6.8.

Standardele generale privind auditarea sistemelor informaionale

Avnd n vedere c domeniul informaticii economice sufer nc de lipsa unei legislaii
complete (cel mai bun exemplu este cazul celor care fur" cu ajutorul calculatorului, dar
nu pot fi condamnai din cauza imposibilitii ncadrrii juridice a faptei svrite), chiar
dac Legea 82/1991 face referire la prelucrarea automat a datelor, propunem cteva
Norme de auditare a sistemelor informatice.
De asemenea, considerm c este oportun apariia unui organism profesional (similar
CECCAR), care s grupeze specialiti n domeniul sistemelor informatice, organism ce
va avea norme specifice de lucru i va prezenta condiiile n care se realizeaz auditarea
i certificarea sistemelor informatice ale organizaiilor.
O trecere n revist a literaturii din domeniul auditrii arat c standardele auditrii,
universal acceptate n contabilitate, au aplicabilitate i n domeniul sistemelor
informatice. Majoritatea firmelor de eviden contabil i consultan din SUA accept
faptul c exist att asemnri, ct i diferene ntre procedurile puse n practic n cazul
sistemelor informatice i cele manuale.
Asemnri:
standarde relativ identice ;
elementele de baz ale controlului intern rmn aceleai;
.evaluarea controlului intern ofer baza formrii opiniei auditorului.
Deosebiri:
sistemele informatice necesit dezvoltarea unor proceduri de audit specifice ;

exist diferene de ordin tehnic n ceea ce privete controlul intern i evaluarea

acestuia;
redistribuirea sarcinilor angajailor.
Standardele generale privind auditarea sistemelor informaionale112
Definiie:
Auditul sistemelor informatice presupune revizia i evaluarea tuturor aspectelor legate
de sistemele de prelucrare automat a datelor, incluznd i prelucrrile manuale care au
legtur cu sistemul i interfeele ntre cele dou sisteme.
Obiective:
Obiectivul acestor Standarde este de a oferi auditorului setul de reguli i principii la care
se poate raporta n timpul exercitrii misiunii sale i de a informa conducerea
organizaiei i pe cei interesai cu privire la modul de desfurare a activitilor specifice
acestui domeniu.
1. Iniierea auditului
1. l Responsabilitate, autoritate i obligaii
Responsabilitatea, autoritatea i obligaiile cu privire la auditarea sistemelor informatice
vor fi stipulate n mod clar printr-o scrisoare de angajament.
2. Independen
2.1 Independen profesional
n timpul misiunii sale, auditorul i va pstra independena fa de organizaia auditat,
indiferent de atitudinea acesteia sau de situaiile ntlnite.
2.2 Relaii organizaionale
Scopul auditrii implic suficient independen fa de zona auditat, pentru a permite
auditorului atingerea n totalitate a obiectivelor sale.

3. Standarde profesionale
3.1 Codul etic
Auditorul va adera i va respecta Codul etic" al auditorilor de sisteme informatice.
3.2 Profesionalism
Auditorul va da dovad de profesionalism i va urmri aplicarea Standardelor generale de
lucru pe parcursul ntregii sale misiuni.
4. Competen
4.1 Aptitudini i cunotine
Auditorul de sisteme informatice trebuie s fie competent, s aib aptitudinile i
cunotinele necesare ndeplinirii misiunii sale.
4.2 Educaie continu
Auditorul i va menine competena tehnic printr-o educaie profesional continu.
5. Planificare
5.1 Planificarea auditului
Auditorul va realiza un plan al misiunii sale, astfel nct s ating obiectivele propuse n
acord cu Normele generale.
6. Atingerea obiectivelor
6.1 Supervizare
n situaia n care auditarea se face de ctre o echip de specialiti, conductorul acesteia
va superviza echipa pentru a se asigura de atingerea obiectivelor propuse n acord cu
Normele generale.
6.2 Probe
Pe parcursul misiunii sale, auditorul va cuta s obin suficiente probe care s fie
relevante i de ncredere i va folosi aceste probe pentru a atinge obiectivele urmrite.
Constatrile i concluziile demersului su vor fi obinute n urma analizei i interpretrii
acestor dovezi.
7. Raportare
7. l Forma i coninutul raportului
n finalul misiunii sale, auditorul va ntocmi un raport care va cuprinde: scopul auditrii,
obiectivele urmrite, perioada acoperit, natura i ntinderea lucrrilor efectuate, n raport
se va specifica organizaia auditat (sau zona din cadrul acesteia), cui se adreseaz
raportul i orice restricie cu privire la circulaia sa. n cuprinsul su, raportul va include
constatrile, recomandrile fcute precum i orice rezerv pe care auditorul o are cu
privire la sistemul auditat.
8. Urmrirea aciunilor anterioare
8. l Urmrirea aciunilor
Auditorul va cere i va analiza toate constatrile, concluziile i recomandrile fcute
anterior de ali auditori, pentru a determina modul n care s-a inut cont de acestea i
msurile luate de organizaie.
Coninutul Standardelor generale de auditare a sistemelor informatice113
Not: Scopul acestor precizri este de a explica semnificaia unor termeni din
Standardele generale de auditare a sistemelor informatice. Aceste precizri reprezint o
completare a respectivelor Standarde i, prin urmare, nu pot substitui nici o prevedere a
acestora.
l. INDEPENDEN: atitudine, situaii i relaii organizaionale

Aceast precizare descrie cerinele Standardelor l i 2 n legtur cu independena

auditorului.
1. Auditorul de sisteme informatice are obligaia de a avea o atitudine independent pe
parcursul misiunii sale. Atitudinea independent este definit ca fiind un punct de vedere
imparial ce i va permite auditorului s acioneze n mod corect i fr prejudeci.
2. Auditorul nu va efectua auditarea, dac independena sa este influenat. De exemplu,
independena poate fi influenat dac auditorul se ateapt la obinerea unui ctig de
natur financiar sau avantaje personale ca urmare a influenrii rezultatelor auditrii.
n situaia n care, n timpul auditrii unui sistem informatic, apar tranzacii personale n
cursul normal al circuitului respectiv, aceasta nu implic neaprat influenarea
independenei auditorului.
3. Auditorul trebuie s fie contient c aspectele legate de independena sa pot fi
influenate de aciunile sale sau ale celorlali membri ai echipei (atunci cnd se lucreaz n
echip). Dac auditorul contientizeaz c anumite situaii sau relaii i vor afecta
independena, va anuna conducerea organizaiei i pe eful echipei de audit ct mai
repede posibil.
4. Auditorul trebuie s fie independent, din punct de vedere organizaional, de zona
supus auditrii. Independena sa poate fi influenat n situaia n care el este aceeai
persoan cu cea care exercit un control direct asupra zonei respective sau atunci cnd se
afl n situaia de a fi subalternul unei persoane care exercit un control direct asupra
zonei respective.
5. n situaia n care independena auditorului este influenat, dar acesta i continu
misiunea sau continu s fac parte din echipa de auditare, situaiile i faptele care i
afecteaz independena vor fi fcute publice. O dat cu publicarea acestor fapte vor fi
comunicate i rezultatele auditrii.
6. Independena auditorului va fi evaluat n mod constant de ctre acesta i de ctre
conducerea organizaiei auditate, avndu-se n vedere factori cum ar fi : schimbri
intervenite n relaiile personale, interese financiare, responsabiliti i sarcini de serviciu
anterioare lucrrilor de audit.
7. Raportul auditorului va prezenta modul n care acesta i-a ndeplinit responsabilitile
profesionale cu exemplificarea integritii i obiectivittii sale. Auditorul trebuie s evite
situaiile n care independena sa poate fi afectat.
2. INDEPENDEN: responsabiliti privind dezvoltarea sistemelor
Aceast precizare descrie cerinele Standardelor l i 2 n legtur cu dezvoltarea
sistemelor.
1. Definiii:
Aplicaie informatic: un set integrat de programe pentru calculator, proiectat pentru
a deservi o funcie particular ce are intrri, prelucrri i ieiri specifice.

Dezvoltarea unui sistem: un proces ce presupune planificarea, analizarea,

proiectarea, dezvoltarea, testarea, documentarea i implementarea unei aplicaii
informatice. Acest proces poate apela la metodologii diferite : analiz i proiectare
structurat, prototipizare...
Revizia dezvoltrii unei aplicaii: este o evaluare a unei aplicaii informatice realizat
n timpul dezvoltrii sale i care vizeaz aspecte cum ar fi: proiectarea controalelor
corespunztoare n sistem; dac prelucrarea informaiilor de ctre aplicaie este
complet, corect i de ncredere; dac aplicaia funcioneaz n conformitate cu

specificaiile de proiectare; dac aplicaia respect msurile de securitate statuate; dac

sistemul a fost dezvoltat n conformitate cu planul aprobat.
2. n timpul reviziei dezvoltrii unei aplicaii, auditorul trebuie s aib o atitudine
independent, pentru a putea aciona corect.
3. n cadrul procesului de dezvoltare a unei aplicaii, echipa de proiectare rspunde de
proiectarea i implementarea controalelor specifice. Auditorul trebuie s fie independent
de echipa de proiectare, pentru a determina procedurile ce vor fi aplicate n cadrul
reviziei.
4. Realizarea unei astfel de revizii nu nseamn c auditorul nu poate face o evaluare
a aplicaiei dup implementarea acesteia.
5. Independena auditorului va fi afectat,.dac acesta va fi implicat direct n proiectarea
i implementarea aplicaiei. De exemplu, n cazul n care auditorul are putere de decizie
n ceea ce privete implementarea unor controale specifice n cadrul aplicaiei,
independena sa n privina realizrii unei revizii independente a acesteia va fi afectat.
De asemenea, va fi influenat i evaluarea independent a aplicaiei dup implementarea
sa.
6. Includerea auditorului ntr-o echip de proiectare i implementare a unor instrumente
de audit (module de audit ncorporate) nu i va afecta independena.
3. REALIZAREA LUCRRILOR: necesitatea probelor
Aceast precizare descrie cerinele Standardului 7 privind probele.
1. Informaiile obinute de auditor n timpul efecturii lucrrilor specifice i folosite
pentru satisfacerea obiectivelor auditului se numesc probe. Informaiile utilizate drept
probe trebuie s fie relevante, de ncredere i suficiente pentru a-i permite auditorului
formarea unei opinii sau s suporte constatri i concluzii.
2. O prob este relevant dac aparine obiectivelor auditului i dac se afl ntr-o relaie
logic cu acele constatri i concluzii care o folosesc drept baz.
3. O prob este de ncredere dac, n opinia auditorului, este valid, obiectiv i
acceptabil, n funcie de tipul probei obinute, auditorul i va acorda acesteia diferite
grade de ncredere. Probele fizice prezint, n general, un nivel al ncrederii mai mare
dect cele care provin din reprezentri individuale.
4. Probele la care poate face apel auditorul n timpul misiunii sale includ: probe fizice,
documentare, reprezentri sau analize.
Pot constitui probe fizice: observarea anumitor activiti, proprieti sau funcii ale
sistemului informatic, inventarul suporilor magnetici de memorare, modul de funcionare
a sistemului de securitate.
Probele documentare includ: rezultatele unor interogri, nregistrrile tranzaciilor,
listinguri ale codului surs al unor programe, facturi de achiziie a unor echipamente,
jurnalul accesrilor sistemului.
Din categoria reprezentrilor fac parte : politici, proceduri i regulamente stabilite de
conducerea organizaiei, diagrame i scheme ale fluxurilor informaionale. De asemenea,
pot fi folosite ca probe rezultatele obinute n urma unor comparaii sau calcule.
5. Probele trebuie s fie suficiente, astfel nct auditorul s ajung la anumite constatri
sau concluzii. Dac, n opinia auditorului, proba obinut nu este suficient pentru a
susine o anumit constatare, el va cuta s obin probe suplimentare. De exemplu,
listingul unui program poate s nu reprezinte o prob suficient att timp ct nu exist
garania c respectivul program este cel folosit pentru prelucrarea tranzaciilor.

n situaia n care auditorul consider c nu pot fi obinute probe suficiente cu privire la

un anumit aspect verificat, el va face cunoscut aceast situaie atunci cnd va prezenta
rezultatele auditrii.
6. Procedeele folosite pentru obinerea probelor difer n funcie de sistemul auditat.
Aceste procedee includ interviuri, observri directe, inspecii, confirmri scrise,
reexecutarea anumitor operaii i pot fi folosite indiferent de modalitatea de
De exemplu, un sistem ce folosete n mod obinuit totaluri de control manuale, pentru a
verifica operaiunile de culegere a datelor, poate furniza o prob c aceast procedur de
control a avut loc sub forma unui raport. Auditorul va obine aceast prob prin revizuirea
i testarea raportului respectiv. Exist situaii n care anumite informaii snt disponibile
ntr-o form pe care o poate citi doar calculatorul, n acest caz, pentru a obine probe,
auditorul va face apel la tehnici de audit asistate de calculator.
4. REALIZAREA LUCRRILOR: profesionalism
Aceast precizare descrie cerinele Standardului 8 privind profesionalismul.
1. Profesionalismul se refer la nivelul de cunotine pe care o persoan competent le
va pune n practic ntr-o situaie dat. A fi profesionist presupune a pune n aplicare
cunotinele comune practicienilor din domeniul respectiv.
2.
Profesionalismul vizeaz toate aspectele auditului: evaluarea riscului auditrii,
formularea obiectivelor i scopului auditrii, selectarea testelor i evaluarea rezultatelor
testelor. Pentru aceasta auditorul va determina sau va evalua:
tipul i necesarul de resurse necesare pentru atingerea obiectivelor;
semnificaia riscurilor identificate i impactul potenial al acestor riscuri asupra
auditrii;
probele obinute n timpul auditrii;
competena i integritatea altor lucrri pe care auditorul se bazeaz.
3. Auditorul nu va accepta nici o misiune dac nu are cunotinele, aptitudinile i
resursele necesare pentru a realiza lucrrile specifice ntr-un mod profesionist.
4. Lucrrile executate vor avea la baz Normele generale de auditare i orice abatere de
la aceste norme va fi fcut public.
5. REALIZAREA LUCRRILOR: evaluarea riscului
Aceast precizare descrie cerinele Standardului 6 privind evaluarea riscului.
1. Definiii:
Risc: posibilitatea apariiei unui eveniment care poate avea efecte negative asupra
organizaiei i sistemului informatic al acesteia.
Vulnerabilitate : pierderea potenial datorat apariiei unui eveniment negativ
(ameninri).
Evaluarea riscului: proces prin care se identific i cuantific riscurile i impactul lor
potenial asupra organizaiei/sistemului.
2. Evaluarea riscului l va ajuta pe auditor n luarea deciziilor cu privire la planificarea
auditului, cum ar fi:
natura, ntinderea i timpul alocat lucrrilor de audit;
zonele sau domeniile supuse auditrii;
necesarul de timp i resursele ce vor fi alocate lucrrilor.
3. Auditorul trebuie s se documenteze cu privire la tehnicile de evaluare a riscului sau
metodologiile folosite n auditare:
descrierea metodologiei folosite pentru evaluarea riscului;

 identificarea celor mai importante expuneri i a riscurilor corespunztoare acestora;

probele folosite n evaluarea riscului;
5. 4. Auditorul trebuie s fie contient c folosirea unei singure metode de evaluare
a riscului ooate fi imoroorie. Condiiile n care se desfoar auditul se pot
schimba.
Auditorul va trebui s reevalueze periodic metodologia folosit pentru evaluarea riscului.
6. REALIZAREA LUCRRILOR: documentaia auditrii
Aceast precizare descrie modul de realizare a documentaiei pe care se bazeaz
rezultatele auditrii.
1. Documentaia auditrii presupune nregistrarea tuturor lucrrilor i probelor pe care se
bazeaz constatrile i concluziile auditorului.
2. Cerinele minime ale documentaiei includ:
planul, scopul i obiectivele auditului;
programul de audit;
etapele parcurse pentru obinerea probelor;
concluziile, constatrile i recomandrile fcute;
orice raport ntocmit ca urmare a efecturii unei anumite activiti;
rspunsul organizaiei auditate la recomandrile fcute.
3. Documentaia va include, de asemenea, toate informaiile cerute de lege sau standarde
profesionale.
4. Documentaia va fi structurat i pstrat pe supori de memorare siguri, care s
respecte cerinele organizaionale, profesionale i legale.
7. RAPORTAREA: raportul de audit
Aceast precizare descrie cerinele Standardelor 9 i 10 cu privire la ntocmirea
raportului de audit.
1. Raportul de audit reprezint instrumentul prin care se comunic obiectivele auditrii,
normele/standardele aplicate, scopul auditrii, constatrile i concluziile auditrii. n
redactarea raportului, auditorul trebuie s in seama de cerinele conducerii i
compartimentului de audit intern al organizaiei auditate.
2. Raportul trebuie s conin o descriere a obiectivelor propuse pentru a se putea
identifica modul n care acestea au fost atinse. Dac, n opinia auditorului, unele dintre
obiectivele descrise n raport nu au fost atinse, acest lucru va fi prezentat n mod distinct
n raport.
3. Raportul trebuie s identifice standardele/normele profesionale, organizaionale sau
guvernamentale ce stau la baza auditrii. De asemenea, raportul trebuie s identifice
excepiile de la aplicarea acestor norme, motivul neaplicrii lor i care este impactul pe
care l are asupra rezultatelor auditrii neaplicarea acestor norme.
4. Raportul trebuie s includ o prezentare a scopului auditrii i o descriere a naturii i
ntinderii lucrrilor ce vor fi efectuate, identificndu-se: zona funcional auditat,
perioada auditat, sistemul informatic auditat. Raportul trebuie s identifice, de
asemenea, situaiile n care, n opinia auditorului, nu pot fi puse n practic testele i
procedurile specifice sau cnd organizaia auditat a impus anumite restricii privind
lucrrile ce se vor efectua.
5.
Raportul trebuie s conin constatrile auditorului. Cnd o anumit constatare
necesit explicaii, auditorul va descrie mprejurrile i criteriile avute n vedere pentru
acea constatare. Auditorul trebuie s identifice, de asemenea, prevederile legale,

organizaionale sau profesionale aplicabile, s descrie cauzele care au dus la aceste

mprejurri i s fac recomandri.
6. Raportul trebuie s conin concluziile auditorului, concluzii ce reprezint o evaluare
a zonei supuse auditrii. Atunci cnd este cazul, raportul trebuie s cuprind rezervele
auditorului cu privire la zona supus auditrii.
7. Raportul trebuie s aib o form clar, s fie structurat i s conin suficiente
informaii pentru a fi neles i pentru a contribui la corectarea situaiilor negative
constatate.
8. Raportul trebuie ntocmit ntr-o perioad de timp ct mai scurt, imediat dup finalizarea lucrrilor, pentru a permite aplicarea cu promptitudine a msurilor corective.
9. Cnd este cazul, raportul va meniona dac se adreseaz doar conducerii organizaiei
auditate i va conine restriciile cu privire la distribuirea sa.
8. REALIZAREA LUCRRILOR: nereguli constatate
Aceast precizare descrie cerinele Standardelor 6, 7 i 8 cu privire la nereguli.
1. Definiie:
Neregul: nclcarea intenionat a politicilor/regulamentelor stabilite de ctre
conducerea organizaiei, greeli intenionate sau omisiuni aprute In zona supus
auditrii.
Anumite 'nereguli pot fi considerate fraude, ncadrarea anumitor activiti ca
fraude depinde de cadrul juridic pe care se bazeaz auditul.
n categoria neregulilor se pot include (dar nu se limiteaz) piedicile intenionate
n exercitarea controalelor cu scopul de a ascunde perpetuarea neregulilor,
fraudelor, folosirii neautorizate a bunurilor i serviciilor organizaiei, precum i
complicitatea i instigarea la ascunderea unor astfel de activiti.
2. Conducerea organizaiei are obligaia de a proiecta i implementa un sistem de
proceduri de control intern care s ofere asigurri cu privire la prevenirea sau detectarea
neregulilor.
3. Auditorul trebuie s evalueze riscul apariiei neregularitilor n zona supus auditrii.
n aceast evaluare, auditorul va avea n vedere factori cum ar fi:
caracteristicile organizaionale: structura organizatoric, conducerea, politici de
personal etc.;
activele deinute, serviciile oferite i susceptibilitatea apariiei neregularitilor;
cerinele legale aplicabile.
4. Dup ce evalueaz riscul, auditorul are responsabilitatea de a proiecta i realiza
testele de audit cu ajutorul crora se vor putea detecta neregularitile ce au un impact
major asupra zonei auditate sau organizaiei.
5. Auditorul nu poate garanta detectarea neregulilor. De exemplu, nu se poate prevedea
colaborarea viitoare dintre angajai sau cea dintre angajai i persoane din afara
organizaiei, cu scopul de a realiza activiti ce duneaz organizaiei.
6. n cazul n care au fost descoperite anumite nereguli, auditorul va evalua impactul
acestora asupra obiectivelor auditului i asupra ncrederii n probele colectate n timpul
lucrrilor, n plus, auditorul trebuie s aib n vedere oportunitatea continurii lucrrilor
sale, dac:
impactul neregulilor descoperite este semnificativ, astfel nct nu pot fi obinute
suficiente probe;

 n urma probelor obinute s-a constatat participarea conducerii la realizarea neregulilor

sau trecerea lor cu vederea.
6. Aceste situaii vor fi consemnate n raportul de auditare.
7. Neregulile constatate vor fi aduse la cunotina persoanelor implicate, conducerii de la
nivelul la care s-au constatat, conducerii organizaiei i compartimentului de control
intern/audit intern. Excepie fac neregulile considerate nesemnificative. Neregulile de
natura fraudelor vor putea fi raportate i altor instituii ale statului: procuratur, poliie,
servicii de informaii etc.
9. REALIZAREA LUCRRILOR: utilizarea software-ului de audit
Aceast precizare descrie cerinele Standardelor 6, 7 i 8 cu privire la folosirea
instrumentelor software de audit.
1. Definiie:
Software de audit: programe informatice folosite cu scopul de a obine informaii ce vor
fi folosite n timpul auditrii.
2. Auditorul trebuie s se asigure de integritatea i utilitatea instrumentului software
folosit n auditare, nc din timpul planificrii, proiectrii, testrii i reviziei
documentaiei sistemului.
3. Cnd folosete un astfel de instrument pentru a accesa date din sistem, auditorul
trebuie s ia toate msurile pentru a proteja integritatea sistemului i a datelor.
4.
Software-ul de audit poate fi folosit pentru selectarea unor date confideniale.
Auditorul trebuie s pstreze aceste date cu un nivel corespunztor de confidenialitate i
securitate.
5. Auditorul trebuie s se asigure de integritatea, ncrederea i sigurana instrumentului
software folosit. De exemplu, se va verifica modul n care se realizeaz ntreinerea
programului, controlul asupra schimbrilor efectuate n programul de audit pentru a
determina dac s-au fcut numai schimbri autorizate.
6. Auditorul va trebui s stabileasc impactul pe care l pot avea aceste schimbri asupra
folosirii instrumentelor soft de audit.
7. n situaia n care un astfel de soft nu este pstrat ntr-un mediu aflat sub controlul
direct al auditorului, o alt persoan va rspunde de controlul schimbrilor aduse
software-ului.
8. n cazul n care software-ul a fost modificat, nainte de a se baza pe el, auditorul va
trebui s se asigure de integritatea i corecta sa funcionare, verificnd modul n care
acesta a fost dezvoltat: planificare, analiz, proiectare, testare i revizie.
s dea dovad de profesionalism n obinerea probelor pe care se bazeaz concluziile
i recomandrile sale;
s informeze prile implicate despre rezultatele auditului;
s contribuie la instruirea conducerii, clienilor, a publicului n general, pentru a crete
nelegerea acestora n ceea ce privete auditarea sistemelor informatice.
Avndu-se n vedere faptul c n Romnia auditul sistemelor informatice nu este
reglementat n mod distinct, astfel de standarde ar trebui s vin n completarea
Standardelor de audit contabil.
Codul etic al auditorilor de sisteme informatice
Auditorii certificai de sisteme informatice trebuie:
s respecte cerinele Standardelor de auditare a sistemelor informatice.


s serveasc interesul clienilor si cu loialitate, onestitate i seriozitate i s nu
participe cu bun tiin la activiti ilegale;

s pstreze confidenialitatea informaiilor obinute n timpul misiunilor efectuate.

Informaiile nu vor fi folosite pentru obinerea de beneficii personale, i nici nu vor fi
divulgate.

s dea dovad de independen i obiectivitate n realizarea misiunilor i s evite

situaiile care i afecteaz independena;
s se instruiasc permanent n domeniul auditului i al sistemelor informatice ;