i opiniile auditorului. Recomandrile i msurile corective.

3.6. Urmrirea (monitorizarea) implementrii recomandrilor din raportul de audit Ultima etap a procesului de audit o reprezint urmrirea implementrii recomandrilor. Aceast etap const n stabilirea de comun acord cu clientul a unor date n care auditorul s revin i s verifice dac recomandrile i msurile corective propuse de el au fost implementate. 3.7. Tehnici de audit a sistemelor informatice Pe parcursul ntregului proces de audit, auditorul trebuie s utilizeze o serie de tehnici i proceduri pentru evaluarea riscurilor, evaluarea i testarea controlului intern, colectarea evidenei, efectuarea testelor de concordan sau de integritate, evaluarea probelor, elaborarea i comunicarea raportului i urmrirea implemetrii recomandrilor. n general tehnicile utilizate de un auditor IT sunt: Tehnici de investigare a sistemului auditat. Tehnici de identificare i evaluare a riscurilor. Tehnici de testare a controlului din cadrul sistemului auditat. 3.7.1. Tehnici de investigare a sistemului auditat Cele mai utilizate tehnici de investigare pentru colectarea probelor sunt interviul, chestionarul i flowchart-ul. Interviul Aceast tehnic const n ntocmirea i administrarea unei liste de ntrebri personalului (manageri, utilizatori, administratori de sistem etc.) din sistemul auditat. Este un proces diadic cu o finalitate precis mplicnd n acelai timp formulri de ntrebri i obinerea de rspunsuri. ntrebrile din interviu trebuie s fie orientate spre obiectivele auditului, astfel nct, s poat fi colectate ct mai multe probe relevante. n cadrul unei misiuni de audit a sistemului informatic, auditorul poate s utilizeze interviul pentru: managerii funciunilor ce intr n aria de acoperire a auditului n vederea determinrii structurii i complexitii sistemului auditat; utilizatorii aplicaiilor informatice, pentru a determina percepia lor cu privire la utilitatea i erorile aplicaiilor; analitii i programatorii din sistem, pentru a nelege mai bine funciunile i controalele implementate n aplicaiile realizate de ctre acetia; 16

auditorii interni sau personalul implicat n controlul intern, pentru a determina nivelul i starea controlului.

Chestionarul Chestionarele reprezint o form a interviului dar fr intervievator, ntrebrile avnd o serie de variante de rspuns, astfel nct intervievatul poate s rspund singur (prin selecie sau completare). Proiectarea structurii chestionarului trebuie realizat astfel nct s se poat evalua ct mai multe aspecte cu privire la riscurile i controlul din sistemul auditat. Tehnica chestionarului este utilizat n special pentru evaluarea controlului intern. Flowchart-ul Flowchart-ul este o reprezentare grafic, cu ajutorul unor simboluri standard, a circuitelor i fluxurilor de date sau informaii n cadrul sistemului auditat. Auditorul poate s utilizeze flowchart-urile existente sau s le construiasc, pentru a identifica i evalua punctele tari i slabe ale controlului din sistemul auditat. ntr-o misiune de audit flowchart-urile pot fi utilizate pentru: identificarea documentelor i circuitului acestora n sistemul auditat; determinarea modului n care datele circul i sunt prelucrate n cadrul sistemului informatic; identificarea destinatarilor rapoartelor i fiierelor de date; evaluarea calitii documentaei sistemului; evaluarea controlului documentelor. 3.7.2. Tehnici de identificare i evaluare a riscurilor Pentru identificarea i evaluarea riscurilor cele mai utilizate tehnici sunt: judecata liber sau intuiia. Prin aceast tehnic auditorul i folosete propriile cunotine i exeperiena pentru a identifica i cuantifica riscurile din sistem. Aceast tehnic mai este cunoscut sub denumirea de abordare intuitiv. tehnica scorurilor. Conform acestei tehnici se acord fiecrui factor de risc (ameninri sau vulnerabiliti) o pondere (un coeficient de importan pentru diferitele funciuni ale ntreprinderii) i un nivel de risc. Prin produsul ponderii cu nivelul de risc se determin riscul funciunii, iar prin adunarea riscurilor ponderate se determin riscul sistemului din care fac parte funciunile. metoda cantitativ. Presupune calculul valorii pierderii datorat expunerii la factorii de risc. Pierderea anual datorat expunerii se calculeaza dup formula: PAE = I F Unde: PAE pierderea anual datorat expunerii I impactul estimat n ROL (EUR sau USD) F Frecvena de apariie i manifestare a factorilor de risc

17

n cadrul misiunii de audit, auditorul poate s utilizeze variante combinate ale acestor tehnici pentru a identifica i evalua ct mai corect riscurile din sistem, n vederea unei testri corespunztoare a controlului intern. 3.7.3. Tehnici de testare a controlului din cadrul sistemului auditat n funcie de nivelul riscurilor i vulnerabilitilor sistemului, auditorul poate s aplice, n general, dou categorii de teste, astfel: teste de concordan. Aceste teste sunt cele care determin dac controalele din sistem se desfoar n concordan cu politicile i procedurile stabilite, n prelabil, de ctre managementul ntreprinderii. De asemenea aceste teste pot fi aplicate pentru a testa existena i eficacitatea unui anumit proces de control. Cele mai utilizate tehnici pentru aceste teste sunt interviul i chestionarele. teste de integritate. Prin aceste teste se determin validitatea i integritatea unui anumit control, proces de prelucrare (tranzacie) sau raport din sistemul auditat. Cele mai utilizate tehnici pentru testele de integritate sunt tehnicile de audit asistate de calculator (CAATs). Dac n urma testelor de concordan rezult c nivelul controlului din sistem este adecvat, atunci auditorul va aplica mai puine teste de integritate. n ceea ce privete testarea controalelor din aplicaiile sistemului informatic auditorul poate s aplice urmtoarele tehnici: tehnica datelor de test. Presupune stabilirea unui set de date de intrare (corecte i eronate), n funcie de specificul aplicaiilor auditate i introducerea acestor date n aplicaiile din sistem. Dup procesarea acestor date auditorul va urmri i consemna mesajele afiate de ctre aplicaii i va compara rezultatele introducerii i procesrii cu rezultatele introduse i calculate corect (de regul manual), relevndu-se astfel starea controlului. Dezavantajul major al acestei tehnici este dat de faptul c, datele introduse pentru testare pot afecta negativ nregistrrile din fiierele de baz. tehnica testului integrat. Presupune crearea unei entiti fictive n cadrul nregistrrilor aplicaiei i introducerea datelor de test pentru aceast entitate. De exemplu n cadrul unei aplicaii de eviden a mijloacelor fixe se introduce un mijloc fix fictiv, iar toate operaiile din aplicaie se execut asupra acestuia, evalundu-se astfel, acurateea i integritatea prelucrrilor din aplicaie, fr a afecta negativ nregistrrile din fiierele de baz. Dup testare mijlocul fix fictiv poate fi ters din baza de date. simularea paralel. Presupune introducerea n paralel a datelor din aplicaiile auditate n cadrul altor aplicaii indentice. In cadrul aplicaiilor create pentru testare se implementeaz doar modulele de prelucrare relevante pentru obiectivele auditului. n urma procesrii datelor se compar i analizeaz rezultatele stabilindu-se, att calitatea controalelor, ct i acurateea i integritatea aplicaiilor.

4. Tehnici de audit asistate de calculator (CAATs)


n activitatea de audit, auditorul poate s utilizeze calculatorul att ca un instrument pentru extragerea i analiza datelor din sistem ct i ca tehnic de testare i verificare pentru creterea eficacitii i eficienei auditului. Aceste instrumente i tehnici sunt grupate sub termenul de CAATs (Computer Assisted Audit Techniques). Standardul IFAC IAPS 1009 i ghidul ISACA (paragraful 060.020.070) privind auditul 18

sistemelor informatice reglementeaz utilizarea acestor instrumente i tehnici de ctre auditori. Instrumentele i tehnicile care fac parte din CAATs sunt: Instrumente pentru creterea productivitii muncii de audit. Aplicaii generale de audit (GAS - Generalized Audit Software). Aplicaii informatice (utilitare) pentru testarea i verificarea sistemului. Instrumente pentru creterea productivitii muncii de audit Aceste instrumente reprezint ansamblul aplicaiilor informatice (software) care faciliteaz munca auditorului, crescnd astfel productivitatea procesului de audit. Printre facilitile pe care le ofer aceste instrumente pot fi amintite urmtoarele: planificarea i urmrirea automat a misiunii de audit. Cele mai utilizate instrumente n acest sens sunt: aplicaiile pentru managementul proiectelor (MS Project, Primavera Project Planner etc.); aplicaiile pentru calcul tabelar (MS Excel, Lotus 1-2-3, Quattro Pro etc.); editarea i managementul automat al foilor de lucru (electronic workingpapers). Cele mai utilizate instrumente n acest sens sunt: Microsoft Office, Lotus Smart Suite, Intacct Audit (produs de ctre Intacct Corporation i Deloitte & Touche), Working Papers (produs de ctre CaseWare International), TeamMate (produs de PriceWaterhouseCoopers) .a.; comunicarea i transferul automat al datelor. Cele mai utilizate instrumente n acest sens sunt: aplicaii pentru e-mail (Microsoft Outlook), instrumente groupware (Lotus Notes Domino Server); forumuri intranet .a. Aplicaii generale de audit (GAS - Generalized Audit Software) Aceste aplicaii pot fi utilizate de ctre auditor pentru: extragerea i analiza automat a datelor din fiierele sistemului auditat; eantionarea automat a probelor pentru audit; analiza statistic i matematic a datelor; analiza automat a tranzaciilor din cadrul datelor pentru audit; n practica de specialitate cele mai utilizate instrumente GAS sunt: Microsoft Access; Microsoft Excel; Lotus Aproach; Lotus 1-2-3; Quattro Pro, SQL; ACL (Audit Command Line); IDEA; SPSS .a. Aplicaii informatice (utilitare) pentru testarea i verificarea sistemului Aceste aplicaii pot fi utilizate de ctre auditor pentru obinerea unor probe relevante i suficiente, testarea datelor i controalelor n vederea atingerii obiectivelor misiunii de audit. Auditorul poate utiliza aceste aplicaii pentru testarea integritii tranzaciilor din sistem; testarea integritii datelor din sistem; analiza riscurilor; simularea paralel; testarea concordanei controlului din sistem i a aplicaiilor; analiza procedurilor din sistem; testele de penetrare a sistemului. 19

Cele mai utilizate instrumente pentru testarea i verificarea sistemului sunt: sistemele de gestiune a bazelor de date (MS Access, MS SQL Server, Oracle Integrated Management Tools etc.); generatoare de rapoarte (Crystal Reports); aplicaii pentru testarea datelor (ACL); sisteme expert pentru audit etc.

Exerciii i ntrebri 1. Avnd n vedere aplicaiile utilizate pentru contabilitate general, gestiune i salarii facei o evaluare a: a. riscurilor din cadrul acestor aplicaii. b. controalele din cadrul acestor aplicaii. 2. n cadrul unor echipe proiectai programul unui audit al aplicaiilor contabilitate general, gestiune i salarii. 3. Identificai controlale (preventiv, detectiv i corectiv) din cadrul unui sistem informatic pentru evidena mrfurilor ntr-un depozit en-gross. 4. Care sunt riscurile la nivelul aplicaiilor i oeraiilor din sistemul informatic. 5. Enumerai prezentai cteva tehnici de testare a controlului din cadrul unui sistem informatic. 6. Definii tehnicile de audit asistate de calculator i prezentai cteva exemple. 7. Care sunt caracteristicile etapei de planificare din cadrul unei misiuni de audit al sistemelor informatice. 8. Care sunt caracteristicile controlului de intrare a datelor. 9. Care sunt principalele standarde i ghiduri ce reglementeaz auditul sistemelor informatice. 10. Prezentai obiectivele controlului intern specifice sistemului informaional. Bibliografie Brnda C., Necesitatea i coninutul auditului sistemelor informaionale , Revista de Audit Financiar, nr. 3/2003. Eden A., Riscurile de audit n condiiile utilizrii sistemelor informatice de prelucrare a datelor, Revista de Audit Financiar, nr. 2/2003. Galegos F., Manson D.P., Allen-Senft Sandra, Information Technology Control and Audit, Editura Auerbach, New York, 1999. Gheorghe D., Impactul tehnologiilor informaionale asupra activitilor de audit financiar, Revista de Audit Financiar, nr. 4/2003.

20

Hunton J.E., Bryant S.M., Bagranoff N.A., Core concepts of Information Technology Auditing, Editura Wiley & Sons, New Jersy, 2004. Ly H., LAudit Informatique dans un contexte mini et micro , Editura Les Editions dOrganisation, Paris, 1991. Munteanu A., Auditul sistemelor informaionale contabile cadru general, Editura Polirom, Iai, 2001. Weber R., Information Systems Control and Audit , Editura Prentice Hall, New Jersey, 1999. ***, 2004 CISA Review Manual, ISACA, Rolling Meadows - Illinois, 2004. ***, CobiT, 3rd Edition, IT Governance Institute, Rolling Meadows - Illinois, 2000. ***, Enterprise Risk Management Framework, COSO, 2003. ***, Handbook of International Auditing, Assurance, and Ethics Pronouncements , IFAC, 2003. ***, International Auditing Practice Statements (IAPS), IFAC, 2003. ***, International Standards on Auditing (ISA), IFAC, 2003. ***, IS Standards, Guidelines and Procedures for Audit and Control Professionals , ISACA, Rolling Meadows - Illinois, 2004.

21