AUDITUL SISTEMELOR INFORMATICE

Ec. Ioana Florentina CHI, Lector univ. dr. Liliana Simona Todor1

Abstract
The on - site intervention stage has resulted in field testing of all the auditors actions,
based on the On- site intervention done based on a fixed schedule, using various
sampling techniques, check lists, tests, interviews and relation notes, items that have
constituted audit samples and are the base of the FIAP and FCRI documentations, and
which will be part of the auditorys report on the Organization and functioning of the
It departments in the S.N.L.O sub-units.

Cuvinte cheie: misiune de audit intern, FIAP, FCRI, subunuti S.N.L.O.

INTRODUCERE
Avnd o importan major n cadrul oricrei organizaii, auditul intern este activitatea
independent i obiectiv care d entitii o asigurare n ceea ce priveste gradul de control
asupra operaiunilor, o ndruma pentru a-i mbunti operaiunile, i contribuie la adaugarea
unui plus de valoare.
Astfel, pentru a ajuta organizaia s i ating obiectivele, auditul intern evalund procesele
ce au loc la nivelul departamentului IT, printr-o abordare sistematic i metodic, ofer
ulterior propuneri pentru a-i consolida eficacitatea.
Auditorii interni au cunostinte legate de principalele riscuri i controale IT i de tehnicile
de audit disponibile pentru a-i exercita activitatea desemnat, misiunea, competenele i
responsabilitile acestora fiind definite n mod oficial ntr-un regulament i aprobate de
Consiliu, n conformitate cu Standardele.

AUDITUL SISTEMELOR INFORMATICE

Auditul sistemului informatic este o ramur a auditului general care se ocup de controlul
tehnologiilor informaiilor i comunicaiilor; studiaz, n primul rnd, sistemele i reelele de
calcul din punct de vedere al examinrii eficienei controlului tehnic i procedural pentru a
minimiza riscurile. Auditarea sistemului informatic presupune discuii cu personalul care
stabilete specificaiile, dezvolt, testeaz, conduce, administreaz i utilizeaz sistemele de
calcul.
Auditul sistemelor informatice reprezint activitatea de colectare i evaluare a unor probe
pentru a determina da c sistemul informatic este securizat, menine integritatea datelor
prelucrate i stocate, permite atingerea obiectivelor strategice ale ntreprinderii i utilizeaz
eficient resursele informaionale.
Auditul informatic reprezint o form esenial prin care se verific dac un sistem
informatic i atinge obiectivul pentru care a fost elaborat. Standardele europene definesc clar
domeniul, activitile, etapele, coninutul auditrii i formele de finalizare. Respectnd
cerinele acestora, rezultatul procesului de auditare informatic este eliberat de riscurile
contestrii. Auditul informatic reprezint un domeniu cuprinztor n care sunt incluse toate
activitile de auditare pentru : specificaii, proiecte, software, baze de date, procesele
specifice ciclului de via ale unui program, ale unei aplicaii informatice, ale unui sistem

1
Academia Comercial Satu Mare, lilianatodor@yahoo.com

142
informatic pentru management i ale unui portal de maxim complexitate, asociat unei
organizaii virtuale.
Potrivit standardelor, obiectul auditului sistemelor informatice poate fi focalizat pe
programe, proiecte, sisteme informatice sau resurse informatice create sau utilizate n
instituiile private. Acestea pot fi auditate la nivel strategic, operaional sau la nivel de
aplicaie. Auditarea se poate desfura pe ntreg ciclul de via al sistemului sau numai pe
anumite etape: proiectare, dezvoltare, implementare, producie, livrare, interoperabilitate,
acces, utilizare. Auditarea include, de asemenea, i evaluarea conformitii cu legislaia n
vigoare. n cadrul misiunilor de audit al sistemelor informatice se va efectua evaluarea
componentei aferente controalelor IT implementate n sistemul de control intern al entitii
auditate. Constatrile vor evidenia punctele tari i punctele slabe ale sistemului informatic i
vor meniona aspectele care trebuie remediate. Pe baza acestora se vor formula recomandri
privind perfecionarea structurii de procese, controale i proceduri IT existente.
Principalele constatri, concluzii i recomandri formulate pe parcursul misi
unii de audit vor fi sintetizate i vor fi naintate conducerii entitii auditate, constituind
obiectul valorificrii raportului de audit. Modul de implementare a recomandrilor i
stadiulimplementrii acestora vor fi revizuite periodic, la termene comunicate entitii
auditate.
Se pot desfura urmtoarele tipuri de audit IT:
Evaluarea unui sistem informatic n scopul furnizrii unei asigurri rezonabile privind
funcionarea acestuia, asigurare necesar inclusiv misiunilor de audit financiar sau de
audit al performanei la care este supus entitatea;
Evaluarea performanei implementrii i utilizrii sistemelor informatice;
Misiuni de audit mixte, prin integrarea celor trei tipuri de audit: auditul financiar, auditul
performanei i auditul IT, acestea urmnd a se desfura n cadrul unor misiuni comune,
n funcie de obiectivele stabilite;
Evaluarea unui sistem IT integrat i/sau a unor aplicaii individuale utilizate ca suport
pentru asistarea deciziei (sisteme IT utilizate pentru eviden, prelucrarea i obinerea de
rezultate, situaii operative i sintetice la toate nivelele de raportare) n cadrul entitii
auditate. Extinderea utilizrii tehnologiei informaiei n toate domeniile, inclusiv n cel al
sistemelor financiar-contabile, care presupune att extinderea controalelor IT n cadrul
sistemului de control intern al entitii auditate, genereaz necesitatea perfecionrii modelelor
tradiionale de auditare i extinderea auditului sistemelor informatice n activitatea unitii.
Misiunea de audit al sistemelor informatice are n vedere urmtoarele criterii de
evaluare generice:
dac sistemul informatic asigur un cadru adecvat, bazat pe integrarea tehnologiilor
informatice pentru desfurarea continu a activitii;
dac activitile desfurate pe parcursul derulrii proiectelor IT sunt conforme cu
obiectivele i termenele de realizare, aprobate la nivel instituional, la fundamentarea
acestora;
dac pe parcursul proiectelor s-au nregistrat dificulti tehnice, de implementare sau de
alt natur;
dac implementarea proiectelor conduce la modernizarea activitii entitii, contribuind la
integrarea unor noi metode de lucru, adecvate i conforme cu noile abordri pe plan
european i internaional
dac soluia tehnic este fiabil i susine funcionalitatea cerut n vederea creterii
calitii activitii;
dac sistemul informatic funcioneaz n conformitate cu cerinele programelor i
proiectelor informatice privind integralitatea, acurateea i veridicitatea, precum i cu
standardele specifice de securitate;

143
 dac pregtirea utilizatorilor atinge nivelul performanei cerute de aceast nou abordare,
analizat prin prisma impactului cu noile tehnologii;
dac exist i au fost respectate standarde privind calitatea suportului tehnic i
metodologic.
Aceste criterii vor fi utilizate pe parcursul misiunii de audit IT, din perspectiva crerii, la
nivelul unitii auditate, a unor arhitecturi de sistem coerente, bazate pe creterea partajrii
informaiei i a sistemelor n administraie, reducerea costurilor totale prin reutilizare i
evitarea duplicrii aplicaiilor i sistemelor, reducerea timpului de implementare a proiectelor,
mbuntirea manierei de administrare a proiectelor i de implementare a soluiilor
(portofoliul de proiecte), stabilirea politicilor de migrare pentru proiectele existente. Criteriile
de audit pot fi diferite de la un audit la altul, n funcie de obiectivele specifice ale misiunii de
audit.

ETAPELE AUDITULUI SISTEMELOR INFORMATICE

Etapele auditului sistemelor informatice sunt:
planificarea auditului,
efectuarea auditului,
raportarea
revizuirea auditului.
Planificarea este prima etap din ciclul de via al auditului, corectitudinea acesteia
asigurnd eficiena i execuia efectiv a tuturor celorlalte etape ale auditului. Presupune
obinerea de informaii privind entitatea auditat i de informaii despre sistemul de control
intern al acesteia. De asemenea, i foarte important, planificarea trebuie s includ o evaluare
a riscurilor care decurg din funcionarea acestor sisteme. Planificarea auditului are la baz o
strategie de audit, care se formuleaz pornind de la definirea abordrii auditului i precizeaz
elemente legate de coordonarea misiunii de audit, echipa implicat n aceast misiune,
atribuiile n cadrul echipei, orizontul de timp i direciile principale de aciune. Scopul
planificrii auditului IT este acela de a obine o nelegere a mediului n care funcioneaz
sistemul informatic n cadrul entitii auditate, de a evalua riscul de eroare sau de fraud, de a
elabora o abordare eficient a auditului prin care s se colecteze probe suficiente i de
ncredere n scopul formrii unei opinii, i de a aloca resursele necesare pentru realizarea
acestor activiti. Planificarea activitilor are n vedere minimizarea costurilor auditului.
Planificarea auditului sistemelor informatice trebuie s includ toate fazele necesare atingerii
obiectivelor misiunii auditului, respectiv: documentarea privind activitatea auditat,
programul sau sistemul care face obiectul auditului, stabilirea strategiei de audit, stabilirea
procedurilor de audit i a tehnicilor aferente, a metodelor de sintetizare, analiz i interpretare
a probelor de audit, identificarea i evaluarea riscurilor generate de furnizarea serviciilor
electronice.
Evaluarea riscurilor
- dup obinerea unei nelegeri asupra mediului informatizat al entitii, auditorul va
evalua riscul inerent i riscul de control, factori care se iau n considerare la determinarea
riscului de audit. Riscul de audit, indus de utilizarea sistemului informatic, poate fi exprimat
n termenii urmtoarelor trei componente:
riscul inerent, care decurge din susceptibilitatea asupra resurselor informatice sau asupra
resurselor controlate de sistemul informatic: furt material, distrugere, dezvluire, modificri
neautorizate, incompatibilitate, n lipsa controalelor interne asociate.
riscul de control, care reprezint riscul ca erorile materiale din datele entitii s nu fie
prevenite sau detectate i corectate n timp util de structura controlului intern al entitii.
riscul de nedetectare, care reprezint riscul ca auditorul s nu detecteze erorile existente
n sistem. Factori care afecteaz riscul inerent Operaiile informatizate pot introduce factori

144
adiionali de risc inerent. Auditorul trebuie s ia n considerare aceti factori i s evalueze
impactul prelucrrilor pe calculator asupra riscului inerent. Pentru sistemele informatice
financiar-contabile, cei mai relevani factori indui de mediul informatizat sunt menionai n
continuare.
Prelucrarea uniform a tranzaciilor: favorizeaz propagarea erorilor pentru tranzaciile
similare i reduce substanial posibilitatea prelucrrii selective a erorilor.
Prelucrarea automat: probele aferente acestor operaiuni pot sau nu pot fi vizibile.
Potenial crescut de nedetectare a greelilor: se datoreaz implicrii umane n prelucrare
mai puin dect n sistemele manuale, ceea ce crete potenialul obinerii accesului neautorizat
al indivizilor la informaiile sensibile i al alterrii datelor fr probe vizibile. Datorit
formatului electronic, schimbrile programelor i datelor sunt dificil de detectat. De
asemenea, este probabil ca utilizatorii s poat interveni mai uor asupra formei electronice
dect asupra rapoartelor manuale.
Existena, completitudinea i volumul parcursului auditului: parcursul auditului financiar
reprezint proba care demonstreaz modul n care a fost iniiat, prelucrat i agregat o
tranzacie specific i reprezint o cerin fundamental. Anumite sisteme informatice sunt
proiectate pentru a reine parcursul auditului numai pentru o perioad scurt, numai n format
electronic i numai ntr -o form sintetic. De asemenea, informaia generat poate fi prea
voluminoas pentru a putea fi analizat cu eficacitate. Tranzaciile pot rezulta dintr-o agregare
a informaiei din numeroase surse. Fr utilizarea unor produse software de regsire i
prelucrare, extragerea tranzaciilor ar putea deveni extrem de dificil. Fr un parcurs al
auditului, poate s nu fie fezabil formularea unei opinii categorice privind situaiile
financiare. Sistemele financiare trebuie s permit auditorului s urmreasc tranzaciile
ncepnd cu intrarea iniial, tranzaciile generate de sistem i tranzaciile cu alocare intern;
pn la reflectarea lor corect n situaiile financiare. Toate datele relevante i informaiile de
parcurs al auditului financiar trebuie reinute un timp suficient pentru finalizarea auditului.
Documentele surs trebuie de asemenea s fac parte din parcursul auditului financiar, i
acestea trebuie i ele s fie pstrate pn la finalizarea auditului.
Natura configuraiei hardware i software utilizate: tipul de prelucrare (local, online,
distribuit); dispozitivele periferice, interfeele sistem sau conexiunea la Internet; reelele
distribuite, furnizarea serviciilor IT. Riscurile tipice sunt: accesul neautorizat la resursele
sistemului, posibila alterare a datelor, dezvluirea informaiilor sensibile, dependena de
furnizorul de programe.
Riscurile generice asociate sistemului informatic, detectate pe parcursul unei misiuni de
audit al sistemelor informatice vor fi clasificate n trei categorii:
a) Riscuri privind planificarea, dezvoltarea i introducerea sistemelor i serviciilor
informatice
Aceste riscuri decurg din:
Lipsa unei planificri strategice;
Insatisfacia utilizatorilor; ignorarea explorrii profilului utilizatorilor;
Neglijarea aspectelor legate de asigurarea calitii;
Lipsa unor evaluri privind eficacitatea costurilor;
Nendeplinirea atribuiilor privind crearea cadrului necesar legal i organizaional;
Implicarea sporadic i inconsecvent n elaborarea i implementarea reglementrilor i
standardelor IT i de securitate;
Furnizarea neadecvat a infrastructurii tehnice;
Dependena de companiile IT;
Lipsa reglementrii drepturilor privind reeaua Internet;
Lipsa unor evaluri ale proiectelor raportate la evoluiile tehnologiilor informaiei i
comunicaiilor

145
 b) Riscuri n funcionarea sistemelor i serviciilor informatice
Aceste riscuri decurg din:
Politici de securitate IT tehnic i organizaional neadecvate, care afecteaz integritatea,
autenticitatea, confidenialitatea i disponibilitatea informaiilor; securizarea transferului de
date;
Capabilitile de auditare a informaiilor; Securitatea tranzaciilor;
Redundan, discontinuiti media i interoperabilitate neadecvat.
c) Riscuri i efecte n plan economic
Aceste riscuri decurg din:
Decizii neadecvate, datorate pierderilor sau alterrii informaiilor furnizate de sistemul
informatic;
Pierderi datorate unor disfuncionaliti generate de indisponibilitatea informaiilor n
timp real;
Dezvoltarea i implementarea necontrolat a unor componente informatice eterogene;
Cheltuieli dispersate, nejustificate;
Scderea eficienei serviciilor informatice furnizate.
Planul de audit conine urmtoarele seciuni:
1. Informaii despre entitatea auditat: obiective, structur, dotare hardware i software,
volumul operaiilor prelucrate automat;
2. Stabilirea obiectivelor auditului: abordarea auditului, aria de acoperire a auditului, rolul
auditorului IT;
3. Evidenierea domeniilor critice care vor fi examinate: ariile cu riscul cel mai ridicat;
4. Criteriile de audit stabilite;
5. Etapele misiunii de audit i tipurile de evaluri aferente: procedurile de audit prin care
se
obin probele de audit, metodele i tehnicile de analiz, sintez i interpretare a probelor de
audit;
6. Resurse necesare: personal, timp, resurse tehnice i financiare.

Probele de audit specifice sistemelor informatice pot fi ncadrate n urmtoarele categorii:

a) Probe de audit fizice - rezultate din demonstraii ale aplicaiilor, documentaii tehnice,
diagrame, scheme de arhitectur i alte elemente echivalente acestora.
b) Probe de audit verbale rspunsuri la interviuri, sondaje.
c) Probe de audit documentare documente, documentaii, manuale n form scris sau n
format electronic.
d) Probe de audit analitice rezultate obinute n urma evalurilor i analizei fondului de
informaii(indicatori,tendine)

STANDARDELE INTERNAIONALE PENTRU PRACTICA PROFESIONAL

A AUDITULUI INTERN
Auditul intern este o activitate independent de asigurare obiectiv i de consiliere,
destinat s adauge valoare i s antreneze mbuntirea activitilor organizaiei, pe
care o susine n ndeplinirea obiectivelor sale. Ajut organizaia n ndeplinirea
obiectivelor sale printr-o abordare sistematic i disciplinat n cadrul evalurii i
mbuntirii eficacitii proceselor de management al riscurilor, control i guvernare.
Activitile de audit intern se desfoar n diferite medii legislative i culturale; n
cadrul unor organizaii care difer din punct de vedere al scopului, mrimii, complexitii
i structurii; de ctre persoane din cadrul sau din afara organizaiei. Dei pot exista
diferene privind practica auditului intern n fiecare dintre aceste medii, este esenial
s se respecte Standardele Internaionale pentru Practica Profesional a Auditului

146
Intern, pentru ca responsabilitile auditorilor interni s fie ndeplinite. Dac auditorii
interni sunt ngrdii de legislaie sau regulamente i, drept urmare, nu pot respecta
anumite pri ale Standardelor, ei trebuie s respecte toate celelalte seciuni ale
Standardelor i s declare neconformitatea produs. Misiunile de asigurare implic
evaluarea obiectiv a probelor de ctre auditorul intern, n vederea formulrii unei
opinii independente sau a unor concluzii privind un proces, sistem sau alt subiect supus
auditului. Tipul i sfera de cuprindere a misiunilor de asigurare sunt stabilite de ctre
auditorul intern. n general, sunt implicate trei entiti n misiunile de asigurare: (1)
persoana sau grupul implicat() direct n procesul, sistemul sau subiectul auditat
responsabilul pentru proces, (2) persoana sau grupul care efectueaz evaluarea auditorul
intern, (3) persoana sau grupul care utilizeaz rezultatul evalurii beneficiarul misiunii.
Misiunile de consiliere au un caracter consultativ i se desfoar n general la cererea
expres a beneficiarului misiunii. Tipul i sfera de cuprindere a serviciilor de consiliere
sunt stabilite de comun acord cu beneficiarul misiunii. Misiunile de consiliere implic n
general dou entiti:
(1) persoana sau grupul care ofer consiliere auditorul intern i
(2) persoana sau grupul care solicit i primete consiliere beneficiarul
misiunii. n ndeplinirea misiunilor de consiliere, auditorul intern trebuie s i
pstreze obiectivitatea i s nu i asume responsabilitatea conducerii.
Scopul Standardelor este:
1. S contureze principiile de baz care reprezint practica de audit
intern aa cum trebuie ea s fie.
2. S furnizeze un cadru general de realizare i susinere a unei game
largi de activiti de audit intern care genereaz o valoare adugat.
3. S funcioneze ca un cadru de referin pe baza cruia se evalueaz
rezultatele auditului intern.
4. S stimuleze mbuntirea proceselor i operaiunilor organizaiei.
Exist un singur set de Standarde de Calificare i de Performan, ns sunt mai multe
seturi de Standarde de Implementare: cte un set pentru fiecare tip principal de activitate
de audit intern. Standardele de Implementare au fost stabilite pentru activiti de asigurare
(A) i de consiliere (C).
Standardele fac parte din Cadrul General al Practicii Profesionale. Cadrul General al
Practicii Profesionale include Definiia Auditului intern, Codul de etic, Standardele i
alte ndrumri. ndrumri privind modul n care pot fi aplicate Standardele sunt incluse n
Modaliti practice de aplicare, care sunt redactate de Comitetul de rezolvare a problemelor
profesionale.
Standardele folosesc o terminologie specific, sensul termenilor fiind explicat n Glosar.
mbuntirea i publicarea Standardelor este un proces continuu. Consiliul de
Standardizare a Auditului Intern poart consultri i discuii ample nainte de publicarea
Standardelor. Acestea includ solicitri ctre publicul din ntreaga lume de a trimite
puncte de vedere cu privire la proiectul de standarde n dezbatere.

CONCLUZII
ndeplinirea misiunii de audit implic parcurgerea procedurilor i documentelor specifice
structurate pe cele patru etape prezentate prin normele generale.
- n etapa de pregtire a misiunii de audit intern s-au elaborat documentele
prevzute de normele generale aducndu-se clarificri, mai ales cu privire la modul de
dezvoltare a Analizei riscurilor, succesiunea documentelor, structura i modul de completare
al acestora, nivelul de apreciere i mparire al riscurilor, clasarea i ierarhizarea lor n scopul
finalizrii procedurii pe baza creia se va concentra Programul interveiei a faa locului.

147
 - n urmtoarea etapa s-au realizat testarea pe teren a operaiilor auditabile, pe baza
Programului interveniei la faa locului, prin utilizarea diferitelor tehnici de eantionare, liste
de verificare, teste, foi de lucru, interviuri i note de relaii, elemente care s-au constituit n
probe de audit i au stat la baza ntocmirii FIAP-urilor i FCRI- urilor, care vor fi incluse n
raport.
- n etapa de elaborare a Raportului de audit intern se urmrete o structurare a acestuia
pe Tematica n detaliu a misiunii de audit care este obinut n procedura de Analiza
riscurilor i transferarea FIAP-urilor i FCRI- urilor ntr-o manier standardizat astfel nct
s poat fi utilizat de factorii de management.
- n etapa de urmrire a recomandrilor n afara documentelor stabilite de normele
generale au fost recomandate cteva modele de documente pentru evaluarea interna i externa
a activitii de audit intern.

BIBLIOGRAFIE
Ghi, M., Briciu, S. i colab., 2005, Audit intern, Ed. ULISE, Alba Iulia
Ghi, M., Sprncean, M., 2006, Auditul intern n sistemul public, Ed. Tribuna
Economic, Bucureti
Ghi, M., Pop, R., Ghi, R., Timar, Alina, 2011, Guvernana corporativ i auditul intern,
Ed. Casa Crii de tiin, Cluj-Napoca
Legea .nr.672/2002
OG nr. 37/2004 i aprobat de Legea 106/2004
Ordinul Ministerului Finanelor Publice nr. 38/2003 modificat i completat prin Ordinul
Ministerului Finanelor Publice nr. 423/2004 pentru aprobarea Normelor generale de
exercitare a auditului public intern
Normelor metodologice proprii ale SNLO cu privire la Auditul Intern
Partea I din Normele generale de exercitare a auditului public intern, aprobate prin
OMFP nr. 38/2003

148