UNIVERSITATEA OVIDIUS CONSTANTA

FACULTATEA DE STIINTE ECONOMICE

MASTERAT ADMINISTRAREA SI AUDITUL PROIECTELOR DE AFACERI
AUDITUL SI CONTROLUL INTERN AL PROIECTELOR

ANUL II, SEMESTRUL I

AUDITUL SISTEMULUI INFORMATIC LA

FIRMA
"SC MEGA GYM ATHLETIC SRL"

Student: GHEORGHE ELENA

Cuprins
Prezentare firma......................................................................2
Numele societati..........................................................................................................................................3

Obiect de activitate......................................................................................................................................3
Datele de identificare ale firmei..................................................................................................................3
Conducerea societatii...................................................................................................................................3
Organigrama societatii.................................................................................................................................3

Sistemul informatic...............................................................5
Avantajele folosirii programului Smart Bill Standard................................................................................5
EMITERE....................................................................................................................................................6
Emitere Factura Normala........................................................................................................................7
Emitere Factura Storno...........................................................................................................................7
Emitere Factura Proforma.......................................................................................................................7
Modificare Documente...........................................................................................................................8
INCASARI..................................................................................................................................................8
CONFIGURARE.........................................................................................................................................8
Date Firma..............................................................................................................................................9
Emitere Documente................................................................................................................................9
Configurari Program.............................................................................................................................10
UNELTE....................................................................................................................................................10
RAPOARTE..............................................................................................................................................10
NOMENCLATOARE................................................................................................................................10

Nomenclator Clienti.............................................................12
Nomenclator de servicii.......................................................13
Documente.........................................................................14
Factura (fara chitanta)................................................................................................................................14
Factura (cu chitanta)..................................................................................................................................15
Factura proforma.......................................................................................................................................15
Factura storno..........................................................................................................................................17
Chitanta......................................................................................................................................................17

Rapoarte.............................................................................19
Rapoarte facturi.........................................................................................................................................19
Rapoarte chitante.......................................................................................................................................20
Rapoarte proforme.....................................................................................................................................20

Auditul intern......................................................................21
Diferente intre auditul intern si auditul extern.....................21
Auditul sitemului informatic................................................22
Riscurile sistemului informatic............................................22
Vulnerabilitatile sistemului informatic.................................24
Amenintari asupra sistemului informatic.............................25
Controalele interne ale sistemului informatic......................26
Controalele generale.................................................................................................................................26
Controalele de aplicatie...........................................................................................................................28

Metodologia de audit...........................................................31
CHESTIONAR.......................................................................31
Concluzii despre sistemul informatic...................................34
AVANTAJE.................................................................................................................................................34
DEZAVANTAJE..........................................................................................................................................34
CONCLUZIE: .............................................................................................................................................. 34

Prezentare firma

1. Numele societati: Mega Gym

2. Obiect de activitate: 9313 Activitati ale centrelor de fitnes
3. Datele de identificare ale firmei:

Denumire: S.C. Mega Gym Athletic S.R.L.

Sediu social : Str. Ileana Cosanzeana Nr. 8

Numar de inregistrare la Registru Comertului: J13/557/2011

CUI: RO28149631

Cont bancar: RO41BTRL03001201T53316xx

Numar de telefon: 0721905567

E-mail: megagym@megagym.ro

4.Conducerea societatii:
Functia actuala
Director General
Director Executiv

Numele si prenumele
Bucur Bogdan
Tudor Elena

5.Organigrama societatii:

DIRECTOR
GENERAL

DIRECTOR
EXECUTIV

ANTRENOR
FITNES

ANTRENOR
FITNES

ANTRENOR
AEROBIC

RECEPTIONER

Scurta introducere
MEGA GYM este una dintre cele mai moderne sali de fitness din Constanta,cu
programe pentru orice varsta, conditie fizica si scop legat de fitness, singurele conditii
fiind sa fii apt pentru efort fizic, sa stii ce vrei si sa vrei cu adevarat sa reusesti.
La noi vei gasi programul sau combinatia de programe care ti se potrivesc, iti fac
bine, iti fac placere sit e motiveaza sa perseverezi astfel incat sa obtii si sa-ti pastrezi
conditia fizica pe care ti-ai dorit-o dintotdeauna.

Sistemul informatic
Smart Bill Standard 2012
Pentru realizarea de facturi in firma S.C. Bratul de Fier S.R.L. am folosit ca program de
facturare Smart Bill Standard 2012 .
Cu acest program putem emite urmatoarele tipuri de facturi:

FACTURA NORMALA

FACTURA STORNO

FACTURA PROFORMA

Deasemenea, putem alege si modalitatea de plata. Plata se poate face:

O data cu emiterea facturii
La o data stabilita in factura (data scadentei)
Prin banca (ordin de plata)
Avantajele folosirii programului Smart Bill Standard 2012 in locul facturilor tipizate:

1. Smart Bill calculeaza automat totul pentru dumneavoastra.

2. Faceti Economie de Timp si Bani. Platiti o singura data, pe Viata!
3. Posibilitate de Corectare Greseli fara a anula Documentul sau a face
mazgaleli.
4. Emiterea si Anularea Documentelor se face extrem de usor .
5. Siguranta marita a Documentelor. Documentele sunt salvate in program,
putand sa le relistati in cazul pierderii sau deteriorarii lor.
6. Evidenta mult mai buna a incasarilor .
7. Rapoarte documente si situatii / statistici .
8. Diverse modele/formate de tiparire .
9. Optimizati intreaga dvs Activitate si Imbunatatiti Imaginea Firmei.
10.Multe alte facilitati extrem de utile.

Pentru a putea emite facturi cu Smart Bill Standard 2012 trebuie mai intai sa completam cu
datele de identificare ale firmei si anume:

Denumirea firmei

C.I.F.

Nr. Registrul Comertului

Localitatea

Judetul

Adresa

Capital social

Platitor de TVA (DA sau NU)

Telefon

Fax

E-mail

Adresa web

Sigla firmei

Conturi bancare

In programul de facturare Smart Bill Standard 2012 avem urmatoarele comenzi:

EMITERE
INCASARI
CONFIGURARE
UNELTE
RAPOARTE
NOMENCLATOARE

1. EMITERE
In acest meniu putem realiza urmatoarele lucruri:
6

 Emitere Factura Normala

Emitere Factura Storno
Emitere Factura Proforma
Modificare Documente
Emitere Factura Normala
Acest tip de factura este cel mai utilizat deoarece la vanzarea produselor firmei acesta
emite o factura firmei care doreste sa achizitioneze aceste produse.
Pentru a putea emite o Factura Normala trebuie cunoscute datele firmei (SC Bratul de
Fier SRL) si datele clientului (care se gasesc in nomenclatorul Clienti. Dupa completarea
(automata) acestor date se trece la completarea celorlalte date din factura:
o

Data (este data automat dar poate fii schimbata)

Seria facturii (este data automat)

Nr facturii (este dat automat)

Apoi se adauga produsele pe care le doreste clientul. Acestea se aleg dintr-o lista (care a
fost definita prin nomenclatorul Produse. Se scriu automat codul produsului, U.M., pretul, cota
TVA, si pretul include TVA (DA sau NU) iar noi trebuie sa completam doar cu cantitatea
dorita.
La final, daca se incaseaza in momentul facturarii se bifeaza: Incaseaza acum. Apoi se
completeaza cu datele persoanei care a intocmit factura (nume si CNP), cu datele persoanei
delegate de clinet (nume, buletin si auto) si, dupa caz, cu data scadentei (daca nu se incaseaza
pe loc) si Mentiuni.
Cand factura este gata se acceseaza butonul: Spre finalizare factura. Dupa accea se
Finalizeaza factura apoi se tipareste pentru a fii oferita clientului.
Emitere Factura Storno
Acest tip de factura se foloseste in cazul in care una din facturile emise anterior a fost
scrisa gresit sau clientul nu mai doreste acel produs.
Pentru a putea emite o Factura Normala datele se completeaza automat (inclusiv
produsele), numai ca produsele vor avea semnul - (minus). Deaccea valoarea facturii va fi
negativa.
Emitere Factura Proforma
Acest tip de factura se foloseste in cazul in care clientul nu ridica produsele in acel moment si va
veni la o data ulterioara moment in care va primii si factura normala.

Factura proforma este ca si o factura normala doar ca nu se incaseaza banii si nu se elibereaza

produsele.
Modificare Documente
Aceasta comanda ne permite modificarea anumitor documente (facturi, facturi storno, facturi
proforma, chitante). Acest lucru nu este indicat daca factura a fost deja inregistrata si emisa catre
client.
La
intrarea
in
acest
meniu
primim
urmatorul
mesaj:
Aceste facilitati sunt pentru a va ajuta la corectarea unor greseli. Recomandam modificarea
documentelor doar in cazul schimbarilor minore. Pentru schimbari majore va sugeram anularea
sau stornarea.
2.

INCASARI

Incasarile se pot face in doua moduri:

o

Chitanta pentru Factura

Incasare prin Banca

Chitanta pentru Factura se realizeaza atunci cand am emis o factura la o anumita data
dar la care nu am incasat suma de bani. Aceasta se face, de obicei, la data scadentei (care este
trecuta pe factura). Se emite clientului doar chitanta, factura fiind deja la client.
Incasarea prin Banca este o modalitate de plata a unei facturi emise catre un client cu o
data scadenta. Pentru aceast tip de incasare nu se emite niciun document totul facandu-se prin
intermediul bancii.
3.

CONFIGURARE

In acest meniu putem realiza urmatoarele lucruri:

Date Firma

Configurare Emitere Documente

Configurari Program

Date Firma
Fara completarea datelor firmei nu putem face nimic in acest program. La prima pornire a
programului ne apare aceasta fereastra unei trebuie sa introducem datele firmei:
a) Denumirea firmei
b) C.I.F.
c) Nr. Registrul Comertului
d) Localitatea
e) Judetul
f) Adresa
g) Capital social
h) Platitor de TVA (DA sau NU)
i) Telefon
j) Fax
k) E-mail
l) Adresa web
m) Sigla firmei
n) Conturi bancare

Configurare Emitere Documente

In acest meniu avem de completat :
*

Serii Documente (facturi, chitante, avize, proforme)

TVA (se bifeaza una din optiuni, de regula 24%)

Date afisate (se bifeaza datele pe care le dorim sa le afisam pe factura)

Configurari Program
Aici vom alege configurarile generale pe care le dorim pentru programul nostru.
4.

UNELTE

Si acest meniu are 3 comenzi:

Selecteaza firma activata deoarece programul ne permite sa tinem contabilitatea mai
multor firme puetem alege de fiecare data pentru care firma se lucreaza activand-o prin aceasta
comanda

Salveaza date ne permite salvarea datelor, in cazul in care acestea se pierd din cauza
unor vulnerabilitati sa avem datele firmei respective

Restaurare date ne permite stergerea datelor salvate anterior, in cazul in care programul
nu mai este folosit la o anumita firma, de exemplu.

5.

RAPOARTE

Aici gasim rapoartele tuturor documentelor pe care le-am emis la o anumita firma:
o Raport Facturi
o Raport Chitante
o Raport Proforme
o Raport Avize
Cu ajutorul rapoartelor putem depista daca lipseste o anumita factura, putem verifica daca
exista facturi neplatite sau putem vedea datele scadente ale acestora.
6.

NOMENCLATOARE

Exista doua tipuri de nomenclatoare:

o Nomenclator Produse
o Nomenclator Clienti

10

In Nomenclatorul Produse se afla toate produsele firmei. Cu ajutorul acestui nomenclator

nu mai este nevoie sa introducem intotdeauna produsele si datele acestora (cod, pret, tva, etc.) ci
doar alegem produsul dorit si celelalte date se adauga automat, fiind nevoie sa introduceam doar
cantitatea.
In Nomenclatorul Clienti se afla toti clientii firmei cu datele de indentificare ale fiecaruia.
La emiterea documentelor, datorita acestui nomenclator, alegem doar numele clientului (din lista)
si restul datelor se vor completa automat.
Datorita programului
Smart Bill Standard 2012 , atunci cand intoducem clienti in
Nomenclatorul Clienti este de ajuns sa completam campul C.U.I. si, in cazul in care suntem
conectati la Internet, apasand semnul
se completeaza automat cu datele firmei
respective.

11

Nomenclator Clienti

12

Nomenclator de servicii

13

Documente

Factura (fara chitanta)

14

Factura (cu chitanta)

Factura proforma
15

16

Factura storno

Chitanta

17

18

Rapoarte
Rapoarte facturi

19

Rapoarte chitante

Rapoarte proforme

20

Auditul intern

Auditul intern este o examinare metodica realizata in vederea determinarii daca

activitatile si rezultatele relative la subiectul examinat satisfac dispozitiile prestabilite si
daca aceste dispozitii sunt puse in opera intr-un mod eficace si apt in vederea atingerii
obiectivelor.
Auditul intern este in interiorul unei entitati o activitate independenta de apreciere sau
control al operatiilor, fiind in subordinea directa a conducatorului entitatii. In acest
domeniu, el este un control care are drept functie estimarea si evaluarea eficacitatii altor
controale.
Obiectivul auditului intern este de a asista managementul in exercitarea eficace a
responsabilitatilor lor furnizand analize, aprecieri, recomandari si comentarii pertinente
referitoare la activitatile examinate. Auditorul intern este vizat de toate fazele activitatii
entitatii care intereseaza conducerea. Aceasta implica faptul de a apela la aspecte
contabile si financiare, dar si tehnice pentru atingerea unei intelegeri depline a operatiilor
examinate.
Diferente intre auditul intern si auditul extern
Daca auditul extern ofera servicii si este independent din punct de vedere juridic,
auditul intern face parte din functiile intreprinderii.
In sectorul privat, auditorii externi sunt numiti de actionari, care le stabilesc si
perioada de timp pe care sa o auditeze si tot acestora le raporteaza. In sectorul public, prin
analogie, se solicita o certificare in numele statului, reprezentat tot de o institutie
independenta, in cazul Romaniei aceasta institutie este Curtea de Conturi. In cazul
auditului intern, beneficiarul concluziilor rezultate este managementul entitatii, iar in
cazul auditului extern de regula toti cei care doresc o certificare a conturilor: banci,
autoritati, actionari, clienti, furnizori s.a. Din punctul de vedere al obiectivelor urmarite
de auditul intern acesta evalueaza sistemul de control intern si da asigurari
managementului ca acesta functioneaza. Auditul extern certifica exactitatea conturilor si a
situatiilor financiare, care consta in regularitatea, sinceritatea si imaginea fidela a
declaratiilor financiare finale. Cu aceasta ocazie, auditul extern evalueaza si el sistemul
de control intern, dar numai pentru elemente de natura financiar-contabila.
Auditorul extern are independenta specifica titularului unei profesii libere,
reglementata juridic si statutar, el fiind independent fata de clientul sau. Chiar si in cazul
auditului public extern aceasta independenta se pastreaza, fiind reglementata clar prin
actele normative si standardele de lucru. Incompatibilitatile la care este supus un auditor
public extern conduc la premiza unui audit independent si echidistant. Nu acelasi lucru se
poate spune despre auditorul intern care este independent in exercitarea functiei sale in
sensul unei independente a gandirii si a rationamentului profesional fata de subiectele pe
care le auditeaza, dar in acelasi timp este dependent prin faptul ca apartine entitatii si
depinde de standardele profesionale interne pe care trebuie sa le respecte. Conform
literaturii de specialitate in auditul intern abordarea este una in functie de riscuri si are
deviza: oricare ar fi sectorul, domeniul de activitate, se va audita cu aceleasi tehnici si
21

instrumente. Auditul extern se ghideaza dupa o metodologie precisa, standardizata si se

bazeaza pe inventare, interviuri, chestionare, analize, comparatii, rapoarte s.a.
Auditul sistemului informatic
Un sistem informatic este un system care permite introducerea de date prin procedee
manuale sau prin culegere automata de catre sistem, stocarea acestora, prelucrarea lor i
extragerea informaiei (rezultatelor) sub diverse forme.
Auditul unui sistem informatic consta in efectuarea controlului intern in sistemul
informatic pentru verificarea corectitudinii, rezultatele prelucrarilor realizate in
interiorul sau, distribuirii acestora numai de catre utilizatori autorizati in cazul in care
distribuirea se face automat folosind sistemului de calcul.
Pentru efectuarea controlului intern intr-un sistem informatic se folosesc masuri,
metode si tehnici de verificare a corectitudinii rezultatelor prelucrarilor realizate in
interiorul sau cunoscute in literatura de specialitate sub denumirea de controale.
In concluzie, Auditul Sistemelor Informatice este o activitate planificata de evaluare a
sistemului informatic pe baza probelor de audit in scopul emiterii unei opinii calificate si
obiective privind conformitatea sistemului cu legislatia, cu standardele in domeniu si
totodata asupra capacitatii sistemului informatic de a sustine efortul de realizare eficienta
a obiectivelor strategice a organizatiei.

Riscurile sistemului informatic

Impactul riscurilor afecteaza afaceriile firmei incepand cu imaginea firmei
publicitatea sa in mediul de afac pierderea unor clienti , a unor ate despre parteneri si
expunerea clientilor firmei la amenintari ceea ce uneori atrage chiar actiuni in justitie pt
22

prejudicii cauzate de neglijenta ca de exempluL: trimiterea unor msj eronate clientilor ,

furnizorilor.
Fraudarea firmei este o alta pierdere, diminuarea indicatorilor de eficinta prin reducerea
cifrei de afaceri, cresteri ale costurilor pt remedierea daunelor si investitii
Riscurile care pot afecta Sistemul Informatic sunt:
1. Riscuri fizice:
Oricand se poate strica o pisa a sistemului informatic si programul/ programele
folosite pot fii afectate total sau partial.
2. Riscuri logice:
Aceste probleme pot aparea din mai multe cauze cum ar fii introducerea unor date
gresite, lucru ce duce la rularea eronata a programului.
3. Riscuri de functionare a S.I.:
Pot exista zile in care sistemul informatic nu functioneaza din diferite cauze
(curentul oprit, defectarea fizica, etc.). Acest lucru duce la neputinta de a folosii
programul/ programele intr-o firma iar aceasta nu poate functiona la parametrii
normali.
4. Riscuri financiare:
Din cauza problemelor financiare nu se poate repara un S.I. defect sau , la nevoie,
cumpararea unuia nou si acest lucru duce la derularea defectuoasa a firmei.
5. Riscuri de mediu:
Aceste riscuri apar atunci cand se foloseste un S.I. care dauneaza mediul
inconjurator.
6. Riscuri de securitate:
Orice sistem informatic este predispus la riscuri de securitate care pot avea loc din
neglijenta angajatilor, sau altor probleme intervenite in S.I. (virusi, spargerea de
conturi, etc.)
7. Riscurile de organizare:
Atunci cand baza/ bazele de date nu a fost actualizate si din aceasta cauza se vor
gasi erori in emiterea unor documente folosind un anumit program.

23

Vulnerabilitatile sistemului informatic

I. Identificatorul (ID) angajatilor concediati nu este eliminat din sistem
Sursa amenintarii: Salariati concediati
Actiunea amenintarii: Conectare la reateaua organizatiei si acceseaza datele
acesteia.
II. Firewall-ul companiei permite un acces la sistem prin serviciul Telnet
Sursa amenintarii: Utilizatori neautorizati (hackeri, teroristi, angajati concediati)
Actiunea amenintarii: Utizarea serviciului Telnet, permite accesul la fisierele din
sistem.
III. Unul din partenerii societatii a identificat slabiciuni in proiectarea

securitatii sistemului, sistemul in sine furnizandu-i diferite metode de

remediere a acestora
Sursa amenintarii: Utilizatori neautorizati
Actiunea amenintarii: Obtinerea accesului neautorizat la fisierele sensibile ale
sistemului, bazat pe vulnerabilitati cunoscute.
IV. Centrul de prelucrare automata a datelor foloseste pentru stingerea

incendiilor "imprastietoare" de apa (incastrate in tavan) fapt ce poate

afecta in mod negativ echipamentele hardware.
Sursa amenintarii: Foc, persoane neglijente
Actiunea amenintarii: Declansarea automata a stingatoarelor de incendii.

24

Amenintari asupra sistemului informatic

Sursa: Hackeri, crackeri
Actiunea: Intruziuni in sistem, atacuri de tip "hacking", acces neautorizat la
sistem
Sursa: Criminalitate informatica
Actiunea:Acte frauduloase, actiuni de tip spoofing, intruziuni ale sistemului.
Sursa: Terorism
Actiunea:Penetrarea sistemului, interferarea sistemului in mod distructiv.
Sursa: Spionaj industrial
Actiunea:Penetrarea sistemului, acces neautorizat, captarea datelor dintr-o linie
de comunicatie neprotejata.
Sursa: Atacuri ale angajatior
Actiunea:Fraude si erori, coruperea datelor, introducerea unor date false, acces
neautorizat la sistem, introducerea virusilor, caii troieni, etc.

25

Controalele interne ale sistemului informatic

In mare parte activitatea echipei de audit este reprezentata de sistemul de
controale interne, asa cum a rezultat si din definirea obiectuilui auditului sistemelor
informatice. Auditorul trebuie sa cunoasca ce controale trebuie sa certifice si cum se
aplica controalele pt ca activitatea sistemului informatic sa se desfasoare corect fara erori
si disfunctionalitati.
Controalele se grupeaza in doua clase:
1. Controalele generale
2. Controalele de aplicatie

Controalele generale
Sunt acele controale care se aplica la nivelul intregului sistem informatic al
organizatiei tuturor compartimentelor implicate in realizarea si functionarea sistemului
pentru certificarea proiectarii realizarii , implementarii, exploatarii, si dezvoltarii
corecte a intregului SI.
1. controalele privind planificarea si organizarea SI.
2. Controalele ale ciclului de viata a sistemului
3. Controalele de securitate ale SI
4. Controalele managementului schimbarilor in sistemul informatic

1. Controalele privind planificarea si organizarea SI.

Planificarea SI trebuie inteleasa ca si planificarea productiei in sensul ca trebuie sa
ne stabilim tintele pentru viitor ceea ce trebuie facut in viitor cu ce resurse si ce beneficii.
Auditul trebuie sa constate daca exista un plan strategic si un plan operational
pentru SI. Planul strategic trebuie sa contina directiile de dezvoltare ale sistemului pe
termen lung, in timp ce, planul operational are un orizont mai mic de pana la 3 ani.
Problemele organizatorice sunt deosebit de importante avand in vedere legaturile
informationale pe care le asigura SI pt.:
automatizarea proceselor de prelucrare pana la nivelulfiecarui post de lucru
comunicarea datelor atat in interiorul firmei cat si in exteriorul sau in primul rand
cu clientii si furnizorii firmei
suport pentru fundamentarea proceselor decizionale

2. Controale privind ciclul de viata ale sistemului

In cadrul acestor controale distingem urmatoarele etape
26

studiul de fezabilitate
analiza si formularea cerintelor
proiectarea
realizarea
implementarea

Studiul de fezabilitate sta la baza deciziei privin oportunitatea si eficienta realizarii

proiectuilui SI. Auditorul prin documentarea pe care o face va certifica daca aceasta
decizie este conforma cu strategia, cu obiectivele firmei si daca se bazeaza pe o analiza
pertinenta cost-beneficiu.
Analiza si formularea cerintelor informationale are o importanta majora pentru auditul
sistemului informatic pentru ca se verifica faptul ca s-au identificat corect cerintele
utilizatorilor finali precizate in specificatiile de sistem.
Proiectarea este in atentia auditorului pentru verificarea controalelor generale sub
aspectul respectarii conformitatii cu cerintele initiale a specificatiilor pentru baza de date,
a specificatiilor de programe pentru crearea unui plan pentru testarea securitatii si
stabilirea unui control formal al modificarilor necesar prevenirii modificarilor
necontrolate ale procesului de realizare a sistemului.
Realizarea este etapa in care controalele generale vizeaza utilizarea corecta a
specificatiilor de realizare a programelor, procedurilor automate, definirea fluxurilor
informationale, definirea formei si formatului pentru iesiri, intrari, realizarea
nomenclatoarelor de coduri, realizarea si asigurarea unui caracter omogen si unitar pentru
interfata cu utilizatorul.
Implementarea este o etapa in care controalele au o importanta si mai mare pentru ca se
incheie procesul realizarii sistemului si in consecinta auditul trebuie sa evalueze testarea,
certificarea si acreditarea SI.
3. Controalele de securitate
Au ca scop verificarea accesului utilizatorilor la sistem, identificarea ,
autentificarea si autorizarea utilizatorilor si a drepturilor acestora de acces si
prelucrare.
Principalele aspecte vizate de controalele generale si legate de securitatea
sistemului sunt:
Existenta si functionarea unei structuri de administrare a securitatii in care sa se
regaseasca de exemplu functii si atributii pentru administratorul resurselor
informatice si de comunicatie
Controlul si administrarea parolelor si a drepturilor utilizatorilor
Controlul logic pentru accesul la instalarea si configurarea de echipamente si
pachete software
Controlul procedurilor de monitorizare a prevenirii comunicarii si solutionarii
incidentelor de securitate
Controlul de securiatete fizica
Controlul procedurilor de realizare a copiilor de siguranta

27

4. Controalele managementului schimbarilor in sistemul informatic

Obiectivul este acela de a verifica ca toate modificarile aduse aplicatiilor sunt
corect autorizare si aprobate inaintea implementarii.
Controalele de aplicatie
De la nivelul intregului sistem se trece la componentele sistemului, aplicatiile
informatice.
Controalele interne urmarite de auditul aplicatiilor trebuie sa acopere urmatoarea arie de
probleme:
controlul calitatii aplicatiilor;
controlul adecvarii functionalitatii aplicatiilor la cerintele unui control
eficient;
fiabilitatea aplicatiilor.
1. CONTROLUL CALITATII APLICATIILOR
Calitatea aplicatiilor se asigura prin calitatea componentelor elementare ale
aplicatiilor IT:
datele de intrare;
proceselor de prelucrare;
datele de iesire;
integritatea bazei de date.
Atributele calitatii pe care trebuie sa le avem in vedere sunt:
completitudinea,
corectitudinea calculelor,
validitate pe baza verificarilor logice,
autorizare si separarea indatoririlor segregation of duties.

2. CONTROLUL ADEGVARII FUNCTIONALITATII APLICATIILOR LA

CERINTELE UNUI CONTROL INTERN EFICIENT
Are in vedere includerea de jaloane de control inca din etapa de proiectare pentru a fi
mai usor validate de auditori.
Aceasta cerinta inseamna ca aplicatiile informatice trebuie sa includa:
proceduri de validare a operatilor de introducere a datelor de intrare de catre
persoanele cu responsabilitati pe linia autorizarii intrarile.
proceduri de generare a unor rapoarte care sa inlesneasca controlul introducerii
datelor in sistem de exemplu istoricul introducerii datelor obtinut prin
jurnalizare

28

 proceduri de validare a concordantei iesiri intrari relevante pentru corelatiile

dintre procesele decizionale, indicatorii sintetici, situatiilor de iesire, date de
intrare, corelatii concordanta care asigura consistenta aplicatiilor informatice.

3. FIABILITATEA APLICATIILOR
Urmareste modul in care aplicatiile se comporta in conditii extreme, la limita. Se
testeaza timpul de raspuns si respectiv riscul de blocare cand o aplicatie ruleaza cu
parametrii setati la valori maxime. De exemplu baza de date este populata cu numarul
maxim de inregistrari, interfata de comunicare este accesata de un numar foarte mare
de utilizatori care initiaza un numar foarte mare de tranzactii, etc.
CONTROLUL DATELOR DE INTRARE
Validarea datelor se diferentiaza in functie de modalitatile de introducere a
datelor si particularitatile si particularitatile fizice ale echipamentelor de introducere a
datelor. Avem astfel urmatoarele situatii:
date introduse direct de stafful de conducere, de personalul neinformatician sau de
personalul specializat;
date introduse de la distanta de catre partenerii dintr-o aplicatie Web;
date introduse de la distanta prin scanarea documentelor; scanarea codurilor de
bare, scanarea codurilor RefID;
date introduse prin puncte ATM/POS sau prin sisteme EDI electronic data
interchange;
Tipurile de controale mai sunt determinate si de utilizarea unor metode de control
automat si generarea automata a unor secvente de date de intrare. Nucleul clasic de
controale pentru datele de intrare contine urmatoarele tipuri de controale:
controlul formatului, care are in vedere natura datelor, lungimea, numarul de
zecimale, formatul datelor calendaristice, etc.;
controlul domeniului de valori, care poate fi un domeniu de valori continuu sau
discret, predefinit sau memorat intr-un fisier tip nomenclator, control care verifica
incadrarea in limite de verosimilitate si rezonabilitate;
controlul existentei datelor si a relatiilor de corespondenta dintre date,
admiterea sau neadmiterea valorii nule, verificarea restrictiei de integritate a
entitatii si a restrictiilor de integritate referentiala;
controlul cifrelor de control,
controlul tranzactiilor lipsa sau al tranzactiilor duplicate.

CONTROLUL PRELUCTARILOR
Aceste controale urmaresc ca procedurile de prelucrare sa fie autorizate,
complete si corecte.
29

Verificarea autorizarii are in vedere mai multe aspecte:

licentele,
versiunile,
persoanele care au drepturi pentru instalari,
dezinstalari,
devirusari,
configurarea sistemului si setarea parametrilor si optiunilor implicite,
backup-uri,
initierea de proceduri de prelucrare curente.

CONTROLUL INTEGRITATII BAZELOR DE DATE

Acest control urmareste prevenirea si eliminarea amenintarilor ca datele memorate sa fie
distruse sau alterate.
Controlul prelucrarilor operatiilor de actualizare este foarte important pentru
integritatea sistemului. De aceea se practica pastrarea, alaturi de backup-urile periodice si
a unor liste de control create prin jurnalizarea procedurilor de actualizare, dar si a altor
proceduri critice de prelucrare, care ar putea denatura continutul bazelor de date. Este
utila calcularea unor indicatori statistici care evidentiaza tipul si frecventa aplicatiilor
rulate, numarul de incidente dar si a unor totaluri de control pentru urmarirea actualizarii
in special a fisierelor principale ale aplicatiilor.
CONTROLUL DATELOR DE IESIRE
Controlul datelor de iesire urmareste mai multe directii:
distribuirea iesirilor;
confruntarea outputurilor,
reconcilierea si corectarea erorilor;
manipularea si pastrarea iesirilor.
In cadrul acestor categorii de controale de aplicatii se pot face grupari ale
controalelor specifice mentionate dupa diverse criterii.
Astfel controalele de aplicatii pot fi:
- controale manuale;
- controale automate;
- controale substantive, individuale;
- controale conjugate, legate;
- controale configurabile,
- controale de granita pentru datele ce provin din afara sistemului.

30

Metodologia de audit
Auditorul trebuie sa-si planifice auditul pentru ca misiunea de audit sa se
desfasoare in mod eficient. Planificarea unui audit implica stabilirea strategiei
generale de audit si elaborarea unui plan pentru a diminua riscul de audit la un
nivel acceptabil de scazut.
Strategia generala de audit stabileste:
aria de aplicabilitate a auditului
intervalul calendaristic;
resursele si managementul auditului
Strategia ofera indrumari referitoare la elaborarea unui plan de audit.
Riscul accesului fizic
DESCRIERE

NIVELUL
RISCULUI
Maxim
Statiile de lucru si celelalte resurse informationale sunt accesibile tuturor
persoanelor care au acces in sediul intreprinderii
Moderat Resursele informationale sunt localizate in birourile in care, in mod
normal, persoanele din afara organizatiei nu au acces
Minim
Resursele informationale sunt localizate in zone in care nici o persoana
autorizata nu are acces

Riscurile asociate retelei

DESCRIERE

NIVELUL
RISCULUI
Maxim
Sistemul IT utilizeaza comunicatii prin conexiuni la retele publice, de ex.
Internet
Moderat Sistemul IT utilizeaza o retea privata pentru comunicatii
Minim
Sistemul IT nu este conectat la retele externe

ACCES
FIZIC
Maxim
Moderat
Minim

Matricea riscului accesibilitati generale

ACCES RETEA
Maxim
Moderat
Maxim
Maxim
Maxim
Moderat
Moderat
Minim

Minim
Moderat
Minim
Minim

CHESTIONAR
pentru evaluarea sistemului informatic
DA
31

NU

OBSERVATII

NR. A. Infrastructura hardware / software

Corespund tipul si dimensiunea
1
sistemului si aplicatiilor necesitatilor
institutiei ?
Dotarea hardware si software este
2
suficienta ?
Sistemul si aplicatiile sunt administrate
3
corespunzator ?
Asistenta tehnica aferenta
4
echipamentelor si aplicatiilor este
corespunzatoare ?

5
6
7
8
9
10

11
12
13

X
X
X
X

B. Utilizare / Functionalitate
Cum apreciati aplicatiile din punct de
vedere al dificultatii utilizarii acestora ?
Considerati ca timpul de preluare si/sau
prelucrare a datelor s-a redus ?
Aplicatiile utilizate duc la diminuarea
numarului de erori ?
Sunt evitate paralelismele ?
Se pot furniza informatii mai rapid catre
conducere?
Exista cerinte suplimentare frecvente
neacoperite de aplicatiile aflate in
exploatare ?
Considerati oportuna extinderea
facilitatilor aplicatiilor analizate sau
realizarea unor aplicatii noi ?
Aplicatiile reflecta in mod
corespunzator prevederile legale ?
Sunt acestea actualizate in timp util ?

MEDIU
IN COMPARATIE
CU FACTURILE
TIPIZATE
MAI ALES LA
CALCULE

X
X
X

DEOARECE
TOTUL ESTE
ELECTRONIC

X
X

X
X
DACA SUNTEM
CONECTATI LA
INTERNET

C. Instruire utilizatori
14

Cum apreciati calitatea documentatiei

tehnice ? Este ea suficienta, utila,
acoperitoare,actualizata?

15

Tematica privind instruirea

utilizatorilor, informaticieni si
neinformaticieni, a fost suficienta ?

32

PROGRAMUL SE
ACTUALIZEAZA
DE FIECARE
DATA
MULTE
LUCRURI CARE
NU SUNT
EXPLICATE
SUFICIENT

16
17

18

19

20

21
22

Au aparut necesitati suplimentare legate

de pregatirea personalului ?
A fost constatata o crestere a
performantei personalului ?
D. Apreciere generala
Se realizeaza o reducere a costurilor
(consumabile, cheltuieli postale etc.), ca
urmare a implementarii aplicatiilor ?
Ofera sistemul facilitati de verificare
rapida a contribuabililor inactivi ? Sunt
acestia verificati periodic si de catre
cine ?
Permite sistemul evidentierea
contribuabililor care nu depun
declaratiile conform modului in care au
fost inregistrati?
Dar a celor care nu-si achita obligatiile ?
Daca da, precizati procentul acestora
fata de numarul total al contribuabililor
inregistrati.
Considerati ca aplicatiile contribuie la
imbunatatirea activitatii institutiei ?

33

X
X

X
PUTEM FACE
ACEST LUCRU
PRIN
VERIFICAREA
TERMENELOR
DE PLATA

X
X

Concluzii despre sistemul informatic

AVANTAJE:
Avem nomenclatoare pentru produse si pentru clienti si nu trebuie sa introducem
de fiecare data datele acestora
Cand adaugam un produs sau un client nou suntem intrebati daca vrem sa il
adaugam in nomenclator
Cand introducem in nomenclatorul de clienti un client nou este de ajuns sa
introducem CIF si sa apasam butonul
mod automat (actualizate la zi)

si datele acestuia se vor introduce in

DEZAVANTAJE:
Nomenclatoarele nu se pot importa dintr-un fisier exterior (excel, word, etc.)
Nu putem vedea cate documente a emis fiecare angajat (seriile si numerele
merg in continuare indiferent de persoana care intocmeste documentul)
Documentele pot fi modificate oricand si de oricine fara a se vedea acest lucru
undeva
CONCLUZIE:
In concluzie programul de facturare Smart Bill Standard 2012, Sistemul
Informatic pentru care a fost efectuat Auditul, este util dar este recomandat sa fie folosit
mai mult in firme mici (max. 10 angajati) si mai putin in firme mijlocii si mari si de
preferat sa fie o singura persoana care sa il utilizeze pentru a nu exista modificari nedorite
de catre o anumita persoana in dreptul alteia.

34

35