Auditarea Sistemelor Informatice

AUDITAREA SISTEMELOR INFORMATICE
STRUCTURA CURSULUI
Introducere in auditul sistemelor informatice

Obiectul auditului pentru sisteme informatice
Principalele tipuri de audit informatic
Sarcinile de control ale auditorilor ntr-un sistem informatic
Controlul general si controlul aplicatiilor
Controale hardware
Controale de siguran
Controlul intrarilor
Controlul prelucrarilor
Controlul datelor de iesire
Controlul securitatii aplicatiilor
Auditarea sistemelor pc
Auditarea centrelor de calcul
Consideraiile auditorilor cu privire la controlul intern ntr-un sistem informatic
Pregtirea auditorilor pentru planificarea auditului i proiectarea controalelor (testelor)
de audit
Evaluarea riscului de control planificat i proiectarea de teste adiionale pentru controlul
(testarea) procedurilor de audit
Realizarea controalelor adiionale pentru controalele de audit ale sistemelor informatice
Reevaluarea riscului de control i utilizarea testelor independente
Utilizarea sistemelor integrate de testare in auditarea sistemelor informatice
Studiu de caz:
AUDITUL APLICATIEI DE CONTABILITATE FINANCIARA
BIBLIOGRAFIE SELECTIV
1. Boulescu, Mircea, Corneliu Brnea, Bianca Preda,

Editura Fundaiei Romnia de

s
Mine,Bucureti, 2004.
2. Eden, Ali, Victoria Stanciu, Editura Dual
s s

Tech, Bucureti, 2004.

3. Boulescu, Mircea, Auditul financiar. Repere normative naionale, Editura
Economic, Bucureti, 2003.
4. Munteanu, Victor, Control i Audit Financiar. Contabil, Editura Lumina
LEX, Bucureti, 2003.
5. Stanciu, Victoria i colectiv, Editura

s s

Dual Tech, Bucureti, 2002.

6. Munteanu, A., Editura
s s

Polirom, Iai, 2001.

*** Camera auditorilor din Romnia, Audit financiar 2000: Standarde,
IFAC, Editura Economic, Bucureti, 2001.
Sinteza cursului
Introducere in auditul sistemelor informatice

=

s

s
s s
s
- Prin serviciul de audit al sistemelor informatice

s

se urmareste indeplinirea cerintelor legale si eficientizarea gestiunii activelor IT, utilizand

metodologii si standarde de referinta.
CADRU INSTITUTIONAL AL AUDITULUI
1. Auditul financiar IFAC (International Federation of Accountants) Federatia
Internationala a Contabililor
- Standarde de audit financiar
- Cadru privind conduita etica si profesionala
- Declaratii de practica de audit
- 1001 Medii CIS Microcalculatoare
- 1002 Medii CIS sisteme de Microcalculatoare on line
- 1003 Medii CIS Sistem de baze de date
- 1008 Evaluarea riscurilor si control intern, caracteristici si
consideratii CIS
- 1009 Tehnici de audit asistate de calculator
1. Auditul sistemelor informationale

Control Objectives for Information Technologies - CobiT - cadrul general de
control dezvoltat de catre Information Systems Audit and Control Association
(ISACA) sau Standardul de Management al Securitatii Informatiei SR ISO/IEC
17799 adoptat la nivel national.
ISA 401 Auditul intern mediu cu sisteme informatice
IAPS 1003 Mediul CIS Sistem de baze de date
IAPS 1002 Riscuri asociate auditului intern in CIS
Capabilitatile tehnice ale echipamentelor sunt evaluate dupa metode bazate pe
recomandarile de securitate ale diversilor producatori de hardware, sisteme de operare si
software, si pe experienta specifica a consultantilor.
Opinia de audit este insotita de un Raport cu recomandari detaliate ce faciliteza
implementarea imediata a masurilor necesare eliminarii problemelor de securitate
constatate.
Auditarea periodica la interval de maxim un an de zile a sistemelor informatice
critice este recomandata de practicile de gestiune a securitatii informatice pentru a
mentine riscul tehnologic la un nivel acceptabil. In plus, o serie de reglementari si norme
specifice impun pentru diverse industrii efectuarea unor audituri de sistem in fiecare an.
Noiuni introductive privind auditul sistemelor informatice
Societatea informaional determin o cretere dramatic a dependenei
tuturor domeniilor vieii economico-sociale de tehnnologiile
informaionale. Sistemele informatice sunt construcii complexe care
vizeaz mai multe probleme diferite ale unei companii.
Avnd n vedere consumul de resurse umane i financiare la dezvoltarea
unui sistem informatic, este necesar s se desfoare anumite activiti
care s conduc la atingerea obiectivului propus, la timp, cu nivelul de
calitate stabilit i n limita bugetului alocat. Una dintre aceste activiti,
deosebit de important, att pentru realizatori, ct, mai ales, pentru
utilizatori, este auditul sistemelor informatice (SI).
Auditul SI este o ramur a auditului general care se ocup cu
controlul tehnologiilor informaiilor i comunicaiilor.
Auditul SI studiaz, n primul rnd, sistemele i reelele de calcul
din punct de vedere al examinrii eficienei controlului tehnic i
procedural pentru a minimiza riscurile.
Auditarea SI presupune discuii cu personalul care stabilete
specificaiile, dezvolt, testeaz, conduce, administreaz i
utilizeaz sistemele de calcul
Sistemele informatice sunt construcii complexe, realizate pe parcursul mai multor
ani, necesitnd:
- fonduri foarte mari, uriae n anumite cazuri;

- echipe complexe i stabile de analiti, designeri, programatori i
personal care se ocup de testare, implementare i mentenan;
- stabilirea obiectivelor;
- definirea unei strategii de dezvoltare, exploatare i mentenan;
- achiziionarea de echipamente, instrumente necesare realizrii de prelucrri, de
conexiuni i dezvoltrii fluxurilor cu exteriorul;
- calificarea personalului pentru utilizarea corect i eficient a sistemului.
Complexitatea sistemelor informatice i durata, relativ mare, de realizare a acestora

genereaz o serie de probleme care trebuie luate n considerare i soluionate astfel nct,
n final, s se obin rezultatele scontate.
Odat cu integrarea noilor tehnologii informaionale n procesele de prelucrare,
transmitere i stocare a datelor, au aprut o serie de

. n acelai timp un impact deosebit asupra

s s

obiectivelor de control a sistemelor informaionale l-a avut deschiderea

ntreprinderilor spre respectiv . Aceast deschidere a accentuat

riscurile utilizrii sistemelor informatice n prelucrarea i transmisia datelor la

distan. Fraudele i pierderile de date n sistemele informaionale deschise spre
ating cote alarmante care impun dezvoltarea n cadrul fiecrei

ntreprinderi a unui . Astfel,

s s s

managerii i-au pus problema garantrii corectitudinii i securitii operaiilor din

sistemul informatic i convergenei acestora cu obiectivele i strategiile
organizaiei. Pentru a contracara aceste aspecte negative s-a impus elaborarea
unor a sistemelor informaionale la nivelul fiecrei

ntreprinderi.
Toate aceste obiective i proceduri de control intern au ca scop
s
s s s

s s

s
s s

s s

s s

sunt: calculatoarele, aplicaiile informatice (sistemele de operare, aplicaiile

informatice economice, sistemele de gestiune a bazelor de date), reelele de
comunicaie, procedurile i operaiile, politicile din sistem.
n literatura i practica de specialitate aspectele privind riscurile i controlul utilizrii
tehnologiei informaiei sunt grupate n cadrul termenului de IT Governance
(Guvernana Tehnologiilor Informaionale), respectiv conducerea i coordonarea
tehnologiei informaiei dintr-o organizaie.
IT Governance, practic, reprezint procesul de control i coordonare a resurselor
informaionale, cum ar fi: mijloacele de preluare, prelucrare, stocare i transmitere
automat a datelor (calculatoare, periferice, reele, servere, routere, aplicaii
informatice etc.), politicile i procedurile care guverneaz procesele informatice,
utilizatorii, personalul implicat n dezvoltarea i conducerea sistemului
informaional (analiti, programatori, manageri etc.), furnizorii de resurse
informaionale i auditorii sistemului informaional. Prin prisma IT Governance
aceste resurse trebuie utilizate convergent cu obiectivele i strategiile organizaiei,
dar cu riscuri minime.
Astfel, obiectivele principale ale IT Governance sunt:
stabilirea unor strategii pentru ca utilizarea resurselor informaionale s fie
n concordan cu obiectivele organizaiei;
utilizarea ct mai eficient i cu riscuri minime a resurselor
informaionale.
care determin urmrirea i evaluarea procedurilor de control n mediile de

afaceri informatizate, pot fi sintetizai n:

Costul pierderii datelor.
Costul lurii unor decizii incorecte.
Costul abuzului n sistemul informatic.
Valoarea ridicat a sistemului de calcul, a aplicaiilor informatice i a
personalului specializat.
Costul ridicat al erorilor datorate calculatoarelor.
Protecia confidenialitii.
Controlul evoluiei modului de utilizare al calculatoarelor.
Definirea i coninutul auditului sistemelor informatice
n literatura i practica de la noi se ntlnesc termenii de
s s

, .

s s

s

Diferena conceptual dintre aceti termeni este dat pe de o parte de coninutul i

nivelul la care se desfoar activitatea de audit i pe de alt parte de diferena
conceptual dintre noiunile de sistem informaional i sistem informatic.
Astfel, auditul sistemului informaional este, conceptual, cel mai cuprinztor,
acoperind prin obiectivele sale toate nivelurile sistemului informaional, de la
evaluarea proiectrii i utilizrii sistemului informatic, pn la evaluarea
politicilor i procedurilor de securitate de la nivelul operaional i strategic.
Auditul sistemului informatic respectiv auditul informatic acoper prin obiectivele
sale doar sistemul informatic.
Pe scurt, conceptual, auditul sistemului informaional conine auditul sistemului
informatic. ntruct n majoritatea ntreprinderilor sistemul informatic acoper
aproape tot sistemul informaional cel mai utilizat termen va fi de

sau , iar pentru auditor se va utiliza termenii de

s s

sau .

s s

Auditul sistemelor informatice

s s
s s

s

s
.
s s

OBIECTUL AUDITULUI PENTRU SISTEME INFORMATICE

Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a
unor probe pentru a determina dac sistemul informatic este securizat, menine
integritatea datelor prelucrate i stocate, permite atingerea obiectivelor strategice
ale ntreprinderii i utilizeaz eficient resursele informaionale.
n cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operaii
sunt verificrile, evalurile i testrile mijloacelor informaionale,
astfel[BRN04]:
identificarea i evaluarea riscurilor din sistem;
evaluarea i testarea controlului din sistem;
verificarea i evaluarea fizic a mediului informaional;
verificarea i evaluarea administrrii sistemului informatic;
verificarea i evaluarea aplicailor informatice;
verificarea i evaluarea securitii reelelor de calculatoare;
verificarea i evaluarea planurilor i procedurilor de recuperare n
caz de dezastre i continuare a activitii;
testarea integritii datelor.
Auditul informatic reprezint o form esenial prin care se verific dac un SI i
atinge obiectivul pentru care a fost elaborat. Standardele definesc clar domeniul,
activitile, etapele, coninutul auditrii i formele de finalizare. Respectnd
cerinele standardelor, rezultatul procesului de auditare informatic este eliberat
de riscurile contestrii. Auditul informatic reprezint un domeniu cuprinztor n
care sunt incluse toate activitile de auditare pentru : specificaii, proiecte,
software, baze de date, procesele specifice ciclului de via ale unui program, ale
unei aplicaii informatice, ale unui sistem informatic pentru management i ale
unui portal de maxim complexitate, asociat unei organizaii virtuale.
n domeniul informatic exist mai multe direcii de dezvoltare a auditului.

Auditarea software const n activiti prin care se evideniaz gradul de
concordan dintre specificaii i programul elaborat. Auditul software d msura
siguranei pe care trebuie s o aib utilizatorul de programe atunci cnd obine
rezultate. Sigurana se refer la corectitudinea i completitudinea rezultatelor
finale atunci cnd datele de intrare sunt, de asemenea, corecte i complete.
Auditul bazelor de date, este un domeniu de maxim complexitate avnd n
vedere c, de regul, lucrul cu bazele de date presupune att datele ca atare
nsoite de relaiile create ntre ele, ct i programele cu care datele se gestioneaz.
De aceea se impune efectuarea unei reparri.
Auditul datelor vizeaz definirea acelor elemente prin care se stabilete msura n
care datele stocate ndeplinesc cerinele de calitate: corectitudine, completitudine,
omogenitate, comprehensibilitate, temporalitate, reproductibilitate. Pentru fiecare
caracteristic exist o metric elaborat, iar auditorul de date trebuie s evalueze
nivelul atins de caracteristic, pentru setul de date supus auditrii. n final,
auditorul de date certific faptul c datele stocate n baze de date constituie intrri
valabile pentru a obine rezultate corecte.
n cazul auditrii riscului de gestiune a datelor stocate n baze de date se verific
dac:
programele refer corect cmpurile cu date stocate;
operaiile de prelucrare sunt cele din specificaii;
agregrile, sortrile, evalurile de expresii de extragere a
subseturilor de date sunt n concordan cu specificaiile de
obinere a rezultatelor ca structur, dimensiune i coninut.
Auditul sistemelor informatice evalueaz riscurile unui mediu informatic sau ale
unei aplicaii informatice, ca de exemplu calculul salariilor sau facturarea. Aceste
misiuni se realizeaz alegnd, mpreun cu clientul, procesul de evaluare.
Auditul informatic se poate referi la evaluarea riscurilor informatice ale securitii
fizice, securitatea logic, managementul schimbrilor, planul de asisten etc. n
cazul general, auditul informatic se refer la un ansamblu de procese informatice
pentru a rspunde la o cerere precis a clientului. De exemplu, aprecierea
disponibilitii informaiilor i a sistemului. n acest caz se controleaz care dintre
procesele informatice rspund cel mai eficient la o asemenea cerere. n cazul
disponibilitii, de exemplu, securitatea fizic i planul de continuitate.
Auditul informatic poate, de asemenea, s evalueze aspecte strategice sau

referitoare la calitatea sistemelor informatice. De exemplu, s verifice dac
sistemul informatic al ntreprinderii rspunde n mod eficient la nevoile funciilor
serviciului.
Auditul mediului informatic se execut pentru a evalua riscurile sistemelor
informatice necesare funcionrii aplicaiilor. De exemplu: securitatea fizic,
securitatea logic, securitatea reelelor, plan de salvare. n urma auditrii, se
ntocmete un raport n care sunt prezentate punctele slabe, nivelul de risc al
acestora i msurile corective propuse.
Analistul informatic are la dispoziie numeroase tehnici i metode pe care le
adapteaz contextului. ntr-un fel este auditat un program de calcul statistic sau de
optimizare i altfel este auditat o aplicaie care utilizeaz o baz de date. Pentru
un sistem informatic complex exist metode adecvate de auditare, iar pentru
aplicaiile web accentul auditrii este pus pe gradul de satisfacie a grupului int.
Aplicaiile mobile au fundamente de auditare n care accentul este pus pe
asigurarea continuitii, compatibilitii, accesibilitii rapide la resurse i, mai
ales, asupra nivelului atins de asigurarea securitii fluxurilor din ntregul sistem.
Principalele tipuri de audit informatic sunt
auditul sistemului operaional de calcul; revizia controalelor sistemelor
operaionale de calcul i reelelor, la diferite niveluri;
s s
s

auditul instalaiilor IT; include aspecte cum sunt securitatea fizic, controalele
mediului de lucru, sistemele de management i echipamentele IT;
auditul sistemelor aflate n dezvoltare; acoper unul sau ambele aspecte:
(1) controalele managementului proiectului i
(2) specificaiile,dezvoltarea, testarea, implementarea i operarea
controalelor tehnice i procedurale, incluznd controalele securitii
tehnice i controalele referitoare la procesul afacerii;
auditul managementului IT; include: revizia organizaiei, structurii,
strategiei, planificrii muncii, planificrii resurselor, stabilirii bugetului,
controlul costurilor etc.; n unele cazuri, aceste aspecte pot fi auditate de ctre
auditorii financiari i operaionali, lsnd auditorilor informaticieni mai mult
aspectele tehnologice;
auditul procesului IT; revederea proceselor care au loc n cadrulIT cum sunt
dezvoltarea aplicaiei, testarea, implementarea, operaiile, mentenana,
gestionarea incidentelor;
auditul managementului schimbrilor; revizia planificrii i controlului
schimbrilor la sisteme, reele, aplicaii, procese, facilitai etc.,incluznd
managementul configuraiei, controlul codului de la dezvoltare,
prin testare, la producie i managementul schimbrilor produse n
organizaie ca rezultat al ICT;
auditul controlului i securitii informaiilor; revizia controalelor
referitoare la confidenialitatea, integritatea i disponibilitatea sistemelor i
datelor;
auditul conformitii cu legalitatea; copyright, conformitate cu legislaia,
protecia datelor personale;
auditul accidentelor dezastruoase/planificrii continuitii
afacerii/refacerii dup dezastre; reviziile msurilor propuse pentru
restaurarea dup un dezastru care afecteaz sistemul i evaluarea modului n care
organizaia abordeaz managementul riscurilor;
auditul strategiei IT; revizia aspectelor variate ale strategiei IT, viziune i
planuri, inclusiv relaiile cu alte strategii, viziuni i planuri.
SARCINILE DE CONTROL ALE AUDITORILOR NTR-UN

SISTEM INFORMATIC
ntr-un organism economic, funcia de auditor al sistemului informatic trebuie s existe

separat i distinct de funcia de control atribuit personalului autorizat sau grupului de
control din Departamentul de informatic, dac acesta este constituit, deoarece personalul
autorizat sau grupul de control efectueaz controlul zilnic al prelucrrilor i distribuirilor
automate de date, n timp ce auditorii evalueaz eficiena prelucrrilor efectuate asupra
datelor i a controalelor corespunztoare, n ansamblu.
n cadrul unei misiuni de audit a sistemului informatic cele mai frecvente operaii
sunt verificrile, evalurile i testrile mijloacelor informaionale, astfel:
Identificarea i evaluarea riscurilor din sistem.
Evaluarea i testarea controlului din sistem.
Verificarea i evaluarea fizic a mediului informaional.
Verificarea i evaluarea administrrii sistemului informatic.
Verificarea i evaluarea aplicaiilor informatice.
Verificarea i evaluarea securitii reelelor de calculatoare.
Verificarea i evaluarea planurilor i procedurilor de recuperare n caz
de dezastre i continuare a activitii.
Testarea integritii datelor.
n ceea ce privete aptitudinile auditorului de sisteme informatice, acesta trebuie:
s fie un bun membru ntr-o echip de audit;
s fie un bun manager al activitilor de audit;
s aib un spirit de observaie bine dezvoltat;
s fie un bun colaborator;
s dispun de abiliti de comunicare;
s fie capabil s ia decizii obiective;
s fie un bun analist.
Auditorii sistemelor informatice trebuie s participe la proiectarea acestora pentru a
se asigura c:
- sistemul creeaz un jurnal corect i complet al prelucrrilor (jurnal de activitate);
- se implementeaz controalele necesare pentru asigurarea unui control intern, la
nivelul solicitat de utilizatori.
Auditorii testeaz sistemul informatic, n momentul n care acesta devine operativ:
- verific dac au fost implementate toate controalele interne prevzute n proiect;
- stabilesc dac toate controalele interne implementate n sistem funcioneaz aa
cum a fost planificat;
- iau msurile necesare pentru corecia erorilor de implementare i funcionare a
controalelor interne prevzute n proiect;
- identific eventualele schimbri neautorizate efectuate n sistemul informatic i iau
msurile necesare pentru eliminarea sau autorizarea acestor schimbri.
Pentru asigurarea controlului intern, la nivelul solicitat de utilizatori, definit prin
proiect, auditorii ndeplinesc urmtoarele sarcini:
- verific separarea, din punct de vedere funcional, a personalului de programare de
personalul de operare i impun msurile organizatorice necesare pentru realizarea acestei
separri;
- verific documentaia iniial a sistemului informatic i actualizarea acesteia, n cazul
n care sunt autorizate schimbri;
- verific ndeplinirea sarcinilor care au fost atribuite personalului autorizat sau
grupului de control al sistemului informatic;
- urmresc aplicarea msurilor de siguran a sistemului informatic;
- urmresc funcionarea efectiv a controlului, n cadrul organismului economic care
utilizeaz, pentru evidena activitilor sale, un sistem informatic.
Funcia de auditor al sistemului informatic utilizat de un organism economic poate fi
atribuit unui angajat permanent sau unui colaborator extern al acestuia, dup cum sarcinile
pe care trebuie s le ndeplineasc auditorul impun, sau nu impun, prezena permanent a
acestuia la locul de munc.
Dac volumul de activitate desfurat sau nivelul de eficien solicitat pentru controlul
intern al sistemului informatic utilizat este ridicat, organismul economic trebuie s angajeze
proprii si auditori. n caz contrar, poate folosi, pentru ndeplinirea sarcinilor de audit,
colaboratori externi specializai, care pot ocupa funcia de auditor la mai multe organisme
economice. Din acest punct de vedere, auditorii sistemelor informatice pot fi interni sau
externi organismului economic care utilizeaz un sistem informatic. Auditorii externi pot
fi auditori independeni sau angajai ai organismelor financiare sau ageniilor
guvernamentale de control.
Obiectivele de control detaliate sunt reprezentate de:
1. Controlul masurilor de securitate
2. Identificarea, autentificarea si accesul
3. Securitatea accesului on-line la date
4. Managementul conturilor utilizator
5. Verificarea conturilor utilizator de catre conducere
6. Verificarea conturilor utilizator de catre utilizator
7. Supravegherea securitatii sistemului
8. Clasificarea datelor
9. Centralizarea identificarii utilizatorilor si drepturilor de acces
10. Rapoarte privind violarea securitatii sistemului
11. Gestionarea incidentelor
12. Increderea in terte parti
13. Autorizarea tranzactiilor
14. Prevenirea refuzului de acceptare a tranzactiei
15. Informatiile sensibile trebuie trimise pe un canal de comunicatii considerat sigur
de parti, care sa nu permita interceptarea datelor
16. Protectia functiilor de securitate
17. Managementul functiilor de criptare
18. Prevenirea, detectarea si corectarea programelor distructive
19. Arhitecturi Firewall si conectarea la retelele publice
20. Protectia valorilor electronice
Vezi
s s

s

s
CONTROLUL GENERAL SI CONTROLUL APLICATIILOR
In cadrul controlului general se urmareste asigurarea integritatii sistemului

vazut ca un intreg precum si executia aplicatiilor si controlul fisierelor exploatate.
Controlul aplicatiilor urmareste aceleasi coordonate, aria de investigare fiind
limitata la domeniul aplicatiei auditate.
Auditul unei aplicatii presupune:

s

s
s

s

Vezi Auditul sistemelor informatice, Ali Eden, Victoria Stanciu, Editura Dual Tech,
pagina 205 - 215
Auditarea (controlul) unui sistem informatic const n efectuarea controlului intern
n sistemul informatic respectiv, pentru verificarea corectitudinii rezultatelor prelucrrilor
realizate n interiorul su i a distribuirii acestora numai ctre utilizatorii autorizai. n
cazul n care distribuirea se face automat folosind sisteme de calcul.
Pentru efectuarea controlului intern ntr-un sistem informatic, se folosesc msuri,
metode i tehnici de verificare a corectitudinii rezultatelor prelucrrilor realizate n inte-
riorul su. cunoscute. n literatura de specialitate, sub denumirea de Altfel

spus. controlul intern ntr-un sistem informatic se realizeaz cu ajutorul

Utilizarea unui sistem automat de prelucrare a datelor nu diminueaz importana

controlului intern realizat n vederea asigurrii corectitudinii rezultatelor prelucrrilor
efectuate n interiorul acestuia. Apariia i utilizarea sistemelor informatice determin
ns folosirea unor msuri i metode de control specifice, care se adaug metodelor
tradiionale de auditare a sistemelor manuale i/sau mecanice de prelucrare a datelor.
deoarece posibilitatea de folosire a unui singur calculator pentru efectuarea tuturor
operaiunilor corelate din cadrul unui organism economic impune utilizarea unor
pentru asigurarea proteciei datelor la pierderi sau alterri i pentru

s
depistarea prelucrrilor eronate, efectuate n mi crierul calculatorului.

Exemplu: realizarea statului de salarii folosind calculatorului face posibil rezolvarea
tuturor problemelor legate de evidena personalului prin adugarea datelor de eviden
respective la nregistrarea aferent fiecrui angajat; n acest caz fiierul de personal
cuprinde nu numai datele necesare realizrii statului de salarii (salariul de ncadrare,
vechimea n munc, sporuri, obligaii ctre bugetul asigurrilor sociale de stat - CAS.
omaj. sntate, impozit etc. ci i date legate de pontaj (prezena, concedii de odihn,
concedii medicale), de distribuia costurilor salariale pe compartimente, de studii, de
locul de munc i funcia ocupat etc ; pentru protecia datelor de salarizare i
eviden personal mpotriva pierderilor voite sau accidentale i/sau modificrilor
neautorizate, accesul n sistemul automat de eviden i prelucrare a acestor date este
controlat, prin parola i nivel de acces, form de control specific sistemelor automate de
prelucrare a datelor.
In literatura de specialitate, sunt clasificate n

s s

i

sunt msuri de proiecie a echipamentelor, datelor i pro-

gramelor care privesc toate aplicaiile unui sistem informatic i pot fi de urmtoarele
tipuri:
- controale organizatorice: msuri organizatorice folosite pentru protecia la
fraude, neatenie i/sau neglijen:
- documentaie de sistem, folosit pentru verificarea funcionalii sistemului n
conformitate cu cerinele utilizatorului, specificate n proiectul de execuie;
- controale hardware (controale de echipament): msuri de protecie la
defeciunile tehnice;
- controale de siguran (echipamente i fiiere): msuri de proiecie la pierdere.
distrugere alterare, la accesul neautorizat sau fa calamiti (ap. foc etc).
s
sunt tehnici de control specifice, integrate n software-ul

de aplicaie (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea

i protecia datelor stocate n sistemul respectiv i a rezultatelor prelucrrilor efectuate
asupra acestor date. Se proiecteaz se realizeaz o dat cu fiecare sistem informatic.

Principalele tipuri de controale de aplicaie sunt:
- controale de intrare: msuri de asigurare a corectitudinii intrrilor sistemului:
- controale de prelucrare: msuri de asigurare a corectitudinii prelucrrilor efectuate
ni interiorul sistemului;
- controale de ieire: msuri de asigurare a corectitudinii ieirilor sistemului.
Majoritatea erorilor identificate n rezultatele finale ale prelucrrilor efectuate de
sistemele informatice provin din software-ui de aplicaie (de utilizator) folosit sau din
introducerea eronat a datelor. Din acest motiv, controalele de aplicaie joac un rol
major n asigurarea unui control intern eficient n sistemul informatic.
2.1. Controale organizatorice n sistemul informatic

Controalele organizatorice sunt metode i tehnici de organizare a activitilor
desfurate de organismele economice, folosite pentru prevenirea pierderilor i/sau
alterrilor de date determinate de fraud, neatenie i/sau neglijen. n vederea asigurrii
unui control intern eficient n sistemele de prelucrare a datelor utilizate de acestea.
Principalele tipuri de controale organizatorice
s
definirea clara a funciilor, urmat de definirea i separarea clar a sarcinilor

angajailor pentru fiecare funcie:
rotaia angajailor pe funcii i vacane obligatorii:
selecia angajailor care au acces la echipamentele i programele sistemului
informatic i acordarea unui spor de fidelitate
1.

s
s
s
s
s

joac rolul-cheie n asigurarea controlului oricrui tip de sistem de prelucrare i evi-

den a datelor {manual, mecanic, semiautomat sau automat), deoarece protejeaz
organismul economic mpotriva pierderilor de date. care conduc la alterarea rezultatelor
prelucrrilor Pentru asigurarea unui control intern puternic ntr-un sistem de
prelucrare i eviden a datelor (manual, mecanic, semiautomat sau automat) din cadrul
unui organism economic, nici un angajat nu trebuie s aib sarcina i rspunderea
complet pentru efectuarea unei activiti; operaia executat de o persoan trebuie
verificat de o alt persoan, care ndeplinete o alt sarcin vizavi de activitatea res-
pectiv. Separarea sarcinilor ntre angajai diferii asigur corectitudinea nregistrrilor
de date (pe hrtie sau suport magnetic) i a rapoartelor, protejnd totodat organismul
economic respectiv mpotriva pierderilor de date determinate de fraude sau neglijene.
Schimbrile produse de utilizarea unui sistem automat de prelucrare a datelor n
organizarea activitilor desfurate de un organism economic trebuie s urmreasc
att folosirea eficient a echipamentelor i programelor componente ale sistemului
informatic, ct i asigurarea unui control intern puternic n cadrul acestuia.
Trecerea de la prelucrarea manual sau mecanic a datelor la prelucrarea
automat a acestora permite unificarea activitilor i integrarea funciilor dintr-un
domeniu de activitate, deoarece un singur calculator poate executa, cu uurin, toate
operaiile corelate din cadrul unui organism economic. Acest lucru este posibil, fr
slbirea controlului intern, pentru c un calculator programat corect nu are posibilitatea
sau interesul s ascund erorile i de aceea poate efectua orice combinaie de funcii
considerat incompatibil de un control intern puternic ntr-un sistem tradiional de
prelucrare a datelor (manual sau mecanic). inand cont i de faptul c ntr-un calculator
programele i datele se pot modifica fr a putea fi observat acest luciu, se impune
folosirea unor pentru asigurarea siguranei

s

programelor i a datelor n vederea obinerii unor rezultate corecte ale prelucrrilor

efectuate in interiorul sistemului informaie.
De exemplu. ntr-un sistem manual de prelucrare a datelor, funcia de nregistrare a
plilor n numerar este incompatibil cu funcia de verificare a extraselor de cont
deoarece cea de-a doua serveste ca metod de verificare pentru prima, atribuirea ambelor
sarcini aceluiai funcionar permind acestuia s ascund erorile. Dac cele dou
funcii de nregistrare a plilor i de verificare a extraselor de cont sunt efectuate de un
calculator, ele devin compatibile, deoarece calculatorul programat corect, nu ascunde
erorile. Dar, un programator poate modifica programul astfel nct sa fie nregistrat o
plat iar baz real, motiv pentru care acesta nu trebuie s ndeplineasc i funcia de
nregistrare a plilor.
Pentru folosirea eficient a fiecrui calculator din dotare, organismele economice
combin i concentreaz funciile de prelucrare a datelor la nivelul unui compartiment
specializat, numit

s s
Dac funciile combinate i/sau concentrate la nivelul

departamentului de informatic sunt considerate incompatibile din punctul de vedere al

unui control intern puternic, se realizeaz

s

al departamentului informatic respectiv, deoarece ntr-un

sistem informatic programele i datele pot fi schimbate, fr a se observa modificarea

lor. Planul de organizare al departamentului informatic trebuie astfel conceput nct s
previn intervenia neautorizat a factorului uman n procesul de prelucrare automat a
datelor, s previn accesul neautorizat al personalului la echipamentele, programele sau
datele sistemului informatic Acest lucra poate fi realizat prin definirea clar a
funciilor n departament i prin definirea i separarea clar a sarcinilor angajailor
pentru fiecare funcie. De exemplu, un program utilizat s fac pli poate fi proiectat
s aprobe plata unui furnizor de materiale sau servicii numai dac factura de plat a fost
emis pe baza unei comenzi i dac exist o not de recepie. Dar un angajat care are
dreptul s fac modificri in programul de aplicaie poate efectua pli, fr baz real.
ctre anumii furnizori, dac planul de organizare al departamentului informatic
respectiv i permite s fac i pli.
Un exemplu de structur organizatoric pentru un departament de informatic,
bine definit din punctul ele vedere al nani control intern puternic, cu definirea clar a
funciilor, prin separarea clar a sarcinilor i responsabilitilor angajailor pentru
fiecare funcie, este prezentat n figura urmtoare:

departamentului de
informatic
s
(managerul)

are
activitatea

departamentului de
informatic pentru prelucrarea automat a datelor; dac.

din punct de vedere organizatoric, nu este constituit un compartiment specializat de

informatic, aceast funcie poate lipsi.
are prelucrarea
s
s s
s s
corect a datelor i stocarea (memorarea) acestora n sistem.

care exist numai n cazul organismelor

economice cu domeniu de activitate specific sau cu putere economic mare. avnd. n

principal, urmtoarele sarcini de proiectare i realizare a sistemului informatic:
- sistemului informatic existent, dac exist:

organismului economic i a nevoilor de calcul

aferente
diferitelor compartimente ale acestuia:
cerinelor utilizatorului: la acest nivel se stabilesc datele pe care

utilizatorul dorete s le prelucreze automat, prelucrrile care se efectueaz asupra

acestora i rezultatele lor. pornind de la sistemul de eviden folosit (manual, mecanic,
semiautomat etc);
prezentarea. n detaliu, a rezultatelor pe care trebuie s Ic ofere Sistemul
Informatic utilizatorilor si; stabilete ce trebuie s fac Sistemul Informatic, nu cum va
face (cum va realiza rezultatele pe care trebuie s le ofere utilizatorului);
prezentarea cerinelor pe cate trebuie s Ic ndeplineasc produsul software de
aplicaie i condiiile pe care trebuie s le respecte;
- necesare pentru realizarea sistemului informatic;
s

- sistemului informatic, folosind diagrame i instruciuni detaliate

s
care exist numai n cazul organismelor

economice cu domeniu de activitate specific sau cu putere economic mare i are

urmtoarele sarcini:
necesare pentru scrierea programelor care ruleaz
s

pe calculator, bazndu-se pe specificaiile ntocmite de grupul de analiza;

cerate, folosind limbaje de programare
s

specializate (VisualBasic, SQL, C++) cu compilatoarele aferente. SGBD-uri (FoxBase,

Access, Oracle) i programe utilitare;
- folosind ca date de test fie nregistrri originale, fie

nregistrri mostr i corectarea erorilor de programare, dac este cazul;

- necesare instalrii aplicaiei software i utilizrii

acesteia (instructiunile de instalare pe calculator i de operare).

are urmtoarele sarcini:

, software n conformitate cu instruciunile scrise de progra-

s
matori:
semnalate n timpul rulrii programului;
s s

sistemul de operare i sistemul informatic se programeaz s pstreze o list detaliat a

tuturor interveniilor operatorului.
(fiiere de programe i de date) are

s
a arhivelor de programe i de date (de referin) pentru a evita

pierderea, distingerea, folosirea neautorizat sau alterarea; dac arhivarea se face pe

calculator, operatorii sau utilizatorii sistemului informatic au acces la programele i
datele arhivate pe baz de parole de acces; calculatorul va menine automat un jurnal n
care sunt notate datele de identificare a operatorului sau utilizatorului acestora i
momentele de folosire (an. lun zi. or. minut i secund).
are a datelor

s
introduse n sistem. In vederea prelucrrii.

are urmtoarele sarcini:

toate procedurile de introducere a datelor;

s
- folosind calculatorul;

- de informatic

s s s
de identificare a cauzelor de apariie a acestora;

s
s e distribuie ctre utilizatori;

- operatorilor,

Structura organizatoric a fiecrui organism economic i amnarul angajailor de

specialitate disponibili determin gradul de separare a sarcinilor legate de proiectarea
i/sau realizarea i exploatarea unui sistem informatic Ca un minim necesar, funcia de
programator. care necesit cunotine detaliate despre programul de aplicaie folosit.
trebuie separata de funcia de operator, care deine controlul intrrilor n programul
respectiv. Dac structura organizatoric a unui organism economic, care folosete
pentru evidena i controlul activitilor sale un sistem informatic, permite unui angajat
sa realizeze att sarcini de programator, ct i de operator, se slbete controlul intern,
existnd permanent posibilitatea de fraud. Separarea activitii de exploatare de cea de
programare este foarte important din punct de vedere al asigurrii unui control intern
eficient, deoarece un angajat care realizeaz ambele funcii poate face schimbri
neautorizate n programul sistemului informatic, producnd fraude. Istoria

c de cele mai multe ori persoanele implicate au intervenit n

sistemul informatic, ca programator i operator, controlnd folosirea lui.

De exemplu, dac programatorul care a scris programul de identificare i listare a
tuturor conturilor clienilor ce extrag sume de bani mai mari dect limitele admise are
acces la sistemul informatic al bncii operator, el poate modifica programul astfel

depirea limitei de extragere admis s fie ignorat, n cazul propriului su cont.

Programatorul operator poate astfel extrage sumele de bani din contul su fr ca

sistemul informatic utilizat s semnaleze administratorului acest lucru. Frauda nu poate
fi descoperit pn cnd programul va fi revizuit de un alt programator sau pn cnd
calculatorul nu se defecteaz i lista conturilor cu depiri de limit trebuie pregtit
manual.
Dac structura organizatoric a unui organism economic permite
s
s

s s

s

respectiv, se slbete. n. mod serios, controlul intern, n cazul n care nu sunt imple-
mentate msuri de control (controale organizaionale) compensatorii.
De exemplu, dac acelai angajat ine att evidena activelor unui organism
economic folosind un sistem informatic, cai i pstrarea (gestiunea) fizic a acestora.
prin combinarea responsabilitilor corespunztoare celor dou sarcini se creeaz
posibilitatea ca angajatul respectiv s ascund sustragerea de active (bani, marf etc).
De aceea, organismele economice care folosesc sisteme informatice pentru evidena
computerizat a activelor trebuie s limiteze, pe ct posibil, accesul personalului de
exploatare la activele respective. Totui, personalul de exploatare al unui sistem
informatic poate avea:
- acces direct la active; exemplu: dac sistemul informatic este folosit pentru
tiprirea cecurilor (acces direct Ia sume de bani);
acces indirect la active; exemplu: dac sistemul informatic este folosit
pentru a
genera ordine de livrare cu autorizarea de eliberare a mrfii (acces direct la marfa de
livrare).
Ca msura de control compensatorie se pot folosi documente i totaluri pe loturi,
lista cu numrul de documente i totalul datelor semnificative pentru fiecare lot fiind
pregtite in doua departamente diferite ale organismului economic respectiv, pentru
compararea rezultatelor.
De exemplu, departamentul care autorizeaz tiprirea cecurilor trebuie s
ntocmeasc o list cu numrul total de cecuri i suma autorizat pentru fiecare, tiprirea
acestora fcndu-se n alt departament care la rndul lui ntocmete o cu numrul de
s
cecuri tiprite i suma aferenta fiecruia. Pentru fiecare lot se compar totalurile
realizate independent de cele doua departamente diferite ale organismului economic
respectiv: totalul calculat nainte i dup eliberarea cecurilor. Controalele compensatorii
nu pot elimina n ntregime, riscul rezultat clin faptul c personalul de exploatare a
sistemului informatic are acces, direct sau indirect, la activele organismului
economic. Din acest motiv, auditorii trebuie s tie c acolo unde personalul de
exploatare a sistemului informatic are acces la active, frauda care implic utilizarea
calculatoarelor poate fi mai mare dect n alte cazuri
care au legtur cu sistemul informatic

implementat de un organism economic se face cu scopul de a evita schimbrile

neobservabile de date i programe efectuate n calculator, fie din interes (fraud), fie
din neatenie sau neglijen Planul de organizare al unui departament de informatic
trebuie s includ un mecanism de rotaie a sarcinilor i vacane obligatorii pentru
angajaii si. pentru c schimbarea programatorilor sau operatorilor (ntre ei) faciliteaz
descoperirea modificrilor accidentale sau neautorizate de date i programe. Rotirea, pe
funcii, a angajailor care se ocup cu prelucrarea i evidena datelor asigur un control
intern eficient n orice tip de sistem de prelucrare i eviden a datelor folosit de un
organism economic, programelor din sistemele informatice corespunzndu-le n
sistemele tradiionale documentele scrise.
3. care au acces la echipamentele i programele sistemului

informatic folosit de un organism economic, precum i la datele vehiculate n cadrul

acestuia, trebuie fcut pe baza unor criterii care elimin, pe ct posibil, posibilitile de
fraud i producerea erorilor din lipsa cunotinelor profesionale, din neatenie sau
neglijen: personalul de ntreinere i exploatare trebuie ales cu grij, pentru a reduce
posibilitatea de distingere intenionat produs de un angajat nemulumit.
Principalele criterii de selecie a personalului care are legtur cu sistemul
informatic sunt:
- nivelul de pregtire profesional dovedit prin: diplome de studii, pregtire
teoretic i ndemnare practic, experien dobndit n timp (vechime n domeniu).
calificativ e obinute la locurile de munc anterioare etc;
- moralitate i seriozitate demonstrate prin; cazier judiciar nscrisurile din
documentele de angajare {frecvena i motivele de schimbare a locurilor de munc).
recomandri de la locurile de munc anterioare i/sau de la ali specialiti n domeniu
(profesori, colegi, cunotine) etc.:
- fidelitatea fa de organismul economic la care lucreaz
Selecia atent a personalului care se ocup cu prelucrarea i evidena datelor din
cadrul unui organism economic este foarte important n realizarea unui control intern
eficient indiferent de tipul sistemului de prelucrare i eviden a datelor utilizat
(manual, mecanic, semiautomat sau automat). Planul de organizare al unui organism
economic, cu sau fr departament de informatic, trebuie s includ un spor de
fidelitate pentru angajaii si care lucreaz n domeniul informatic pentru a evita
fraudele computerizate, greu de depistat i foarte periculoase pentru evoluia
organismului economic respectai.
Controalele organizaionale joac rolul-cheie n asigurarea unui control

intern puternic m cadrai nani sistem informatic, n vederea prevenirii fraudelor care au
implicatii majore asupra evoluiei oricrui tip de organism economic. Ele sunt destul de
eficiente in prevenirea fraudelor produse de un singur angajat dar nu pot preveni fraudele

n complicitate, foarte dificil de depistat. Dac un angajat-cheie al organismului

economic conspir cu ali angajai n vederea comiterii unei fraude. controalele
organizaionale interne care se bazeaz pe separarea sarcinilor i rotirea angajailor pe
funcii devin inoperante. De exemplu, dac persoane de conducere i angajai ai unui
organism economic fac tranzacii fictive i ntocmesc documente false care susin aceste
activiti, cu scopul de a induce n eroare auditorii i organismele de control abilitate
orice structur organizatoric de control este ineficienta. Dac nu sunt descoperite n
timp util fraudele n complicitate conduc fa falimentul organismului economic respectiv.
Documentaia sistemului informatic

Controlul intern eficient ntr-un sistem informatic impune ntocmirea i

ntreinerea unei documentaii care trebuie s cuprind:
- aprobrile pentru realizarea sistemului informatic iniial i pentru toate
modificrile ulterioare ale acestuia;
- documentaia complet, care s desene. n detaliu, sistemul informatic i
procedurile folosite de acesta pentru prelucrarea i evidena datelor.
Documentaia complet, bine ntocmit, a sistemului informatic creeaz condi-
iile de asigurare a unui control intern eficient, prin faptul c:
- pune instruciunile de operare la dispoziia tuturor utilizatorilor i operatorilor
sistemului informatic, pentru eliminarea pe ct posibil, a erorilor de operare;
- pune programele surs la dispoziia programatorilor, pentru a crea posibilitatea
ele revizuire i adaptare ulterioar a sistemului informatic la ne\oile de calcul i de
control intern ale organismului economic respectiv;
- pune logica de programare a sistemului informatic la dispoziia auditorilor.
pentru a permite identificarea schimbrilor efectuate n sistemul informatic respectiv i
a controalelor prevzute prin program.
Documentaia sistemului informatic trebuie s cuprind;
- descrierea complet i inteligibil a sistemului de prelucrare a datelor, inclusiv
a diagramelor de sistem.
- descrierea naturii intrrilor i ieirilor:
- descrierea operaiilor efectuate asupra datelor;
- responsabilitile pentru introducerea datelor, corectarea i reprocesarea date
lor eronate, realizarea sarcinilor de control etc.
a unui sistem informatic este format ti in:

- pentru uzul utilizatorului i operatorului.

s
care conine instruciuni de:

pregtire date pentru prelucrare i introducere n sistem;
configurare i folosire terminale i echipamente periferice (monitoare, imprimante
etc):
ntreinere programe componente i date stocate (nregistrate) n interiorul
sistemului
care conine o descriere complet a fiecrui program

component al sistemului informatic respectiv i care trebuie s includ cel puin;

prezentarea. n detaliu, a obiectivelor fiecrui program;
diagramele logice i paii importani, pentru fiecare program;
lista i explicaia controalelor asociate fiecrui program;
descrierea modului de organizare si de arhivare a dalelor;
exemple de ieiri, inclusiv liste de erori;
listing-uri de program n limbaj-surs;
manualul CB instruciunile de folosire, pentru fiecare program;
datele folosite pentru testarea i depanarea fiecrui program.
Documentaia complet a sistemului informatic este necesar analitilor de
sistem, ingineri de sistem i programatori analiti, pentru depanare sau realizarea unor
modificri Operatorii calculatorului trebuie s aib acces numai fa manualul de
operare, care conine instruciunile pentru introducerea datelor n sistem i pentru
prelucrarea acestora. Dac operatorii au acces Ia informaii de detaliu cu privire la
software-ul de aplicaie utilizat cresc probabilitatea i posibilitatea ca acetia s
efectueze schimbri neautorizate n programul respectiv care stau la baza fraudelor
computerizate, cele mai periculoase pentru un organism economic.
Documentaia completa a sistemului informatic utilizat de un organism economic
este utila si auditorilor de sisteme informatice, pentru:
- determinarea logicii de prelucrare folosite de sistemul informatic auditat n
vederea identificrii eventualelor erori de prelucrare produse n interiorul lui;
- determinarea schimbrilor (modificrilor) efectuate n sistemul informatic
auditat dup instalarea acestuia;
- identificarea controalelor integrate n sistemul informatic auditat.
In plus informaiile cuprinse n documentaia unui sistem informatic ajut
auditorii n dezvoltarea de teste sau programe generalizate de audit. necesare pentru
testarea sistemelor de prelucrare automat a datelor utilizate de clienii lor.
Documentaia sistemului informatic este indispensabil utilizrii.

dezvoltrii i auditrii acestuia.
2.3. Controale hardware

Echipamentele digitale, componentele hardware ale sistemelor moderne de
prelucrare automat i de eviden a datelor au. din construcie, o precizie foarte mare
i o fiabilitate foarte bun; prin urmare, tolerana de calcul nu produce erori n
rezultatele finale ale prelucrrilor efectuate, iar defeciunile tehnice care determin
alterau i/sau pierderi masive de date i programe sunt puine.
Pentru evaluarea corect a fiabilitii echipamentelor digitale utilizate la
implementarea unui sistem informatic. n vederea prevenim pierderilor (de date i
programe) i reducerii erorilor {n rezultatele finale ale prelucrrilor) produse de
posibilele defeciuni tehnice ale acestor echipamente, economitii, inclusiv auditorii,
trebuie s cunoasc controalele integrate de fabricant n fiecare tip de echipament, care
sunt ntlnite n literatura de specialitate sub numele de controale hardware.
Cele mai ntlnite sunt:

1. const ntr-un semnal pe care echipamentul periferic l trimite

(returneaz) ctre unitatea central de prelucrare, dac a recepionat corect datele

transmise de aceasta; prin ecou se verific dac echipamentul periferic se comport n
conformitate cu instruciunile primite de la unitatea central de prelucrare.
2. const n folosirea unor tehnici i proceduri hardware pentru

testarea propriilor circuite; majoritatea echipamentelor modeme, care fac parte din sistemele
de prelucrare automat a datelor, conin tehnici sau proceduri ele autodiagnoz:
exemplu: identificarea circuitelor de interfa sau modulelor de memorie defecte.
nainte ca sistemul s poat li considerat valid, permind astfel utilizatorului s evite
utilizarea unui sistem defect

s
s

3. const n realizarea fiecrei operaii de dou ori i

compararea rezultatelor in procesul dublu de verificare, cunoscut sub numele de citire

dup scriere, calculatorul citete datele, dup transferarea lor n sistem, i le verific
corectitudinea
4. consta n controlul sau verificarea paritii ntr-un sistem

de calcul digital, modern, care prelucreaz dalele n serii de bii (cifrele binare 1 i 0);
controlul paritii se face prin compararea valorilor bitului de paritate, calculate nainte
i dup un transfer de date. pentru a verifica dac bii de date s-au modificat pe durata
transferului; bitul de paritate, care conine suma tuturor biilor de l(unu) pari sau
impari. n funcie de construcia fiecrui echipament digital, este adugat de fabricant In
alfanumerice

s
s

transferate ntre componentele unui sistem digital de calcul.

Asigurarea funcionrii corespunztoare a hardware-ului unui sistem

modern de prelucrare automat a datelor. n vederea evitrii pierderilor sau alterrii de

date i programe, defeciuni tehnice, impune nu numai

folosirea controalelor hardware prevzute de fabricantul echipamentelor, ci i aplicarea

unui mecanism de ntreinere preventiv conceput de ctre organismul economic care
utilizeaz sistemul informatic respectiv. Auditorii de sisteme informatice trebuie s
cunoasc nu numai controalele hardware integrate de fabricani n echipamente, ci i
msurile de ntreinere preventiv folosite. mpreun cu modul de aplicare a acestora
2.4. Controale de siguran

Fiecare sistem automat de prelucrare a datelor trebuie s dispun de controale
pentru asigurarea siguranei:
echipamentelor componente
programelor i fiierelor de date pentru a nu fi pierdute, alterate, distruse sau
accesate de personal neautorizat; aceste evenimente se pot produce accidental sau voit.
Programele componentele software ale sistemelor informatice moderne pot
produce erori n rezultatele finale ale prelucrrilor efectuate automat i n conditiile
computerizate, deoarece pot fi distrase sau alterate cu uurin, accidentai sau voit.
blocnd accesul utilizatorilor la volumele mari de date stocate n sistem i. implicit. In
informaiile obinute prin interpretarea rezultatelor prelucrrilor efectuate asupra aces-
tora; de asemenea, permit foarte uor distrugerea, alterarea sau pierderea, accidental
sau voit, a bazelor de date stocate i gestionate de sistemul informatic. n condiiile n
care cel mai mare volum de munc rezid n crearea i ntreinerea acestora.
Principalele tipuri de controale de siguran utilizate pentru protecia unui sistem
informatic sau a componentelor acestuia, hardware sau software, sunt:
1.

s s

2. Accesul utilizatorilor in sistemul informatic pe baza de nivele de acces si parola

individuala secreta
3. Crearea functiei de administrator al bazei de date
4. Programarea fiecarei componente a software-ului de aplicatie utilizat de
sistemul informatic
5. Crearea unei copii de siguranta pentru toate componentele software utilizate de
sistemul informatic
6. Masuri de protectie la accidente sau sabotaj.
2.5. Controlul intrarilor

Controlul intrarilor consta in tehnici de verificare a datelor primite pentru
prelucrare, la introducerea acestora in sistemul informatic, a datelor strict autorizate,
corecte si complete din punct de vedere al evidentei si controlului activitatilor desfasurate
in cadrul organismului economic.
Este folosit pentru a asigura faptul ca toate tranzactiile sunt:
- introduse corect
- complete
- valide
- autorizate
- aferente perioadei de gestiune curente
- inregistrate corect in conturi (pentru aplicatiile contabile)
pagina 215 - 220
Este foarte important sa se implementeze controale de intrare eficiente pentru ca
cele mai multe erori identificate provin de la introducerea incorecta a datelor.
2.6. Controlul prelucrarilor
In derularea procedurilor de control al prelucrarilor auditorul va trebui sa tina seama
de:
Tipologia sistemului informatic
Modalitati de introducere a datelor in sistem si procesarea acestora
Natura prelucrarilor
Nivelul de descentralizare a prelucrarilor
o Metode de procesare a datelor
Introducere pe loturi prelucrare pe loturi
Introducere on-line procesare pe loturi
Introducere on-line procesare on line
o Controlul fisierelor si al bazei de date
o Disponibilitatea datelor
o Controlul prelucrarilor declansate automat
o Functionalitatea aplicatiei
o Verificarea autorizarii programelor
o Comunicarea sistemului cu utilizatorul
o Performante
pagina 220 - 231
2.7. Controlul datelor de iesire
Controlul datelor de iesire urmareste:
- Completitudinea si acuratetea iesirilor
- Respectarea termenelor prevazute pentru obtinerea iesirilor
- Distribuirea iesirilor catre persoanele autorizate
- Iesirile trebuie sa respecte formatul cerut pentru alte aplicatii
- Masura in care se realizeaza inregistrarea, raportarea si corectarea erorilor
identificate
- Controlul managementului asupra acuratetei iesirilor si modul lor de distribuire
pagina 232 - 233
2.8. Controlul securitatii aplicatiilor
Controlul securitatii aplicatiilor se foloseste pentru asigurarea:
Integritatii tranzactiilor si fisierelor
Acuratetei procesarilor
Separarii sarcinilor incompatibile intre persoanele implicate in procesarea
datelor
Controlul utilizatorilor
Modalitati de realizare a controlului securitatii aplicatiilor:
- Identificarea si autorizarea utilizatorilor
- Controlul accesului
- Monitorizarea activitatii utilizatorilor
pagina 233 - 236
AUDITAREA SISTEMELOR PC
Termenul de PC se refer la o varietate de calculatoare mici: calculatoare personale, staii de
lucru i terminale inteligente. Dei progresele tehnologice reduc continuu diferenele dintre PC-uri i
calculatoarele mari, PC-urile rmn, n general, mai puin flexibile, au memorie mai redus i sunt
mai lente n procesarea datelor, dect calculatoarele mari. Totui, PC-urile ofer utilizatorilor
avantajul accesului direct la calculator, fr timpii de prelucrare i capacitatea de stocare date asociai
unui sistem de calcul centralizat. Din acest motiv, chiar i auditul organismelor economice care
folosesc sisteme informatice centralizate sofisticate se poate face folosind sisteme PC.
Apariia PC-urilor a condus la descentralizarea activitilor de prelucrare, de eviden i control
al datelor vehiculate n cadrul unui organism economic. ntr-un mediu PC, calculatoarele se pot
plasa n departamentele utilizatorilor i pot fi operate de ctre personalul acestor departamente, cu
puine cunotine n domeniul informatic i despre calculatoare. Prelucrrile sunt realizate, de
obicei, de aplicaii software dedicate, uor de exploatat, achiziionate de la organisme economice
specializate, eliminndu-se astfel nevoia de a angaja programatori. Pentru stocarea, crearea unor
copii de siguran (back-up) i/sau arhivarea aplicaiilor i Bazelor de Date, sunt folosite discuri
magnetice de tipul HardDisk, FloppyDisk, CD-ROM, CD-RW, DVD etc. sau, din ce n ce mai rar,
benzi magnetice.
Controlul intern al sistemelor informatice bazate pe mediul PC prezint unele particulariti.
Astfel, pentru verificarea corectitudinii rezultatelor i distribuiei acestora numai ctre utilizatorii
autorizai, se folosete descrierea, n detaliu, a procedurilor de prelucrare a datelor, care trebuie
cuprins, obligatoriu, n documentaia sistemului. Pentru protecia datelor manipulate de operatori
sau utilizatori fr cunotine n domeniul informatic, se face instruirea acestora n folosirea
componentelor sistemului i li se pun la dispoziie manualele de operare i ntreinere complete ale
componentelor respective: echipamente, software de sistem i de aplicaie. Pentru reconstituirea
datelor i aplicaiilor software utilizate, organismele economice care utilizeaz sisteme informatice
bazate pe mediul PC trebuie s efectueze, periodic, copii
de siguran (back-up) ale fiierelor de date i de program, pe supori magnetici externi (dischete, CD-
uri sau benzi), care trebuie depozitai departe de sistem, n locaii sigure. Prin amplasarea
calculatoarelor de tip PC n departamentele utilizatorilor, cresc riscul de utilizare neautorizat a
acestora i, implicit, posibilitatea de fraud computerizat. Din acest motiv, sistemul de operare al
PC-urilor i aplicaiile software utilizate trebuie s permit accesul operatorilor i/sau utilizatorilor n
sistem numai pe baz de coduri i nivele de autorizare, limitnd astfel accesul acestora la anumite
fiiere de date i/sau de program. Pentru detectarea activitilor neautorizate trebuie organizat o
activitate independent de analiz a jurnalelor generate de sistemele PC. Pentru prevenirea utilizrii
neautorizate a sistemelor informatice bazate pe mediul PC:
- se limiteaz accesul la originalul i la copiile de siguran ale aplicaiilor
software prin utilizarea crora personalul neautorizat poate intra n sistem;
- se instaleaz un sistem de blocare a PC-ului n afara orelor de program;
- se limiteaz accesul n spaiile de lucru folosite de sistemele informatice bazate
pe mediul PC prin paz sau sisteme de acces cu cartel.
Auditorii (interni sau externi) ai organismelor economice, care utilizeaz sisteme informatice
bazate pe mediul PC, trebuie s impun implementarea tuturor tipurilor de controale interne minim
necesare pentru a asigura:
- integritatea sistemului informatic implementat;
- integritatea i corectitudinea datelor vehiculate n cadrul organismului economic respectiv;
exemplu: evidenele financiare care trebuie puse la dispoziia organelor
financiare de control.
AUDITAREA CENTRELOR DE CALCUL

Centrele de calcul furnizeaz servicii de prelucrare a datelor pentru clienii lor, organisme
economice care nu au propriul centru de calcul sau departament de informatic. De regul, centrul
de calcul primete datele de prelucrat de la clieni, n loturi, i le transmite rezultatele prelucrrilor
efectuate. Unele centre de calcul funcioneaz n regim partajat, n sensul c ofer abonailor lor
acces la toate resursele de calcul disponibile, prin intermediul terminalelor proprii, utilizatorul unui
astfel de sistem avnd la dispoziie majoritatea serviciilor pe care i le-ar oferi propriul calculator.
Controlul intern al centrului de calcul poate interaciona cu sistemul de control al fiecrui client,
caz n care auditorii trebuie s neleag i activitile de prelucrare desfurate de centrul de calcul.
n plus, dac intenioneaz s reduc nivelul riscului de control bazndu-se pe anumite controale,
auditorii trebuie s dovedeasc eficacitatea acestora, prin testarea lor, indiferent dac sunt executate de
Centrul de calcul sau de clientul acestuia. Uneori, testarea controalelor aplicate de client este
suficient pentru evaluarea riscului de control i detectarea erorilor. Alteori, pentru atingerea
obiectivelor de control ale clientului i evaluarea corect a riscului de control, auditorii trebuie s
testeze i controalele Centrului de calcul pentru a dovedi c acestea funcioneaz efectiv. i pentru
c Centrul de calcul realizeaz, de regul, servicii de prelucrare a datelor similare pentru mai muli
clieni, auditorii acestuia ntocmesc un raport asupra sistemului de control intern propriu, pe care l
pun la dispoziia auditorilor fiecrui client. Totui, auditorii clientului trebuie s se asigure de
competena auditorilor Centrului de calcul.
Dei apariia calculatoarelor i a aplicaiilor software specializate a creat unele

probleme de adaptare pentru economiti, ea le-a lrgit orizontul de cunoatere i a extins gama i
valoarea serviciilor pe care acetia le pot oferi. n timp, calculatorul a devenit o unealt folosit
pentru realizarea sarcinilor de rutin, cu vitez i precizie fr precedent. El face posibil accesul la un
volum de date care, n trecut, nu era accesibil din cauza limitrilor de timp i pre de cost. Dac
organismul economic auditat i ine evidenele folosind un sistem informatic complex i sofisticat,
auditorii pot utiliza calculatorul i programe specializate n procesul de audit.
CONSIDERAIILE AUDITORILOR CU PRIVIRE LA CONTROLUL INTERN NTR-

UN SISTEM INFORMATIC
Indiferent de tipul sistemului de eviden (gestiune) a activitilor economice i de prelucrare a
datelor (manual, mecanic sau informatic) folosit de organismele economice, auditorii trebuie s
efectueze un control intern, pentru realizarea cruia este necesar:
- s evalueze corect riscul de control (posibilitatea de existen a unor erori care
nu pot fi detectate);
- s determine natura activitilor desfurate de organismul economic auditat;
- s stabileasc tipul i amploarea activitilor de audit necesare;
- s aprecieze timpul necesar pentru completarea auditului.
Pe baza celor stabilite n vederea completrii auditului, auditorii pot face organismului
economic recomandri pentru mbuntirea structurii de control intern. Indiferent de tipul
sistemului de gestiune i prelucrare a datelor folosit de un organism economic, recomandrile pe care
le fac auditorii cu privire la controlul intern se mpart n patru categorii, corespunztoare urmtoarelor
patru tipuri de activiti:
- planificarea auditului; pentru aceasta. auditorii trebuie s neleag suficient de bine rolul
controlului intern, modalitile de realizare a acestuia i tehnicile de integrare a controalelor n
sistemul de gestiune i prelucrare a datelor folosit de un organismeconomic;
- evaluarea riscului de control i proiectarea testelor adiionale pentru procedurile de control
ale sistemului informatic;
- realizarea testelor adiionale pentru procedurile de control ale sistemului informatic;
- reevaluarea riscului de control al sistemului informatic i modificarea corespunztoare a
testelor de evaluare.
Pregtirea auditorilor pentru planificarea auditului i proiectarea

controalelor (testelor) de audit
Planificarea auditului pentru un organism economic i necesitatea proiectrii de teste de audit
eficiente solicit auditorilor s aib cunotinele de specialitate necesare nelegerii structurii unui
control intern, indiferent de tipul sistemului de gestiune i prelucrare a datelor utilizat (manual,
mecanic sau electronic) i de complexitatea acestuia.
Pentru planificarea auditului i proiectarea de teste de audit eficiente, auditorii trebuie s aib
cunotine despre:
- procedurile i tehnicile de audit disponibile;
- proiectarea i realizarea controalelor interne; trebuie s tie ce se urmrete prin
auditul intern i cum se poate realiza un audit complet;
- sistemele de gestiune i prelucrare a datelor utilizate de organismele economice; trebuie s
cunoasc particularitile fiecruia, din punct de vedere al auditului;
- tehnicile de integrare a controalelor interne n sistemele de gestiune i prelucrare a datelor
disponibile;
-natura activitilor desfurate de organismele economice: caracteristicile i particularitile
acestora, din punctul de vedere al auditului;
- legislaia n vigoare.
Evoluia tehnologic a microcalculatoarelor de tip PC, din ce n ce mai performante i mai
ieftine, a condus la apariia i dezvoltarea continu a aplicaiilor software i, implicit, la utilizarea, pe
scar larg, a sistemelor informatice bazate pe mediu PC. Practic, sistemele de gestiune i prelucrare a
datelor clasice (manual sau mecanic) sunt pe cale de dispariie, fiind nlocuite de sisteme informatice.
n aceste condiii, auditorii trebuie s aib cunotine suplimentare de informatic, minimul necesar
care s le permit s i desfoare activitatea de control.
Pentru a stabili natura, durata i amploarea activitilor de audit, auditorul trebuie s aib
suficiente cunotine informatice pentru a face analiza procedurilor de prelucrare utilizate i a
rezultatelor acestora.
Auditarea sistemelor informatice simple, care prelucreaz datele folosind algoritmi de calcul
uor de aplicat, nu impune testarea acestor sisteme folosind proceduri de test implementate pe
calculator; n acest caz, auditorii compar rezultatul prelucrrilor datelor de test, obinut manual, cu
cel obinut folosind sistemul informatic auditat i analizeaz diferenele; aceast tehnic este
denumit auditarea evitnd calculatorul, deoarece auditorii evit calculatorul n realizarea auditului.
Auditarea sistemelor informatice complexe impune ns folosirea procedurilor de audit implementate
pe calculator i proiectarea unor teste suplimentare pentru controlul acestor proceduri.
Documentaia ntocmit de auditor, aa-numitul raport de audit, variaz n funcie de
complexitatea sistemului informatic auditat. Pentru un sistem cu structur simpl de control intern,
poate fi suficient o descriere. De regul, ns, raportul de audit trebuie s conin:
1. care descriu activitile desfurate de sistemul
s
informatic utilizat de organismul economic auditat i care pot fi:

- sunt folosite, n mod curent, n procesul de audit, ca tehnic de
s s
descriere a controlului intern; prezint avantajul c fac parte din documentaia standard a sistemului
informatic, prin urmare nu mai trebuie ntocmite de auditor;
exemplu: diagrama de vnzri, diagrama de credite, diagrama de ncasri etc.;
- prezint, n detaliu, logica unui anumit program folosit de sistemul

informatic; auditorii care pot interpreta diagramele de program pot nelege i interpreta controalele
coninute ntr-o anumit aplicaie software, folosit de sistemul informatic auditat.
special proiectate pentru a fi folosite n procesul de control al sistemului
s
informatic; exemplu: chestionare de control al accesului ntr-un sistem informatic.

Proiectarea, realizarea i utilizarea tehnicilor de audit asistate de calculator impun

auditorilor, pe lng cunotine temeinice din domeniul economic, cunotine suplimentare din
domeniul informatic i din domeniul de activitate al organismelor economice de auditat.
Evaluarea riscului de control planificat i proiectarea de teste adiionale pentru controlul

(testarea) procedurilor de audit
Riscul de control al unui sistem informatic reprezint posibilitatea de existen a unei erori care
nu poate fi prevenit sau detectat n timp util de ctre controlul intern al sistemului respectiv.
Pentru a determina nivelul riscului de control planificat al sistemului informatic auditat,
auditorii trebuie s cunoasc i s neleag:
mediul de control specific organismului economic care utilizeaz sistemul informatic
auditat;
schimburile de date din cadrul organismului economic care utilizeaz sistemul informatic
auditat;
procedurile de control intern implementate n sistemul informatic auditat.
Dac, pentru sistemul informatic auditat, nivelul riscului de control planificat a fost evaluat ca
fiind:
mare, atunci este admis posibilitatea apariiei unor erori nedetectabile de controlul
intern implementat n sistemul respectiv; n aceste condiii, nu sunt necesare teste adiionale pentru
verificarea procedurilor de audit utilizate;
sczut, atunci nu este admis posibilitatea apariiei unor erori nedetectabile de controlul
intern implementat n sistemul respectiv; n aceste condiii, sunt necesare teste adiionale pentru
verificarea procedurilor de audit utilizate.
n evaluarea riscului de control planificat pentru un sistem informatic, se ine cont de
cerinele utilizatorului cu privire la precizia rezultatelor solicitate sistemului respectiv i de specificul
domeniului de activitate gestionat cu ajutorul acestui sistem; dac cerinele de precizie impuse
sistemului informatic nu admit posibilitatea apariiei unor erori nedetectabile de controlul intern
proiectat i implementat n interiorul acestuia, se impun proiectarea i implementarea unor
controale de audit suplimentare pentru testarea (verificarea) controalelor de audit folosite.
Realizarea controalelor adiionale pentru controalele de audit ale sistemelor

informatice
Pentru testarea controalelor de audit integrate ntr-un sistem informatic se folosesc proceduri
de control cunoscute sub denumirea de controale adiionale de audit, care verific dac controalele
de audit descrise n documentaia de audit sunt implementate i funcioneaz aa cum a fost
prevzut n analiza de sistem.
Auditorii trebuie s efectueze verificarea tuturor controalelor de audit pe care intenioneaz s
le ia n consideraie n evaluarea riscului de control aferent sistemului informatic auditat, indiferent
de natura acestuia. Trebuie ns precizat c unele
controale adiionale de audit, folosite de auditori pentru testarea controalelor de audit integrate ntr-
un sistem informatic, depind de natura sistemului informatic auditat.
1. Testarea controalelor interne ale unui sistem
s
informatic ncepe cu testarea controalelor generale, deoarece eficacitatea unui control specific al
unei aplicaii este adesea dependent de existena unui control general, efectiv al tuturor activitilor
sistemului informatic auditat.
Spre exemplu, verificarea programelor de testare a procedurilor de control, ntr-un mediu
n care programatorii pot efectua cu uurin schimbri neautorizate n programe, este
ineficient n absena unui control asupra modificrilor programelor, deoarece auditorii nu au nici o
dovad c programul testat este identic cu cel folosit de-a lungul timpului. n astfel de situaii,
auditorii nu pot conta pe controalele aplicaiei n vederea evalurii riscului de control.
De obicei, auditorii testeaz controalele generale ale sistemului informatic auditat prin analiza
documentaiei de sistem i urmrirea ndeplinirii sarcinilor de ntocmire a acestei documentaii de
ctre personalul organismului economic respectiv:
obinerea autorizaiilor de revizuire a sistemului informatic auditat;
ntocmirea documentaiilor specifice sistemului informatic auditat;
obinerea aprobrilor pentru realizarea sau achiziionarea de programe noi;
obinerea aprobrilor pentru modificarea programelor existente;
completarea jurnalului cu defeciuni sau anomalii de funcionare a echipamentelor folosite;
urmrirea msurilor de siguran implementate etc.
Prin natura lui, un control general trebuie mai degrab respectat, dect determinat prin analiza
documentaiei sistemului informatic auditat.
Procedurile folosite de auditori pentru
s
testarea controalelor de aplicaie variaz semnificativ de la un tip de sistem informatic la altul i de la

un tip de aplicaie component a sistemului informatic la alta.
depind de tipul sistemului informatic auditat.
s
Exemplu: n sistemele de procesare n loturi, controlul intrrilor poate fi testat prin compararea
ieirii sistemului informatic cu totalul lotului, folosind secvena de serii i numere aferent
documentelor din lotul selectat; n sistemele on-line, n timp real, loturile de date nu sunt disponibile
i auditorul trebuie s imagineze alt tip de test pentru controlul intrrilor.
pot fi manuale sau
s s

asistate de calculator. Pentru testarea controalelor prelucrrilor, auditorii:

examineaz procedurile de testare a sistemului informatic auditat, efectuate de ctre grupul de
control al organismului economic care l utilizeaz;
analizeaz rezultatele testrilor controalelor prelucrrilor sistemului informatic auditat,
realizate de auditorii organismului economic care l utilizeaz;
examineaz rapoartele de erori i jurnalele de activiti generate de calculator; deoarece ele
ilustreaz violrile controalelor de program care apar n timpul prelucrrilor, oferind astfel
dovezi ale funcionrii, corecte sau eronate, a acestora;
analizeaz i testeaz tehnicile, manuale sau asistate de calculator, folosite pentru
explicitarea i explicarea incidentelor aprute n timpul prelucrrilor i nregistrate n
rapoartele de erori, deoarece efectivitatea controalelor de program depinde de acest lucru.
auditorii folosesc, de regul, tehnici de audit asistate
s
de calculator. Principalele tehnici de audit asistate de calculator folosite pentru testarea controalelor
adiionale de audit sunt:
pot fi stabilite de auditori sau de programatorii organismului economic
s
care utilizeaz sistemul informatic de auditat; trebuie s includ toate erorile semnificative care
afecteaz evaluarea, de ctre auditor, a riscului de control planificat pentru sistemul informatic de
auditat: tranzacii cu date lips, eronate sau ilogice, loturi incomplete etc.

s s
s s
aflate sub controlul auditorilor; sunt folosite de acetia pentru a monitoriza prelucrarea

datelor curente, prin compararea ieirilor acestor programe cu ieirile programelor originale sau
pentru reprocesarea datelor iniiale, folosind varianta proprie de program, cu scopul de a compara
rezultatul curent cu cel iniial sau de a descoperi schimbrile din programul organismului
economic netrecute n documentaie; programele controlate ofer auditorilor posibilitatea de a
testa programele organismului economic cu date reale i de test, fr riscul alterrii fiierelor acestuia
i n locaii diferite de spaiile de exploatare, fr utilizarea calculatoarelor sau personalului
organismului economic respectiv.
special elaborate, pentru a genera, folosind calculatorul, diagrame de

analiz cu ajutorul crora se testeaz logica programelor componente ale sistemului informatic
auditat i a controalelor acestora sau se verific dac documentaia sistemului respectiv descrie
programele i controalele programelor folosite de fapt.
introduse n sistemul
s
informatic, o dat cu datele pentru urmrirea pailor de prelucrare a schimburilor de date

marcate i ntocmirea listelor care conin descrierea, n detaliu, a pailor de prelucrare respectivi, cu
scopul de a depista eventualele aciuni neautorizate n programele i controalele programelor
sistemului informatic auditat.
(aplicaii software pentru audit generalizat), care pot fi

folosite de organismele economice specializate n auditarea sistemelor informatice complexe,

pentru testarea fiabilitii programelor i controalelor programe lor componente, pentru o gam larg
de sisteme informatice sau pentru realizarea unor funcii specifice de audit; exemple: mrirea
numrului de schimburi de date testate suficient de mult pentru a evalua corect riscul de control;
rearanjarea datelor de test ntr-un format mult mai folositor auditului; selectarea schimburilor de date
n funcie de anumite criterii etc. Exemplu: Program pentru verificarea fiabilitii unui sistem
informatic prin simulare paralel: program care realizeaz anumite funcii de prelucrare echivalente
acelora din sistemul informatic, pentru a verifica dac acesta funcioneaz corect; rezultatele
prelucrrilor efectuate de sistemul informatic asupra unui set de date (grup de tranzacii) trebuie s
fie egale cu rezultatul prelucrrilor efectuate asupra aceluiai set de date de ctre programul de
audit generalizat; ofer auditorilor avantajul efecturii unor prelucrri asupra datelor reale,
independent de sistemul informatic auditat.
Reevaluarea riscului de control i utilizarea testelor independente
Pentru a stabili n ce msur se pot baza pe controlul intern al sistemului informatic n
reducerea posibilitilor de apariie a erorilor de funcionare a acestuia, auditorii trebuie s reevalueze
riscul de control, pe domenii de activitate, i, pe baza acestuia, s determine natura, locul, momentul
de timp i amploarea testelor de control independente de sistemul informatic auditat, necesare n
aprecierea corectitudinii rezultatelor oferite de sistemul respectiv utilizatorilor si.
Din punct de vedere conceptual, evaluarea controlului intern al activitilor unui sistem
informatic nu este diferit de evaluarea altor aspecte ale sistemului. De obicei, sunt necesare mai
puine proceduri de testare independente de sistemul informatic auditat, n acele domenii n care se
admite un risc de control mare, i mai multe acolo unde se admite un risc de control redus. Pentru
evaluarea corect a controlului intern al activitilor desfurate de un sistem informatic, trebuie luate
n considerare controalele folosite de utilizatori, de auditorii interni i de specialitii n informatic.
Utilizarea sistemelor integrate de testare in auditarea sistemelor informatice
Auditorii pot folosi pentru testarea i monitorizarea controalelor interne implementate

ntr-un sistem informatic aa-numitul sistem integrat de testare, care const n integrarea unui
set de fiiere de test, programe i date de test n sistemul informatic respectiv. Aceste fiiere
de test permit ca datele de test pe care le conin s fie prelucrate simultan cu datele reale,
fr ca datele reale respective i rezultatul prelucrrii lor s fie afectate. Datele de test,
care cuprind toat gama imaginabil de date posibil a fi introduse n sistemul informatic
respectiv, afecteaz numai fiierele de test i rezultatele prelucrrilor acestora. Sistemul
integrat de testare poate fi implementat n toate tipurile de sisteme informatice, inclusiv n
sistemele informatice on-line, n timp real.
Sistemul integrat de testare poate fi folosit de auditori i pentru monitorizarea
prelucrrilor datelor de test n vederea studierii efectelor produse de prelucrrile efectuate
asupra fiierelor de test, listelor de erori i ieirilor sistemului informatic. Ei comunic
concluziile personalului autorizat sau grupului de control care efectueaz controlul zilnic.
Spre exemplu, un sistem integrat de testare pentru aplicaii de salarizare i eviden
personal poate defini un departament fictiv pentru care nregistreaz angajai fictivi n
fiierele de angajai i salarii. Datele de la departamentul fictiv vor fi introduse n sistem
simultan cu datele de la departamentele reale. Auditorii, externi sau interni, vor monitoriza
toate ieirile aferente departamentului fictiv, inclusiv nregistrrile de salarii, listele de erori
i cecurile emise. n acest caz, e necesar un control strict al ieirilor n vederea prevenirii
folosirii neautorizate a cecurilor fictive.
Folosirea sistemelor integrate de testare prezint riscul de manipulare eronat a datelor
reale, prin transferarea lor n sau din fiierele fictive. Pentru eliminarea acestui
dezavantaj, auditorii trebuie s monitorizeze toate activitile n fiierele fictive utilizate i s
impun msuri riguroase de prevenire a accesului neautorizat la aceste fiiere. De asemenea,
proiectarea unui astfel de sistem trebuie fcut cu atenie, pentru a elimina riscul ca fiierele
reale s fie contaminate ntmpltor cu date din fiierele fictive de test.

s
plan contabil
s s s s

s

s

s

s s s s

notelor contabile
s

s s
s s

s
s

s s

s
s s

s
s
soldurilor
s s s s

s

s

s

s

s
s

s

s

s
s

s
s

s s
s s

s

s

s s

s

s s s

s s

s s
s

s s s
s

s s

s

s
s s

s

s

s

s
s s s s
s s
s

s s

s

s

s

s
s s s

s

s
s

s s

s s s
s

s
s s
s s

s s
s

Auditul aplicaiei Auditul funcionalitii aplicaiei

s s s

s

s s

s

s
s
s
s

s s s
s

s

s

s

s

s
s

s s
s

s

s

Controlul competenei s

s
s
s
s
s

s
s

s
s s

s s

s

s
s

s

s s

s s

s

s s

s

Controlul introducerii nregistrrilor contabile

s s
s s
s

s s

s

s s

s

s s

s s
s
s

s

s s

s

s

s

s
s

s

s

s

s

s

s
s s s s

s
s
s

s

s s
s

s s s

s

s

s

s

Controlul datei contabile

s s

s s

s s
s
s

s
s

s s

s

s s

Audit trail s s s

s s
s

s
s

s
s
s s

s

s

s

s s
s

s s

s s
s

s s

s s

s

s
s s

s

s
s s

s

s s
s

s

s

s s
s

s s s s s
s s

s s

s s s s s

s

s

s
s
s
s
s s

s s

s
s

s
s s
s
s
s

s

s s
s

s
s s s
s
s s

s
s

Auditarea Sistemelor Informatice

Încărcat de

Informații document

Descriere:

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Descriere:

Drepturi de autor:

Formate disponibile

Auditarea Sistemelor Informatice

Titlu original:

Încărcat de

Descriere:

Drepturi de autor:

Formate disponibile

AUDITAREA SISTEMELOR INFORMATICE

Introducere in auditul sistemelor informatice

Editura Fundaiei Romnia de

Tech, Bucureti, 2004.

Dual Tech, Bucureti, 2002.

Polirom, Iai, 2001.

Introducere in auditul sistemelor informatice

- Prin serviciul de audit al sistemelor informatice

se urmareste indeplinirea cerintelor legale si eficientizarea gestiunii activelor IT, utilizand

1. Auditul sistemelor informationale

- fonduri foarte mari, uriae n anumite cazuri;

Complexitatea sistemelor informatice i durata, relativ mare, de realizare a acestora

. n acelai timp un impact deosebit asupra

obiectivelor de control a sistemelor informaionale l-a avut deschiderea

riscurile utilizrii sistemelor informatice n prelucrarea i transmisia datelor la

ntreprinderi a unui . Astfel,

managerii i-au pus problema garantrii corectitudinii i securitii operaiilor din

sunt: calculatoarele, aplicaiile informatice (sistemele de operare, aplicaiile

afaceri informatizate, pot fi sintetizai n:

Diferena conceptual dintre aceti termeni este dat pe de o parte de coninutul i

sau , iar pentru auditor se va utiliza termenii de

Auditul sistemelor informatice

OBIECTUL AUDITULUI PENTRU SISTEME INFORMATICE

Auditul informatic poate, de asemenea, s evalueze aspecte strategice sau

SARCINILE DE CONTROL ALE AUDITORILOR NTR-UN

ntr-un organism economic, funcia de auditor al sistemului informatic trebuie s existe

CONTROLUL GENERAL SI CONTROLUL APLICATIILOR

In cadrul controlului general se urmareste asigurarea integritatii sistemului

spus. controlul intern ntr-un sistem informatic se realizeaz cu ajutorul

Utilizarea unui sistem automat de prelucrare a datelor nu diminueaz importana

depistarea prelucrrilor eronate, efectuate n mi crierul calculatorului.

sunt msuri de proiecie a echipamentelor, datelor i pro-

sunt tehnici de control specifice, integrate n software-ul

de aplicaie (utilizator) dintr-un sistem informatic, cu scopul de a asigura corectitudinea

2.1. Controale organizatorice n sistemul informatic

definirea clara a funciilor, urmat de definirea i separarea clar a sarcinilor

joac rolul-cheie n asigurarea controlului oricrui tip de sistem de prelucrare i evi-

programelor i a datelor n vederea obinerii unor rezultate corecte ale prelucrrilor

Dac funciile combinate i/sau concentrate la nivelul

departamentului de informatic sunt considerate incompatibile din punctul de vedere al

al departamentului informatic respectiv, deoarece ntr-un

sistem informatic programele i datele pot fi schimbate, fr a se observa modificarea

din punct de vedere organizatoric, nu este constituit un compartiment specializat de

corect a datelor i stocarea (memorarea) acestora n sistem.

economice cu domeniu de activitate specific sau cu putere economic mare. avnd. n

organismului economic i a nevoilor de calcul

utilizatorul dorete s le prelucreze automat, prelucrrile care se efectueaz asupra

- sistemului informatic, folosind diagrame i instruciuni detaliate

care exist numai n cazul organismelor

economice cu domeniu de activitate specific sau cu putere economic mare i are

pe calculator, bazndu-se pe specificaiile ntocmite de grupul de analiza;

specializate (VisualBasic, SQL, C++) cu compilatoarele aferente. SGBD-uri (FoxBase,

nregistrri mostr i corectarea erorilor de programare, dac este cazul;

acesteia (instructiunile de instalare pe calculator i de operare).

, software n conformitate cu instruciunile scrise de progra-

sistemul de operare i sistemul informatic se programeaz s pstreze o list detaliat a

a arhivelor de programe i de date (de referin) pentru a evita

pierderea, distingerea, folosirea neautorizat sau alterarea; dac arhivarea se face pe

introduse n sistem. In vederea prelucrrii.