AUDITUL SISTEMELOR

INFORMATIONALE

Informatica Economica
Anul III

Capitole
1. Conceptul de audit. Organizarea auditului
2. Riscuri asociate sistemelor informatice
3. Controlul sistemelor informatice
- Controlul ciclului de via al sistemelor informatice.
- Controlul securitii sistemelor informatice
- Controlul operaional
4. Controlul aplicaiilor
- Controlul datelor de intrare
- Controlul prelucrarilor de date
- Controlul fiierelor i bazelor de date
- Controlul datelor de ieire
- Controlul comunicaiilor
5. Colectarea i evaluarea probelor
- Documentarea sistemului informaional
- Proiectarea i realizarea testelor
- Evaluarea veridicitii controalelor
- Traseul auditarii
6. Standarde generale pentru auditarea sistemelor informaionale

CAPITOLUL I
CONCEPTUL DE AUDIT. ORGANIZAREA AUDITULUI

Auditul reprezinta o activitate de concepere a unui sistem care previne,

detecteaza si corecteaza evenimente ilicite in cadrul unei organizatii.
Obiectivele si amploarea programului de audit
Obiectivul clar al auditului este de a se concentra ntreaga activitate, prin
analiz, pe aspecte calitative i cantitative, din care rezult concordana dintre
produsul planificat a fi realizat i produsul pe cale de a fi livrat.
Auditul sistemului informatic este un process extrem de complex, iar echipa
care realizeaz un astfel de audit trebuie s aib o diversitate de specialiti, iar acetia,
la rndul lor, trebuie s aib o bogat experien profesional i vaste cunotiine
teoretice.
Un sistem informatic nu se auditeaz de persoane care nu stpnesc domeniul
afectat etapei din procesul de auditare.
Aa cum n dezvoltarea sistemului informatic exist un ciclu de dezvoltare,
divizat n etape, tot aa exist etape ale ciclului de auditare. Fiecare etap reprezint
un sistem de diviziune a muncii, iar comunicarea este un factor esenial.
Este vorba de comunicarea ntre membrii echipei de auditare, respectiv,
comunicarea ntre auditori. De asemenea, auditorii trebuie s comunice, pentru a
clarifica unele aspecte, cu echipa care a realizat sistemul informatic.
Realizarea auditului sistemului informatic contribuie la:
- mbuntirea sistemului i controalelor procesului;
- prevenirea i detectarea erorilor i a fraudelor;
- reducerea riscurilor i mbuntirea securitii sistemului;

- planificarea pentru refacere n caz de accidente i dezastre;

- managementul informaiilor i dezvoltrii sistemului;
- evaluarea utilizrii eficiente a resurselor.
Procedurile programului de audit trebuiesc stabilite, acestea referindu-se la:
a)
b)
c)
d)
e)
f)
g)

planificarea si programarea auditurilor;

asigurarea competentei auditorilor;
selectarea echipei de audit corespunzatoare;
efectuarea auditurilor;
efectuarea auditurilor de urmarire;
mentinerea programului de audit;
monitorizarea realizarii si imbunatatirea programului de audit.

Metodele de colectare a informatiilor includ:

Interviul
-interviurile sunt unul dintre
mijloacele importante ale
colectarii informatiilor si ar
trebui realizate intr-o maniera
adaptata situatiei si persoanelor
intervievate.
-interviurile ar trebui desfasurate
cu persoanele de la niveluri si
functii corespunzatoare care
efectueaza activitati sau sarcini
din domeniul auditului. Interviul
ar trebui sa aiba loc in cadrul
programului normal de lucru si
acolo unde este cazul, la locul de
munca al persoanei.
-orice efort ar trebui realizat
astfel incat san u puna persoana
intervievata in dificultate inainte
si pe durata interviului.
- motivul interviului si notitele
care se iau ar trebui explicate.
- interviurile pot fi initiate prin
solicitarea persoanelor de a-si
descrie activitatea.
- intrebarile care induc raspunsul
ar trebui evitate.
- rezultatele interviului ar trebui
sa fie sintetizate si analizate cu
persoana intervievata.
- persoanelor intervievate ar

Observarea
activitatilor
-observarea activitatilor
si a imprejurimilor
mediului de lucru si a
conditiilor de lucru

Analiza documentelor
- analiza documentelor,
adica a planurilor,
procedurilor,
instructiunilor,
licentelor si
autorizatiilor,
specificatiilor,
desenelor, contractelor,
comenzilor.
- intocmirea proceselor
verbale ale sedintelor;
-intocmirea rapoartelor
de audit;
- analiza rezultatelor
masurarilor;
- sinteza datelor, ai
indicatorilor de analiza
si de performanta;
- intocmire de rapoarte
din alte surse, alte
informatii relevante de
la surse externe si
evaluari ale
furnizorilor;
- baze de date si
website-uri.

trebui sa li se multumeasca
pentru participare si cooperare.
Auditul este finalizat atunci cand activitatile descrise au fost indeplinite si
raportul de audit aprobat a fost difuzat.
Obiectul auditului sistemelor informatice
Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a
unor probe pentru a determina dac sistemul informatic este securizat, menine
integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice ale
ntreprinderii i utilizeaz eficient resursele informaionale.
Apariia sistemelor informatice i utilizarea acestora de ctre organismele
economice au schimbat modul n care i desfoar activitatea economitii, inclusiv
auditorii, i au impus acestora nsuirea unor cunotine minime despre:
structura i arhitectura calculatoarelor;
sistemele de calcul utilizate n sistemele informatice;
programele i aplicaiile (software) utilizate de sistemele informatice;
posibilitile de calcul, eviden i control oferite de sistemele informatice
utilizatorilor lor;
utilizarea sistemelor de calcul n activitile economice i de audit;
proiectarea, realizarea i utilizarea sistemelor informatice;
tehnicile de audit asistate de calculator;
tehnicile de integrare a procedurilor de audit n sistemele informatice etc..
Auditul informatic reprezint o form esenial prin care se verific dac un SI
i atinge obiectivul pentru care a fost elaborat. Standardele definesc clar domeniul,
activitile, etapele, coninutul auditrii i formele de finalizare. Respectnd cerinele
standardelor, rezultatul procesului de auditare informatic este eliberat de riscurile
contestrii.

Domeniul de aplicare
n domeniul informatic exist mai multe direcii de dezvoltare a auditului
sistemului informatic.
Auditarea software const n activiti prin care se evideniaz gradul de
concordan dintre specificaii i programul elaborat. Auditul software d msura
siguranei pe care trebuie s o aib utilizatorul de programe atunci cnd obine
rezultate. Sigurana se refer la corectitudinea i completitudinea rezultatelor finale
atunci cnd datele de intrare sunt, de asemenea, corecte i complete.
Auditul bazelor de date, este un domeniu de maxim complexitate avnd n
vedere c, de regul, lucrul cu bazele de date presupune att datele ca atare nsoite de
relaiile create ntre ele, ct i programele cu care datele se gestioneaz. De aceea se
impune efectuarea unei reparri.
Auditul datelor vizeaz definirea acelor elemente prin care se stabilete msura n
care datele stocate ndeplinesc cerinele de calitate: corectitudine, completitudine,
omogenitate, temporalitate, reproductibilitate. Pentru fiecare caracteristic exist o metric
elaborat, iar auditorul de date trebuie s evalueze nivelul atins de caracteristic, pentru
setul de date supus auditrii. n final, auditorul de date certific faptul c datele stocate n
baze de date constituie intrri valabile pentru a obine rezultate corecte.
n cazul auditrii riscului de gestiune a datelor stocate n baze de date se
verific dac:
programele refer corect cmpurile cu date stocate;
operaiile de prelucrare sunt cele din specificaii;
agregrile, sortrile, evalurile de expresii de extragere a subseturilor de date
sunt n concordan cu specificaiile de obinere a rezultatelor ca structur,
dimensiunei coninut.

Alegerea si implementarea programului de audit

Raporturile trebuie privite din punct de vedere tehnic, financiar i juridic.
Aspectul tehnic privete date de interior, algoritmi, rezultate, resurse folosite.
Aspectul financiar vizeaz costul estimat al produsului software, aplicaie,
sistem informatic i costul efectiv, modul n care s-au efectuat plile.
Caracterul juridic al abordrii vizeaz obligaiile contractuale i legislaia din
domeniul informatic.
Toate aceste elemente conduc la stabilirea unor proceduri preliminare prin care
sunt definite direciile de analiz, gradul de semnificaie pe care procesul de audit
informatic l ofer i riscurile ca unele concluzii s fie infirmate de practica derulrii
proceselor de utilizare curent a produsului software, a aplicaiei informatice sau a
sistemului informatic n integralitatea lui.
Obiectivul auditului pentru un sistem informatic ia n analiz totalitatea
elementelor pentru a proba dac produsul finit sistemul informatic al companiei
rspunde cerinelor formulate n contractul n baza cruia s-a efectuat investiia.
Pentru a avea un audit de calitate trebuie ndeplinite urmtoarele condiii:
echipa de auditare trebuie s primeasc totalitatea informaiilor care s
constituie intrri ale procesului de auditare;
tehnicile i metodele de auditare trebuie s fie utilizate corect, folosind tot
ceea ce este necesar pentru a obine rezultate reale, neafectate de factorii
perturbatori sau de abordri pariale;
s existe clar delimitat ceea ce trebuie s realizeze sistemul informatic i
ceea ce realizeaz efectiv;auditarea scoate n eviden diferenele, efectund
i unele cuantificri, pentru a reiei mai precis pentru fiecare cerin n
parte, ponderea a ceea ce lipsete sau ponderea a ceea ce este n plus.
Pornind de la obiectivul auditrii, de la importana pe care o prezint rezultatul
auditrii, echipa de specialiti dimensioneaz efortul care trebuie depus de la
ntocmirea planului de auditare, ca atare,i pn la elaborarea raportului de auditare.
Pe timpul planificrii auditului informatic exist factori care se iau, n mod
obligatoriu, n considerare; aceti factori determin modul n care auditorul abordeaz

procesul de auditare. Auditorul va lua n considerare nivelul riscurilor generate de

utilizarea sistemului informatic.
Pentru a realiza un proces de auditare eficient este necesar s se parcurg
urmtorii pai:
definirea obiectului auditrii sistemului informatic;
construirea planului de auditare;
atribuirea sarcinilor fiecrui membru din echipa de auditori;
preluarea structurilor de tabele pentru nregistrarea rezultatelor auditrii;
derularea, pas cu pas, a procesului de auditare folosind standarde, tehnici i
metode stabilite;
nregistrarea rezultatelor i evaluarea fiecrei etape parcurse;
regruparea documentaiei provenite din diferite stadi ale procesului de
auditare i construirea raportului final.
Dezvoltarea direct de sisteme informatice se dovedete o ntreprindere
riscant dac nu este precedat de activiti care au menirea de a impune o echip, o
tehnologie unitar de analiz, design, dezvoltare, implementare, exploatare i
mentenan, aspecte care trebuie luate n considerare la efectuarea unui audit de
sistem informatic.
Sistemele informatice sunt construcii complexe, realizate pe parcursul mai
multor ani, necesitnd:
fonduri foarte mari, uriae n anumite cazuri;
echipe complexe i stabile de analiti, designeri, programatori i personal
care se ocup de testare, implementare i mentenan;
stabilirea obiectivelor;
definirea unei strategii de dezvoltare, exploatare i mentenan;
achiziionarea de echipamente, instrumente necesare realizrii de prelucrri,
de conexiuni i dezvoltrii fluxurilor cu exteriorul;
calificarea personalului pentru utilizarea corect i eficient a sistemului.
Complexitatea sistemelor informatice i durata, relativ mare, de realizare a
acestora genereaz o serie de probleme care trebuie luate n considerare i soluionate
astfel nct, n final, s se obin rezultatele scontate.

Monitorizarea si analizarea programului de audit

Auditul unui sistem informatic presupune un volum important de munc
ntruct se reface ntregul traseu parcurs de echipa de realizatori ai sistemului i, chiar
mai mult, ntruct intr n analiz nsi specificaiile cu sursele pe baza crora au fost
construite.
Efectul imediat al auditului sistemului informatic este folosirea lui cu ncredere
dac rezultatul auditrii ofer aceast ncredere. Pentru echipa de dezvoltare a
sistemului informatic, dac a trecut de testul auditrii, se creeaz condiii favorabile
dezvoltrii de noi sisteme informatice, mult mai complexe.
n cazul n care sistemul informatic nu a trecut testul auditrii, apar serioase
semne de ntrebare legate de managementul companiei de software care a dezvoltat un
astfel de sistem. Trebuie s apar schimbri majore la nivelul managementului i la
nivelul echipelor de dezvoltare. Trebuie adoptate tehnici de analiz, proiectare,
programe testare, implementare, mentenan, eficiente care s genereze fluxuri de
dezvoltare compatibile.
Auditul presupune un mod activ de corectare a produsului, variante de lansare
n uz curent dac acest lucru se impune. Auditul este necesar pentru orice sistem
informatic. Este normal ca un sistem informatic neauditat, cnd genereaz erori,
compania care utilizeaz s plteasc toate daunele. Lipsa auditului nseamn riscuri
asumate. Riscurile nseamn costuri i costurile trebuie suportate de ctre cel care i-a
asumat riscurile la un nivel care depete limite raionale.
Auditul este un proces opional pn la un punct. n condiiile software public,
n care ceteanul dezvolt procese de prelucrare n interes propriu, auditul devine o
necesitate, devenind obligatoriu. Obligativitatea este o msur de autoconservare a
companiei care utilizeaz software public pentru a derula servicii spre ceteni cu
resurse proprii pentru a satisface cerine ale cetenilor. O astfel de organizaie nu
trebuie s rite. Auditul nseamn transfer de ncredere i meninerea riscurilor la
niveluri suportabile cu asigurarea unui nivel bun al profitabilitii.
n condiiile societii informaionale, conectarea la o arhitectur de sisteme
informatice auditate a unui nou sistem este efectiv dac i numai dac sistemul care

se conecteaz este auditat, iar rezultatul auditrii permite conectarea. n caz contrar,
efectele de antrenare multipl la nivelul riscurilor devin de necontrolat.
Societatea informaional dezvolt o nou atitudine fa de audit. l consider
un element esenial pentru construirea de arhitecturi software complexe de utilitate
public n regim continuu i fr asisten. Crearea civilizaiei bazat pe informaie
obinut interactiv pleac de la idea completitudinii i corectitudinii obinerii
informaiei. Pentru a avea costuri bune, sistemele informatice trebuie s utilizeze
resursele la niveluri minime. Numai n procesul de auditare rezult c a fost urmat
calea spre minimizarea costurilor. Sunt argumente, sunt msurtori i ntregul demers
trebuie susinut cu calcule de eficien.
Auditul trebuie privit ca o investiie suplimentar. Compania de software care
dezvolt un sistem informatic i deruleaz procedee de audit creeaz premisele
autoproteciei fa de riscurile generatoare de cheltuieli ce depesc potenialul
companiei.
Se creeaz o nou atitudine fa de auditul sistemelor informatice, fiind
considerat altceva dect o activitate impus sau un ru necesar, transformndu-se n
singura modalitate prin care se obin garanii reale asupra calitii sistemului
informatic, pe care utilizatorii le percep n timp.
Odat implementat, un sistem informatic este obligatoriu s fie auditat periodic
pentru a se asigura c ndeplinete toate sarcinile cerute la cel mai ridicat grad posibil
de eficien i eficacitate. Creterea organizaiei, creterea volumului afacerilor,
schimbrile n mediul afacerilor, schimbrile tehnologice i noile cerine de informaii
toate plaseaz o cerere crescnd asupra sistemului informatic existent i adeseori
impun modificarea sau extinderea acestuia pe baze ad-hoc.
Exemple ale unui audit de SI aflat n funciune:
reevaluarea cerinelor de informaii;
verificarea modificrilor propuse la proiectrile de baz existente;
investigarea oportunitii noilor tehnologii;
mbuntirea procedurilor de operare.
Din practic s-a constatat necesitatea auditarii unui sistem informatic odat
la trei ani sau ori de cte ori schimbrile aprute o impun.

10

CAPITOLUL II
RISCURI ASOCIATE SISTEMULUI INFORMATIONAL

a) Riscurile de mediu
hardware si retele de comunicatii;
sistem de operare;
softuri de aplicatie;
informatiile procesate de sistem.
b) Riscuri asociate mediului :
pericole naturale si dezastre;
alterarea sau furtul aplicatiilor, datelor;
erori umane sau tehnice;
incompetenta manageriala;
pierderi financiare previzibile.
Riscurile trebuie :
evaluate din punct de vedere al gravitatii efectelor lor;
evaluate din punct de vedere al probabilitatii procedurilor;
estimate financiar pentru fiecare aparitie a fenomenului si pe total.

Exemple in cazul riscurilor si accidentelor declansate

1. Cazul erorilor de operare
Se pot declansa alerte in cadrul unor centre importante, depozite, institutii mari,
corporatii, etc. astfel incat activitatea desfasurata sa fie suspendata.
2. Cazul unei functionari defectuoase a hardware-lui
In acest caz pot fi afectate institutii importante, cum ar fi cele ce tin de
comunicatie (aeroporturi, de exemplu) asa incat sa apara cazuri de afectare a
11

zborurilor aviatiei prin interferarea cu mijloace electronice de la bord ale

pasagerilor.
3. Cazul functionarii defectuoase a software-ului
Se pot provoca transferuri gresite de sume, in cazul institutiilor bancare.
4. Cazul datelor eronate nedetectate de sistem
Pot avea loc interpretari gresite a unei comenzi de vanzare ( de exemplu, tot
pentru cazul institutiilor bancare, in loc de transferuri de bani sa se faca transferuri
de actiuni), sau greseli de introduceri de date ce dau peste cap anumite statistici care
se fac periodic asupra populatiei.
5. Cazul riscurilor associate componentelor nonelectronice
Situatii in care operatorii nu au precizat prioritatea comunicatiilor pentru
liniile aeriene determinand astfel nefunctionarea radarelor aeroporturilor importante
o perioada mare de timp.
6. Cazul riscurilor asociate performantelor inadecvate ale sistemului
Situatii neplacute in cazul burselor cand, costul unor actiuni calculate intr-un
timp destul de mare (adica nu intr-un timp real) a fost cu mult mai mare datorat
volumului vanzarilor care a fost de extrem de multe operatii, mai mult decat era
normal.
7. Cazul riscurilor associate responsabilitatilor legale
Cazuri in care o anumita tara detine un record la numarul mare de softuri
piratate.

Metode de minimalizare a riscului

Aceste metode creeaza din start un sistem informatic corect, deasemenea:
pregateste utilizatorii pentru procedurile de securitate;
12

odata sistemul pornit, mentine securitatea sa fizica;

securitatea fizica asigurata, previne accesul neautorizat;
avand controlul accesului, se asigura ca reluarile de proceduri sa fie corecte;
chiar daca exista proceduri de control, cauta cai de a-l perfectiona;
chiar daca sistemul pare sigur, auditeaza-l si identifica noi probleme de
securitate;
chiar daca este foarte vigilent, pregateste-te de dezastre.

Metode aplicate
1. Dezvoltarea si modificarea sistemului de control
orice modificare de soft trebuie verificata;
asigurarea documentatiei la zi;
asigurarea cu softuri specializate antivirus la zi.
2. Pregatirea personalului pentru reducerea riscului
periodicitate;
selectie.
3. Mentinerea securitatii fizice
acces fizic restrans.
4. Controlul accesului la date, hardware si retele
controlul operatiunilor vamale;
definirea exacta a accesului privilegiat;
eliminarea intruziunilor;
parole;
carduri ID;
chei hardware;
control retinei, amprentei digitale palmare etc.

13

CAPITOLUL III
CONTROLUL SISTEMELOR INFORMATICE

A. CONTROL LA NIVELUL MANAGEMENTULUI

evaluarea anuala a sistemului informational;
directiile de dezvoltare;
strategiile de dezvoltare.
B. CONTROLUL CICLULUI DE VIATA
controlul initierii proiectului sistemului informational;
controlul analizei si proiectarii initiale a sistemului informational;
controlul achizitiei (dezvoltarii) sistemului informational;
controlul testarii sistemului informational;
controlul implementarii si conversiei sistemului informational;
controlul intretinerii sistemului informational.
C. CONTROLUL SECURITATII SISTEMULUI
responsabilitatea managementului;
separarea functiilor incompatibile;
controlul accesului;
controlul securitatii fizice;
controlul prevenirii efectelor dezastrelor.
D. CONTROALELE NIVELULUI OPERATIONAL
controlul modului de operare;
controlul retelei de calculatoare;
controlul pregatirii si introducerii datelor in system;
controlul procesarii datelor;
controlul gestiunii mediilor de stocare;
controlul gestiunii aplicatiilor si a documentatiilor;
controlul asistentei tehnice.
E. EVALUAREA PERFORMANTELOR SISTEMULUI

14

Controlul ciclului de viata

1. Controlul initierii proiectului

Realizarea sistemului (achizitia) in corelatie cu dezvoltarea societatii;
Determinarea costurilor, economicitatii sau alte avantaje.
Auditorul membru al echipei de proiectare
A. STRUCTURAREA CORESPUNZATOARE A ECHIPEI DE LUCRU
B. REVIZUIREA ANALIZEI SISTEMULUI INFORMATIONAL
EXISTENT
C. REVIZUIREA COSTURILOR NOULUI SISTEM
D. REVIZUIREA DOCUMENTATIEI PROIECTARII CONCEPTUALE
2. Controlul analizei si proiectarii initiale
Scop general - Sistemul dezvoltat (achizitionat) corespunde cerintelor
Utilizatorului si are in vedere:
A. REVIZUIREA PROIECTULUI INITIAL
B. ASIGURAREA DOCUMENTATIEI
C. REVIZUIREA SPECIFICATIILOR FISIERELOR SI INTRARILE
ASOCIATE
D. REVIZUIREA SPECIFICATIILOR ECHIPAMENTELOR
E. REVIZUIREA COSTURILOR SI STANDARDELOR DE PROCESARE

Controlul securitatii sistemelor informatice

Procesele de asigurare a securitatii sistemelor informatice indeplinesc functia
de a proteja sistemele impotriva folosirii, publicarii sau modificarii neautorizate,
distrugerii sau pierderii informatiilor stocate. Securitatea sistemelor informatice este
asigurata prin controale logice de acces, care asigura accesul la sisteme, programe si
date numai utilizatorilor autorizati.
Elementele de control logic care asigura securitatea sistemelor informatice
sunt:

15

cerintele de confidentialitate a datelor;

controlul autorizarii, autentificarii si accesului;
identificarea utilizatorului si profilele de autorizare;
stabilirea informatiilor necesare pentru fiecare profil de utilizator;
controlul cheilor de criptare;
gestionarea incidentelor, raportarea si masurile ulterioare;
protectia impotriva atacurilor virusilor si prevenirea acestora;
firewalls;
administrarea centralizata a securitatii sistemelor;
training-ul utilizatorilor;
metode de monitorizare a respectarii procedurilor IT, teste de intruziune si
raportari.
Obiective de control detaliate
Asigurarea securitatii sistemelor informatice prin controlul masurilor de
securitate
includerea informatiilor legate de evaluarea riscurilor la nivel organizational in
proiectarea securitatii informatice;
implementarea si actualizarea planului de securitate IT pentru a reflecta
modificarile intervenite in structura organizatiei;
evaluarea impactului modificarilor planurilor de securitate IT, si monitorizarea
implementarii procedurilor de securitate;
alinierea procedurilor de securitate IT la procedurile generale ale organizatiei.
Identificarea, autentificarea si accesul
Accesul logic la resursele informatice trebuie restrictionat prin implementarea
unor mecanisme adecvate de identificare, autentificare si acces, prin crearea unei
legaturi intre utilizatori si resurse, bazata pe drepturi de acces.

16

Securitatea accesului on- line la date

Intr-un mediu IT on-line trebuie implementate proceduri in concordanta cu
politica de securitate, care presupune controlul securitatii accesului bazat pe
necesitatile individuale de accesare, adaugare, modificare sau stergere a informatiilor.
Managementul conturilor utilizator
Conducerea organizatiei trebuie sa stabileasca proceduri care sa permita
actiuni rapide privind crearea, atribuirea, suspendarea si anularea conturilor utilizator.
O procedura formala in raport cu gestionarea conturilor utilizator trebuie inclusa in
planul de securitate.
Verificarea conturilor utilizator de catre conducere
Conducerea trebuie sa dispuna de o procedura de control care sa verifice si sa
confirme periodic drepturile de acces.
Verificarea conturilor utilizator de catre utilizatori
Utilizatorii trebuie sa efectueze periodic controale asupra propriilor lor
conturi, in vederea detectarii activitatilor neobisnuite.
Supravegherea securitatii sistemului
Administratorii sistemului informatic trebuie sa se asigure ca toate activitatile
legate de securitatea sistemului sunt inregistrate intr-un jurnal, si orice indiciu referitor
la o potentiala violare a securitatii trebuie raportata imediat persoanelor responsabile.
Clasificarea datelor
Conducerea trebuie sa se asigure ca toate datele sunt clasificate din punct de
vedere al gradului de confidentialitate, printr-o decizie formala a detinatorului datelor.
Chiar si datele care nu necesita protectie trebuie clasificate in aceasta categorie printro decizie formala. Datele trebuie sa poata fi reclasificate in conditiile modificarii
ulterioare a gradului de confidentialitate.

17

Centralizarea identificarii utilizatorilor si drepturilor de acces

Identificarea si controlul asupra drepturilor de acces trebuie efectuate
centralizate pentru a asigura consistenta si eficienta controlului global al accesului.
Rapoarte privind violarea securitatii sistemului
Administratorii de sistem trebuie sa se asigure ca activitatile care pot afecta
securitatea sistemului sunt inregistrate, raportate si analizate cu regularitate, iar
incidentele care presupun acces neautorizat la date sunt rezolvate operativ. Accesul
logic la informatii trebuie acordat pe baza necesitatilor stricte ale utilizatorului (acesta
trebuie sa aiba acces numai la informatiile care ii sunt necesare).
Gestionarea incidentelor
Conducerea trebuie sa implementeze proceduri de gestionare a incidentelor
legate de securitatea sistemului, astfel incat raspunsul la aceste incidente sa fie
eficient, rapid si adecvat.
Increderea in terte parti
Organizatia trebuie sa asigure implementarea unor proceduri de control si
autentificare a tertilor cu care intra in contact prin medii electronice de comunicare.
Autorizarea tranzactiilor
Politica organizatiei trebuie sa asigure implementarea unor controale care sa
verifice autenticitatea tranzactiilor precum si identitatea utilizatorului care initiaza
tranzactia.
Prevenirea refuzului de acceptare a tranzactiei
Sistemul trebuie sa permita ca tranzactiile efectuate sa nu poata fi negate
ulterior de nici un participant. Aceasta presupune implementarea unui sistem de
confirmare a efectuarii tranzactiei.
Informatiile sensibile trebuie transmise numai pe un canal de comunicatii
considerat sigur de parti, care sa nu permita interceptarea datelor.

18

Protectia functiilor de securitate

Toate functiile organizatiei legate de asigurarea securitatii trebuie protejate in
mod special, in vederea mentinerii integritatii acestora. Organizatiile trebuie sa
pastreze secrete procedurile de securitate.
Managementul cheilor de criptare
Conducerea trebuie sa defineasca si sa implementeze proceduri si protocoale
pentru generarea, modificarea, anularea, distrugerea, certificarea, utilizarea cheilor de
criptare pentru a asigura protectia impotriva accesului neautorizat.
Prevenirea, detectarea si corectarea programelor distructive
In vederea protejarii sistemului impotriva aplicatiilor distructive (virusi),
trebuie implementata o procedura adecvata care sa includa masuri de prevenire,
detectare, actiune, corectare si raportare a incidentelor de acest fel.
Arhitecturi Firewall si conectarea la retele publice
In cazul in care sistemul organizatiei este conectat la Internet sau alte retele
publice, programe de protectie adecvate (firewalls) trebuie implementate pentru a
proteja accesul neautorizat la resursele interne ale sistemului.
Protectia valorilor electronice
Conducerea trebuie sa asigure protectia si integritatea cardurilor si a altor
dispozitive folosite pentru autentificare sau inregistrare de date considerate sensibile
(financiare).
Securitatea sistemelor informatice
Organizatia trebuie sa aiba o politica se securitate informationala care se refera
la:
responsabilitatile personalului;
atributiile responsabilului cu securitatea;
clarificarea datelor si nivelurile de securitate;
controlul (auditul) intern al securitatii.

19

Politica de securitate se refera la tot personalul angajat, adica la:

standarde interne si principii privind securitatea S.I.;
la nivel grobal;
pe grupe (functii, sectii) de lucru;
codul etic al angajatilor si pregatirea acestora.
Autorizarea utilizatorilor
a. Identificare : calculatorul recunoaste un potential utilizator al sistemului;
b. Autentificare : functia de stabilire a validitatii identitatii pretense;
c. Autorizare : utilizatorului recunoscut i se permite accesul la resursele sistemului.
Controlul accesului
Riscurile accesului neautorizat se refera la:
diminuarea confidentialitatii;
furtul informatiilor;
divulgarea neautorizata de informatii;
diminuarea integritatii informatiilor;
intreruperea functionarii sistemului.
Controlul accesului in mediile publice utilizand firewall impune o politica de
control a accesului intre doua retele si ne indica faptul ca:
intreg traficul de date trece prin el;
este permisa numai trecerea autorizata prin politica locala de securitate;
sistemul insusi este imun la penetrare;
monitorizarea comunicatiilor TCP/IP;
poate inregistra toate comunicatiile;
poate fi folosit la criptare.
Limitele unui firewall
restrictioneaza, blocheaza accesul la unele servicii externe;
protectie scazuta pentru atacuri din interior;

20

protectie scazuta fata de virusi;

diminueaza viteza de comunicare cu exteriorul;
fiabilitate redusa datorita centralizarii.

Controlul securitatii fizice

Auditorul verifica masura in care accesul fizic la date si resursele hardware
sunt restrictionate corespunzator si impune cateva obiective, si anume:
modul cum este restrictionat accesul fizic la facilitatile IT din firma;
modul cum este restrictionat accesul la spatiile unde se afla echipamentele pe
care se realizeaza prelucrarile;
modul cum sunt protejate stocarile offline de date;
cat de sigura, din punct de vedere informational, este scoaterea din uz a
calculatoarelor si mediilor de stocare a datelor;
existenta unor programe care permit recuperarea datelor sterse de pe mediile
de stocare;
dificultatea asigurarii controlului accesului fizic la fiecare componenta
hardware;extinderea lucrului in retea si a utilizarii sistemelor distribuite s-a
caracterizat prin concentrarea atentiei pe controlul accesului logic, dar
controlul accesului fizic ramane in continuare important, el reprezentand o
componenta a sistemului de securitate.
Copii de siguranta si evenimente neprevazute
Auditorul trebuie sa verifice daca la nivelul organizatiei exista :
1) proceduri prin care sa se asigure functionarea sistemului in cazul caderii
alimentarii cu energie electrica sau a cailor de comunicatii. Exista sectoare
sensibile bancar, bursier, securitatea statului, energetic etc. care impun
asigurarea functionarii continue a sistemelor informatice ceea ce implica
existenta unor surse alternative de energie si/sau comunicatii.
2) planuri bine testate si documentate, actualizate periodic prin care sa se asigure
operationalitatea

sistemului

informatic

in

conditiile

producerii

unor

evenimente neprevazute.

21

3) proceduri si controlul aplicarii acestora, privind realizarea copiilor de

siguranta si refacerea starii sistemului in cazul caderii acestuia ca urmare a
unor cauze hard sau soft.
4) existenta unui contract de asigurare a organizatiei pentru evenimente
neprevazute.
5) nivelul de instruire a personalului cu privire la procedurile aplicabile in cazul
realizarii periodice a copiilor de siguranta sau executarii procedurilor de criza
in cazul producerii dezastrelor.
Dezastrele
actiuni cu scop distructiv produse intentionat sau nu, inclusiv VIRUSI;
dezastre naturale.
Conceptul de BUSINESS CONTINUITY MANAGEMENT (BCM) prevede:
anticiparea incidentelor care pot afecta functiile critice si procesele
organizatiei
asigurand ca organizatia va raspunde oricarui incident conform planurilor
elaborate pana la revenirea activitatii la o desfasurare normala;
functia IT este una fin functiile critice ale organizatiei;
plan de actiune care cuprinde proceduri si persoanele responsabile cu punerea
inpractica a actiunilor de limitare a distrugerilor si refacerea sistemului prin:
1. stabilirea echipei responsabile cu realizarea unui plan de refacere a
sistemului formata din personalul din compartimentul de specialitate,
auditorul sistemului informatic, utilizatori;
2. elaborarea procedurilor de verificare a principalelor componente ale
sistemului (date, soft, hard, documentatii) in cazul producerii
evenimentelor distructive si stabilirea responsabilitatilor;
3. stabilirea locatiilor in care vor fi pastrate copiile de siguranta,
documentatiile si componente hardware;
4. stabilirea prioritatilor privind procedurile ce trebuie efectuate;
5. stabilirea locatiei in care se vor executa procedurile;
6. testarea planului pe elemente componente;
7. documentarea planului;

22

8. nu toate incidentele (evenimentele distructive) pot fi anticipate prin

BCM;
Planificarea continuitatii activitatii in cadrul organizatiei implica aspecte de
genul:
ce a facut managementul privitor la riscul de cadere a sistemului si fata
de scenariul de dezastre;
cum sunt testate si actualizate planurile de continuitate a activitatii prin:
a. revederea planurilor existente;
b. daca sunt clar precizate responsabilitatile;
c. care este nivelul de instruire a personalului implicat;
d. refacerea in cazul esecului operational.
In acest caz, auditorul verifica :
daca sunt stabilite proceduri adecvate in cazul producerii unor
esecuri operationale;
daca aceste proceduri sunt verificate si aprobate;
daca aceste esecuri operationale sunt identificate, rezolvate la
timp, comsemnate si raportate;
in ce masura echipamentele sunt adecvat plasate si protejate
pentru a se preveni riscul distrugerii accidentale (foc, fum, praf, vibratii,
radiatii electromagnetice etc.);
in ce masura echipamentele sunt corect intretinute;
ce controale exista pentru prevenirea esecurilor operationale
produse din :
1. cauze hardware;
2. neaplicarea corecta a procedurilor de operare;
3. erori software.
care sunt procedurile de RESTART si REFACERE
(Recovery) pentru refacerea starii sistemului in urma unui esec operational;
in caz de incidente sunt evaluate actiunile operatorilor
pentru a se vedea daca prin actiunile lor nu au afectat calitatea prelucrarilor sau
structurile de date.

23

Actualizarile folosind backup-urile datelor (fisierelor), aplicatiilor si softwareul de sistem trebuie sa fie posibile in caz de urgenta sis a prevada:
daca procedurile de backup (pentru date si soft) sunt cele potrivite;
daca backup-urile sunt corect jurnalizate si stocate in locatii sigure;
daca exista siguranta ca backup-urile si procedurile RECOVERY vor lucra la
nevoie;
daca datele din fisierele copii sunt acoperitoare pentru refacerea fisierelor
operationale. Frecventa realizarii copiilor este direct proportionala cu volumul
tranzactiilor si importanta datelor pentru organizatie.
Conform procedurilor backup copiile pot fi :
partiale;
totale.
Controlul nivelului operational
Distribuirea prelucrarii impune controlul la nivel operational si presupune
urmatoarele activitati auditate:
1. Operarea efectiva la postul de lucru prin:
restrictionarea accesului;
utilizarea eficienta a timpului de lucru;
intretinerea si repararea echipamentului;
cunoasterea si respectarea procedurilor de catre utilizatori.
2. Reteaua de calculatoare care va presupune:
modul de monitorizare a traficului pe retea;
politica antivirus server sau post de lucru;
controlul politicilor de acces si restrictionare;
protectia conexiunii la retele publice.
Auditorul urmareste :
cum sunt autentificate conectarile de la distanta la calculatoarele organizatiei;
daca reteaua este mare, in ce masura este organizata pe domenii separate;

24

daca reteaua este partajata (mai ales daca se extinde dincolo de organizatie) ce
controale exista pentru a se verifica faptul ca utilizatorii acceseaza doar
portiunile de retea pentru care sunt autorizati;
cum sunt protejate transmisiile in retea;
conexiunile externe trebuie folosite doar pentru scopuri valide ale afacerii si
controalele trebuie sa previna ca aceste conexiuni sa submineze securitatea
sistemului;
in ce masura aceste conexiuni externe sunt impuse de nevoi ale organizatiei;
cat de sigura este posta electronica a organizatiei;
ce controale exista pentru a preveni accesarea unor site-uri inadecvate;
ce controale exista pentru a preveni navigarea neproductiva pe Internet a
personalului si in afara sarcinilor de serviciu.
Solutia hardware si software a retelei trebuie sa asigure nevoile de
disponibilitate, performanta si flexibilitate.
ce documentatie de retea este disponibila;
cum sunt aprobate modificarile din retea, controlate si testate;
ce procese au loc pentru planificarea capacitatii si monitorizarea nivelului de
performanta.
3. Pregatirea datelor si introducerea in sistem care presupun:
pregatirea documentelor primare;
datele sunt clasificate, grupate, verificate, sortate si transmise pentru
procesare;
controlul introducerii datelor;
acuratetea datelor care depinde de :
a. calitatea controalelor;
b. factorul uman;
c. tipul echipamentelor folosite pentru introducerea datelor in sistem.
4. Procesarea datelor realizata prin:
acces autorizat pentru declansarea procedurilor;
respectarea termenelor si timpilor de procesare;

25

protejarea fisierelor;
pastrarea rezultatelor procesarii;
asigurarea la timp a datelor necesare prelucrarilor, mai ales in cazul in care
acestea sunt asigurate de alte sisteme informatice (interne sau externe
organizatiei);
intretinerea software-ului;
Auditorul va urmari masura in care a asigurat documentatia necesara
personalului implicat in procesarea datelor.
5. Gestionarea mediilor de stocare prin:
localizarea curenta;
persoana responsabila (gestionarul);
data achizitiei;
utilizatorul;
fisierele/programele/aplicatiile continute;
persoanele autorizate sa acceseze mediul;
data ultima cand a fost folosit; de cine; data restituirii;
data la care continutul poate fi sters;
cum sunt protejate stocarile offline de date.
6. Gestionarea aplicatiilor si a documentatiei
modul de pastrare;
modul de acces;
actualizarea documentatiei;
copii de siguranta.
7. Asistenta tehnica
modul de achizitionare a hardware-ului;
instruire utilizatori;
identificarea erorilor de procesare si modul de rezolvare;
controlul soft-urilor;
raportarea incidentelor.

26

Managementul trebuie sa stabileasca nivelurile de service necesitate de utilizatori

si sa stabileasca politicile privind asigurarea acestora :
in ce masura corespund contractele de service existente nevoilor reale;
in ce masura service-ul asigurat raspunde cerintelor de securitate.
8. Monitorizarea performantelor
monitorizarea

performantei

operationale

si

aprobarea

procedurilor

documentate;
monitorizarea performantei privitoare la nivelele de service si a procedurilor
de operare;
ce informatii primeste managerul pentru a-i permite sa monitorizeze starea
mediului hard si terminarea la timp a prelucrarilor;
cat de des se primesc aceste informatii;
in ce masura au existat probleme cu performanta componentelor hardware
si/sau executarea la timp a prelucrarilor;
ce monitorizare se desfasoara pentru verificarea operarii eficiente a
calculatorului;
in ce masura au existat probleme cu neaprobarea unor proceduri definite
pentru operarea calculatorului.

27

CAPITOLUL IV
CONTROLUL APLICATIILOR

Controlul general asigura integritatea sistemului vazut ca un intreg, inclusiv

executia aplicatiilor si controlul fisierelor exploatate.
Controlul aplicatiilor asigura acuratetea, integritatea si completitudinea
tranzactiilor.
1. TIPURI DE CONTROALE
controlul datelor de intrare;
controlul prelucrarilor;
controlul integritatii fisierelor;
controlul securitatii aplicatiei;
controlul iesirilor;
controlul fisierelor principale (MASTER FILES).
2. UTILIZATORII APLICATIEI
a) proprietarul;
b) administratorul;
c) utilizatori curenti.
a) PROPRIETARUL
este utilizator principal;
are responsabilitatea aplicatiei;
nu este implicat in executarea aplicatiei;
deleaga sarcini.
b) ADMINISTRATORUL are urmatoarele sarcini:
sa sigure functionarea controlului logic asa cum s-a prevazut;
sa asigure actualizarea controlului logic;
sa verifice existenta backup-ului aplicatiei;
28

sa rezolve cerintele utilizatorilor;

sa asigure identificarea, monitorizarea si raportarea problemelor;
pastrarea si distributia documentatiei;
asigura legatura intre departementul IT, utilizatorii sistemului si firma
software furnizoare.
c) UTILIZATORII CURENTI
aplicatia reprezinta un instrument de lucru pentru realizarea sarcinilor
lor;
sunt instruiti cum sa foloseasca aplicatia pentru a-si realiza sarcinile de
serviciu.
3. CLASIFICAREA APLICATIILOR
sisteme cu intrari de tip batch (loturi);
sisteme cu intrari de tip batch si consultare online;
sisteme cu procesare pe loturi si consultare online.
4. AUDITOR CONTROLUL APLICATIEI
auditorul trebuie sa dopte o abordare eficienta si eficace a auditului;
auditorul trebuie sa cunoasca si sa inteleaga sistemul si controalele interne;
daca controalele acopera obiectivele auditului si par a fi robuste auditorul
poate selecta testele considerate ca necesare.
5. PLANUL DE AUDIT contine:
obiectivele fixate;
probele pe care auditorul se asteapta sa le obtina in urma auditului;
amploarea (intinderea) testelor programate;
ce se va considera ca esec al controlului;
cate astfel de esecuri pot fi tolerate.
6. PROBELE pot fi sub forma :
listelor de control al accesului;
limitelor autorizarilor automate ale utilizatorilor;

29

jurnalelor de securitate;
cererilor de modificari si modul de solutionare a acestora etc. care se obtin
prin combinarea:
a) observarii;
b) chestionarii;
c) examinarii;
d) esantionare (folosind tehnici asistate de calculator).
7. CAT DE DEPARTE SA SE MEARGA CU TESTELE
Rationamentul auditorului ia in considerare:
frecventa controlului;
gradul de incredere prezentat de controalele aplicatiei;
natura probelor pe care auditorul urmareste sa le obtina;
continuitatea controlului;
importanta controlului si a tranzactiilor.

Controlul intrarilor, prelucrarilor si iesirilor. La ce folosesc controalele aplicatiei

asigura completitudinea, acuratetea si validitatea inregistrarilor;
controalele vizeaza : intrarile, prelucrarile, iesirile.
RESPONSABILITATI
cine are responsabilitatea acestor controale;
daca sunt cele mai adecvate controale ;
ce rol are auditorul IT.
CONTROLUL EXISTENTEI DATELOR
Testul se refera in principal la validarea datelor de intrare reprezentand coduri.
Este suficient sa introduci codul unul client si pe ecran sa se afiseze numele acestuia
sau un mesaj de eroare atentionand asupra introducerii unui cod incorect.
Controlul prelucrarilor
Auditorul tine seama de tipologia sistemului informatics adica de:

30

sisteme de procesare a tranzactiilor (TPS Transaction Processing Systems);

sisteme destinate conducerii curente (MIS Management Information
Systems);
sisteme suport de decizie (DSS Decision Support Systems);
sisteme destinate conducerii strategice (EIS Executive Support Systems);
sisteme pentru automatizarea lucrarilor de birou (OAS Office Automation
Systems).
Controlul fisierelor si al bazei de date
Se verifica:
continuitatea acestora;
versiunea daca este ultima versiune si daca cuprinde toate corectiile;
transferul fisierelor in momentul trecerii la exploatarea unui nou system
informatic. Se verifica masura in care au fost autorizate procedurile de transfer
al fisierelor din vechiul in noul sistem. De asemenea se verifica daca au fost
aceste

proceduri

realizate

de

persoanele

imputernicite;

se

verifica

completitudinea si corectitudinea transferului.

solutia aleasa pentru arhitectura bazei de date este cea mai buna (varianta baza
de date centralizata sau baza de date distribuita);
daca in cazul bazelor de date distribuite s-a realizat o corecta si eficienta
distribuire a datelor in nodurile retelei si in ce masura s-a tinut seama de
respectarea urmatoarelor cerinte:
a. nevoile de informare a utilizatorilor locali;
b. asigurarea unui transfer minim al datelor prin retea;
c. necesitatea protectiei datelor transferate prin retea.
care au fost criteriile pentru alegerea SGBD-ului; daca ofera SGBD-ul toate
facilitatile privind implementarea controalelor automate, al controlului
accesului la baza de date, tabelele bazei de date etc.

Disponibilitatea datelor

31

Datele, in procesul prelucrarii, datorita reprezentarii binare sunt inaccesibile

auditorului in aceasta forma. Mai mult, unele date sunt temporar stocate in memoria
calculatorului (datele intermediare de lucru).
Controlul prelucrarilor declansate automat se realizeaza astfel:
auditorul trebuie sa verifice care sunt evenimentele care declanseaza aceste
relucrari;
controlul tranzactiilor generate automat.
Functionalitatea aplicatiei
Se pune problema in acest caz daca exista anumite prelucrari pe care aplicatia
trebuie sa le execute, dar nu le realizeaza sau le realizeaza greoi; de asemenea se mai
urmareste daca:
sunt functionalitati care lipsesc;
in ce masura aplicatia raspunde stilului si metodei de lucru specifice
utilizatorului;
daca determina aplicatia un mod de lucru ineficient, o gandire rigida,
nenaturala.
Controlul fluxului prelucrarilor
Presupune sa verificam ce prelucrari urmeaza sa se declanseze in anumite
circumstante. De asemenea se realizeaza testul load conditions care urmareste daca un
program poate functiona nesatisfacator cand este suprasolicitat (volum mare de date
de prelucrat intr-un interval scurt de timp sau incarcare maxima intr-un anumit
moment).
Comunicarea sistemului cu utilizatorul
In acest caz se pun cateva probleme, si anume daca:
este usor sa te pierzi in program;
daca exista optiuni de lucru care pot fi confundate cu altele;
care sunt mesajele de eroare si daca acestea sunt utile, explicite;
ce informatie este disponibila pe ecran si daca este suficienta, clara;
calitatea asistentei oferite utilizatorului (informatia returnata de tasta HELP de
exemplu).

32

Performante
In cazul sistemelor in timp real este foarte important timpul de raspuns.
Controlul datelor de iesire urmareste:
completitudinea si acuratetea iesirilor;
respectarea termenelor prevazute pentru obtinerea iesirilor;
masura in care iesirile, la cererea utilizatorilor, pot fi dirijate catre imprimanta,
monitor sau un fisier;
distribuirea iesirilor catre persoanele autorizate punandu-se problema:
1) cine primeste situatiile si daca exista persoane imputernicite in acest
sens;
2) daca situatiile continand date sensibile sunt preluate pe baza de
semnatura;
3) cum este asigurata protectia informatiilor confidentiale;
4) daca iesirile catre alte aplicatii se realizeaza in formatul pe care acestea
il necesita;
5) masura in care se realizeaza inregistrarea, raportarea si corectarea
erorilor identificate;
6) in ce masura exista din partea managementului un control asupra
acuratetei iesirilor si modului de distribuire a lor.
Controlul securitatii aplicatiei
Controalele securitatii aplicatiei sunt folosite pentru asigurarea :
integritatii tranzactiilor si fisierelor;
acuratetei prelucrarilor;
separarii sarcinilor incompatibile intre persoanele implicate in procesarea
datelor;
controlul utilizatorilor.
Modalitati de realizare a controlului securitatii aplicatiei
A. Identificarea si autorizarea utilizatorilor;
B. Controlul accesului;
C. Monitorizarea activitatii utilizatorilor.

33

A. Identificarea si autorizarea utilizatorilor

Se realizeaza prin controlul jurnalelor aplicatiei. Auditorul trebuie sa evalueze
politicile de securitate ale aplicatiei si procedurilor din cadrul acesteia
Controalele jurnalelor variaza de la o aplicatie la alta (nu sunt aceleasi in toate
aplicatiile).
B. Controlul accesului
Se verifica:
controlul accesului la aplicatie prin log-are;
restrictionarea accesului la modulele aplicatiei;
restrictionarea accesului la anumite functii ale aplicatiei;
existenta listelor de control al accesului.
C. Monitorizarea activitatii utilizatorilor
Utilizatorii trebuie urmariti (controlati) cu privire la actiunile pe care le
desfasoara prin monitorizarea actiunilor utilizatorilor care asigura:
limitarea erorilor si fraudelor;
identificarea utilizatorilor si actiunilor lor;
responsabilitatea utilizatorilor pentru rezultatele obtinute.
Monitorizarea actiunilor utilizatorilor se realizeaza prin intermediul jurnalelor.
Auditorul poate culege probe deosebit de utile prin verificarea jurnalelor
realizate de aplicatie. Auditorul are obligatia sa verifice modul in care este asigurata
protectia acestor jurnale pentru ca probele obtinute pe baza lor sa fie credibile.

34

CAPITOLUL V
COLECTAREA SI EVALUAREA PROBELOR

Sunt adoptate urmatoarele abordari:

orientate catre date;
orientate catre sistem.
Misiunea de audit impune, chiar daca predominant sunt desfasurate proceduri
orientate catre date, si studierea sistemului informatic in ansamblul sau.
Abordarea orientata catre date:
pune accent pe testele datelor de iesire;
daca acuratetea iesirilor, dovedita in urma testelor desfasurate de auditor, este
satisfacatoare atunci exista si increderea asupra inregistrarilor si procesarilor
din cadrul sistemului;
este recomandata in cazul sistemelor informatice avand o arie restransa si o
complexitate redusa.
Abordarea orientata catre sistem presupune ca:
auditorul isi focalizeaza atentia asupra sistemului informatic in ansamblul sau;
testele asupra controalelor preventive si corective precum si asupra
prelucrarilor si securitatii sistemului pot constitui probe pentru auditor ca
rezultatele generate de sistem sunt corecte.
Controalele
Complexitatea sistemelor informatice impune necesitatea abordarii lor pe
subsisteme. Pentru fiecare subsistem in parte, auditorul realizeaza diagrame ale
fluxurilor de date pentru evidentierea:
intrarilor;
fisierelor utilizate;
procesarilor;
iesirilor;

35

controalele manuale si automate implementate evaluand masura in care sunt

suficiente si acoperitoare.
Auditorul va trebui sa raspunda la urmatoarele intrebari:
1. Care sunt controalele de baza?
2. Se suprapun, in unele cazuri, controalele manuale peste cele automate?
(verificarea procedurilor prin care sunt corectate erorile: auditorul trebuie sa aiba
certitudinea ca aceste proceduri exista si functioneaza corect).
Tipuri de erori:
a. erori de calcul;
b. erori de inregistrare;
c. erori de contare etc.
Determinarea gradului de incredere al controalelor automate se realizeaza in urma
desfasurarii:
unor teste independente;
testarea controalelor existente in sistem.
Strategii ale auditului sistemelor informatice
Testele desfasurate ajuta sa formulam o opinie privitoare la acuratetea
prelucrarilor din cadrul sistemului.
Strategiile de auditare pot fi clasificate astfel:
1) Auditare cu ajutorul calculatorului;
2) Auditare in afara calculatorului;
3) Auditare prin calculator.

1) Auditarea cu ajutorul calculatorului

Include testarea calculelor executate in timpul procesarii tranzactiilor, compararea
datelor din fisiere diferite atunci cand datele respective ar trebui sa prezinte valori
identice etc.
Programul auditorului selecteaza esantionul de test pe baza unor variabile
precizate de auditor, datele esantionului generand un fisier de lucru asupra caruia se
36

aplica prelucrarile continute in programul auditorului, auditorului generandu-i-se un

raport.
Un esantion de test reprezinta un set de tranzactii selectate aleator, concluziile
desprinse din analiza acestora putand fi generalizate la nivelul tuturor tranzactiilor din
sistem.
2) Auditarea in afara calculatorului
Se pleaca de la tranzactiile de intrare ale perioadei auditate, prelucrarea acestora
realizandu-se manual. Daca rezultatele obtinute sunt aceleasi cu cele generate de
aplicatia auditata inseamna ca logica interna a aplicatiei produce rezultate corecte,
acceptate de auditor.
Avantaje:
este usor de realizat;
nu impune costuri mari;
nu necesita cunostinte privind prelucrarea automata a datelor.
Dezavantaje:
calitatea opiniei formulate de auditor depinde de esantionul pe care s-a facut
testul (rationamentul auditorului care a condus spre respectivul esantion).
Esantionul poate sa nu cuprinda tranzactii capabile sa evidentieze erori de
procesare si lipsa unor controale;
priveste mai mult procesarile finalizate decat prevenirea problemelor legate de
prelucrarea in viitor a datelor. Doar daca se identifica o eroare logica conduce
la efecte pozitive privind procesarea datelor in viitor;
se desfasoara manual si consuma mai mult timp.
3) Auditarea prin calculator
Pleaca de la presupunerea ca anumite date, prelucrate printr-o anumita
aplicatie, produc anumite iesiri. Foloseste teste care sa arate cum sunt prelucrate
datele.
Auditorul stabileste datele de test (deci nu se lucreaza cu date reale), simuland
tranzactii care prin cazuistica lor pot evidentia eventualele carente ale controalelor si

37

prelucrarilor urmarind sa verifice daca datele de test declanseaza controalele

corespunzatoare. Auditorul compara rezultatele prelucrarii datelor de test prin
sistemul auditat cu iesirile anticipate de el. Se pleaca de la ideea ca cea mai buna
testare este cea realizata in conditii reale de exploatare.
Testele auditorului trebuie sa se efectueze fara a fi anuntate. Se evita astfel
posibilitatea ca persoanele implicate in fraudare sa stearga urmele interventiei lor
refacand fisierele si aducand aplicatia la versiunea corecta.
Testul lungimii aplicatiei ( testul byte-count)
Testul este elocvent pentru ca este imposibil sa realizezi modificari intr-un
program fara ca lungimea acestuia sa nu se modifice. Eventualele diferente intre
lungimile celor doua aplicatii determina identificarea cauzelor.
Testul logicii programului
se executa atunci cand auditorul are convingerea ca in program s-au facut
modificari neautorizate;
copia de siguranta a aplicatiei se considera autentica si va constitui proba
martor.

CAPITOLUL VI
STANDARDELE GENERALE PENTRU AUDITAREA
SISTEMELOR INFORMATICE

38

Ansamblul programelor folosite de auditor in realizarea misiunii sale se

cuprind in conceptul generic de tehnici de audit asistate de calculator (CAAT) .
Definirea, descrierea si prezentarea modului de utilizare a CAAT se gaseste in
Standardul de audit nr. 1009 Tehnici de audit asistate de calculator.
In conformitate cu acest standard software-ul pentru audit consta in programe
utilizate de catre auditor, ca parte a procedurilor de audit, pentru a procesa date cu
semnificatie pentru audit din sistemul contabil al firmei auditate.
El poate consta din :
pachete de programe programe generalizate, proiectate sa efectueze functii
de procesare a datelor ca de exmplu: citirea fisierelor, selectarea informatiilor,
executarea calculelor, crearea fisierelor, tiparirea de rapoarte in structura
ceruta de auditor;
programe realizate pentru un anumit scop programe realizate sa execute
sarcini de audit in circumstante specifice. Pot fi elaborate de auditor, de
specialistii firmei auditate sau de un informatician angajat de auditor programe
utilitare programe care nu sunt proiectate pentru scopuri de audit;
realizeaza sortari, creari de fisiere, listari de fisiere, copieri etc.;
determinarea continutului si accesibilitatii la fisierele sistemului auditat;
definirea tipurilor de tranzactii ce vor fi testate;
definirea procedurilor aplicate datelor;
definirea cerintelor cu privire la iesiri;
identificarea personalului de audit si operatorilor care pot participa in
proiectarea si aplicarea CAAT;
estimarea costurilor si beneficiilor;
asigurarea ca utilizarea CAAT este controlata si documentata corespunzator;
organizarea activitatiilor administrative, asigurarea aptitudinilor necesare
personalului implicat si a facilitatilor computerizate;
executarea aplicatiei CAAT;
evaluarea rezultatelor;
verificarea autorizarii programelor.
Se introduce in cadrul aplicatiei o procedura care sa insereze in prelucrare,
la intervale aleatorii, datele de test.

39

La sfarsitul testarii fisierele aplicatiei trebuie aduse in starea lor corecta

(fara tranzactiile de test inserate de programul auditorului).

40